steven_li
7e9d1dcacb
- 更新 authz-service 描述,明确已包含 Dockerfile、启动脚本和空白种子数据 - 在目录结构图中添加 Dockerfile 文件路径 - 在文档末尾添加 authz-service 的 README 路径到文档列表 - 从后续建议列表中移除已完成的 Dockerfile 和启动脚本相关条目 - 将 authz-service 的部署脚本更新为控制面接入和部署编排
authz-service
authz-service 现在已经整理成独立 Docker 单元。
组成
Dockerfile- 生产镜像构建入口
docker-entrypoint.sh- 初始化数据目录并启动
uvicorn
- 初始化数据目录并启动
start-authz.sh- 本地或服务器快速启动脚本
env_template- 常用环境变量模板
runtime/seed-data/- 空白初始化数据
src/- 原始 FastAPI 应用代码
设计约定
- 容器监听端口:
19090 - 容器内数据目录:
/var/lib/authz-service/data - 首次启动时如果数据目录为空,会自动写入空白 JSON
signing_key.pem不会被打进镜像- 如果挂载目录里不存在签名 key,服务会在首次启动时自动生成
快速启动
cd /home/ivan/xuan/nano_project/authz-service
AUTHZ_INTERNAL_TOKEN='change-me' ./start-authz.sh --build
启动后验证:
curl http://127.0.0.1:19090/healthz
curl http://127.0.0.1:19090/.well-known/jwks.json
生产建议
- 用挂载卷保存
runtime/data - 显式设置
AUTHZ_INTERNAL_TOKEN - 显式设置外部可访问的
AUTHZ_ISSUER- 例如
https://authz.example.com
- 例如
- 不要把
src/data/里的本地示例或真实数据直接拿去打镜像
API 说明
接口说明仍然看:
/home/ivan/xuan/nano_project/authz-service/src/README.md