2.2.1　认证

Istio提供两种类型的认证。

•对等认证（Peer Authentication）：用于从服务到服务的认证。这种方式是通过mTLS（mTLS）实现的，即客户端和服务端都要验证彼此的合法性。Istio中提供了内置的密钥和证书管理机制，可以自动进行密钥和证书的生成、分发和轮换，而无须修改业务代码。

•请求认证（Request Authentication）：也被称为最终用户认证，用于验证终端用户或客户端。Istio将目前业界流行的JWT（JSON Web Token）作为实现方案。

Istio的mTLS提供了一种宽容模式（Permissive Mode）的配置方式，使得服务可以同时支持纯文本和mTLS流量。用户可以先用非加密的流量确保服务间的连通性，再逐渐迁移到mTLS，这种方式极大地降低了迁移和调试的成本。

Istio还提供了多种粒度的认证策略，支持网格级别、命名空间级别和工作负载级别的认证，使用户可以灵活地配置各种级别的策略和组合。