RequestAuthentication 적용시켰는데 이상하게 계쏙 401 에러 발생해서
envoy debug모드로 동작 시키고 확인해보니 istio에서는 다통과했는데 Django에서 안받는 것처럼 나타남.
찾아보니 아래 문제가있었음.
kubectl exec -it -n msa-django-blog <pod-name> -c istio-proxy -- \
curl -X POST http://localhost:15000/logging?level=debug기본 동작:
Envoy JWT 필터는 토큰을 검증하면 Authorization 헤더를 제거합니다.
대신 토큰에 있는 Claim 값들을 x-jwt-claim-* 같은 헤더로 전달합니다.forwardOriginalToken: true 를 넣으면:
검증이 끝난 원본 Authorization 헤더(Bearer )를 그대로 백엔드(Django)까지 전달합니다.즉,
forwardOriginalToken: false (기본값) → Django에서는 Authorization 헤더가 안 보임
forwardOriginalToken: true → Django에서도 원본 토큰이 보임 (DRF SimpleJWT 같은 인증이 가능)
apiVersion: security.istio.io/v1
kind: RequestAuthentication
metadata:
name: blog-jwt
namespace: msa-django-blog
spec:
selector:
matchLabels:
app: msa-django-blog
jwtRules:
- issuer: "msa-user"
jwksUri: "http://msa-django-auth.msa-django-auth.svc.cluster.local/api/auth/.well-known/jwks.json"
forwardOriginalToken: true # 여기 중요
테스트로 만든 애플리케이션은 이중인증 구조라 origin header가 사라져 문제가 생겼던 이슈…