API网关 - JWT认证 ; 原理概述与具体实践样例

API网关主要提供的能力,就是协议转换,安全,限流等能力。

本文主要是分享 如何基于API网关实现 JWT 认证 。  

包含了JWT认证的流程,原理,与具体的配置样例

API网关认证的重要性

在现代Web应用和微服务架构中,API网关作为系统对外提供服务的入口点,其安全性和可靠性显得尤为重要。为了保护您对外提供的API,防止恶意访问、未授权访问、应用漏洞以及黑客攻击等潜在威胁,从而避免由此导致的数据丢失或资产损失,实施有效的认证机制是至关重要的。

2. 流程描述

通过引入JWT(Json Web Token)这样的结构化令牌来实现基于token的身份验证,具体流程如下:

  1. 客户端首先向API网关发起认证请求,通常这一步会包含用户的基本凭证,如用户名与密码。
  1. API网关将该请求转发至后端的服务进行处理。
  1. 后端服务完成对提交凭证的有效性检查后,如果验证成功,则利用预设的私钥生成一个带有时间限制及其他必要声明的新JWT。
  1. 这个新生成的JWT被封装进响应并由API网关返回给客户端。
  1. 客户端保存收到的JWT,并在未来向API发出的每一个请求中都携带这个token。
  1. 当API网关接收到含有有效JWT的请求时,它使用之前配置好的公钥来解码和验证这个token的真实性及有效性。只有当这些步骤全部通过了才会允许请求继续传递到实际的目标服务。
  1. 目标服务执行相应的逻辑操作,并最终通过API网关把结果回传给原始调用方。

采用上述方法不仅能够确保只有经过身份验证的用户才能访问敏感数据和服务,同时也简化了跨多个服务间共享身份信息的过程。此外,由于每个JWT都是独立的且包含了所有必要的认证细节,因此即使在网络传输过程中被捕获也难以被篡改或重复使用,进一步增强了系统的安全性。

API网关常用认证方式解析

API密钥认证:适合轻量级安全需求场景,如内部系统间通信。优势在于简单易用、实现快速;劣势是安全性较低,一旦泄露可能导致服务滥用。

OAuth 2.0:适用于需要授权第三方应用访问资源的场景。优点为灵活性高,支持多种授权模式;缺点是复杂度较高,实施成本大。

JWT(JSON Web Tokens):适合分布式微服务架构下的身份验证。其优势是无状态、可跨域使用;但令牌体积较大且一旦签发后无法撤销为其不足之处。

Basic Auth:用于对安全性要求不高的场合。易于实现是其主要优点;然而,它以明文形式传输用户名密码,存在较大安全隐患。

HMAC签名:常用于确保消息完整性和来源真实性。能够有效防止中间人攻击,但在大规模部署时可能因计算签名消耗较多资源而显得效率低下。

通过常见认证方式解析网关认证的核心机制

以最常用的认证方式为例,介绍网关认证的基本原理

在讨论基于JWT的认证机制时,首先需要理解这种令牌(token)是如何帮助实现安全且高效的身份验证过程。根据提供的参考资料,下面将详细介绍使用JWT进行API网关认证的基本流程。整个过程涉及客户端、API网关以及后端服务之间的交互。

  1. 客户端发起认证请求:当用户尝试访问受保护资源时,第一步是通过用户名和密码或其他形式的身份凭据向API网关发送一个认证请求。
  1. 网关转发请求至后端服务:收到认证请求后,API网关不会自行处理这个请求而是将其直接转发给负责验证用户身份的后端服务或系统。
  1. 后端服务验证用户信息并生成Token:后端服务接收到转发过来的认证请求后,会校验其中包含的用户凭证。如果这些凭证有效,则该服务利用事先配置好的私钥来生成一个JWT。这个过程中可能还包括设置一些关于此令牌的有效期限等属性。
  1. 返回带有Token的响应:一旦成功创建了JWT,后端服务将其作为响应的一部分发回给API网关。随后,API网关再将此包含JWT的响应返回给最初的请求者——客户端。此时,客户端应当保存好这个令牌以便后续使用。
  1. 客户端携带Token发起业务请求:每当客户端想要访问任何需要权限控制的服务时,都必须在其HTTP请求中附加之前获得的JWT。这通常可以通过在请求头中加入Authorization: Bearer <token>的方式完成。
  1. 网关验证Token有效性:对于每个到达的请求,API网关都会检查是否存在有效的JWT,并且尝试使用存储于其配置中的公钥对该JWT进行解码及验证。这里主要检查的是签名是否正确、令牌是否过期等因素。
  1. 验证通过后转发请求:只有当JWT被确认为合法且未超时的情况下,API网关才会继续处理该请求并将之传递给相应的后端服务。反之,若发现令牌无效或已失效,则应拒绝此次访问并立即终止流程。
  1. 后端执行逻辑并回复结果:最后一步是由实际提供服务的应用程序来处理经过认证后的请求,完成后它会将处理结果经由API网关反向传回到原始客户端那里。

以上步骤概述了一个完整的基于JWT的API网关认证流程。需要注意的是,在实际部署时还需要考虑到诸如密钥管理、异常处理等额外的安全措施以确保整个系统的稳定性和安全性。

Higress概述

Higress是一个基于Envoy和Istio构建的云原生API网关,它集成了流量网关、微服务网关以及安全网关的功能,深度支持Dubbo、Nacos等微服务技术栈,能够显著降低用户的部署与运维成本。特别值得一提的是,Higress仅通过简单的配置就可以支持大部分的安全认证方式,包括但不限于基本认证、JWT、OAuth2.0等,这极大地提高了系统安全性的同时也保证了操作的便捷性和灵活性。

JWT认证配置的详尽指南

JWT认证的详细配置方式

基于Higress实现JWT认证需要进行一系列详细的配置步骤。以下将详细介绍如何通过Higress的配置来实现JWT认证,包括全局配置、消费者配置以及路由级配置的具体流程和代码示例。

1. 全局配置

首先,你需要在全局配置中定义jwt-auth插件的基本设置。这些设置包括是否启用全局认证机制(global_auth),以及定义服务调用者(consumers)的相关信息。

配置示例:

# 全局配置
consumers:
- name: consumer1issuer: abcdjwks: |{"keys": [{"kty": "oct","kid": "123","k": "hM0k3AbXBPpKOGg__Ql2Obcq7s60myWDpbHXzgKUQdYo7YCRp0gUqkCnbGSvZ2rGEl4YFkKqIqW7mTHdj-bcqXpNr-NOznEyMpVPOIlqG_NWVC3dydBgcsIZIdD-MR2AQceEaxriPA_VmiUCwfwL2Bhs6_i7eolXoY11EapLQtutz0BV6ZxQQ4dYUmct--7PLNb4BWJyQeWu0QfbIthnvhYllyl2dgeLTEJT58wzFz5HeNMNz8ohY5K0XaKAe5cepryqoXLhA-V-O1OjSG8lCNdKS09OY6O0fkyweKEtuDfien5tHHSsHXoAxYEHPFcSRL4bFPLZ0orTt1_4zpyfew","alg": "HS256"}]}- name: consumer2issuer: abcjwks: |{"keys": [{"kty": "RSA","e": "AQAB","use": "sig","kid": "123","alg": "RS256","n": "i0B67f1jggT9QJlZ_8QL9QQ56LfurrqDhpuu8BxtVcfxrYmaXaCtqTn7OfCuca7cGHdrJIjq99rz890NmYFZuvhaZ-LMt2iyiSb9LZJAeJmHf7ecguXS_-4x3hvbsrgUDi9tlg7xxbqGYcrco3anmalAFxsbswtu2PAXLtTnUo6aYwZsWA6ksq4FL3-anPNL5oZUgIp3HGyhhLTLdlQcC83jzxbguOim-0OEz-N4fniTYRivK7MlibHKrJfO3xa_6whBS07HW4Ydc37ZN3Rx9Ov3ZyV0idFblU519nUdqp_inXj1eEpynlxH60Ys_aTU2POGZh_25KXGdF_ZC_MSRw"}]}global_auth: false
  • consumers: 定义了多个服务调用者,每个调用者都需要指定nameissuerjwks
  • jwks: 是一个JSON Web Key Set,用于验证JWT签名。
  • global_auth: 如果设置为true,则全局生效认证机制;如果设置为false,则只对做了配置的域名和路由生效认证机制。
2. 路由级配置

接下来,你需要为特定的路由或域名配置允许访问的消费者列表。

配置示例:

# 对 route-a 和 route-b 这两个路由做如下配置:
allow:
- consumer1# 对 *.example.com 和 test.com 在这两个域名做如下配置:
allow:
- consumer2
  • allow: 指定该匹配条件下允许访问的调用者列表。
  • 当请求匹配到这些路由或域名时,只有在allow列表中的消费者才能访问。
3. 配置字段详解

为了更好地理解上述配置,以下是各个配置字段的详细说明:

  • consumers
    • name: 消费者的名称。
    • issuer: JWT的签发者,需要和payload中的iss字段保持一致。
    • jwks: JSON Web Key Set,用于验证JWT签名。
    • claims_to_headers: 抽取JWT的payload中指定字段,设置到指定的请求头中转发给后端。
    • from_headers: 从指定的请求头中抽取JWT。
    • from_params: 从指定的URL参数中抽取JWT。
    • from_cookies: 从指定的cookie中抽取JWT。
    • clock_skew_seconds: 校验JWT的exp和iat字段时允许的时钟偏移量,单位为秒。
    • keep_token: 转发给后端时是否保留JWT。
  • global_auth: 是否启用全局认证机制。
  • allow: 对特定路由或域名允许访问的消费者列表。
4. 常见错误码说明

在配置过程中,可能会遇到一些常见的错误码,这些错误码及其原因如下:

HTTP 状态码

出错信息

原因说明

401

Jwt missing

请求头未提供JWT

401

Jwt expired

JWT已经过期

401

Jwt verification fails

JWT payload校验失败,如iss不匹配

403

Access Denied

无权限访问当前路由

通过以上详细的配置步骤,你可以在Higress中成功实现JWT认证。确保所有配置项都正确填写,并且根据实际需求调整相应的设置。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/59140.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ArcGIS 地理信息系统 任意文件读取漏洞复现

0x01 产品简介 ArcGIS是由美国Esri公司研发的地理信息系统(GIS)软件,它整合了数据库、软件工程、人工智能、网络技术、云计算等主流的IT技术,旨在为用户提供一套完整的、开放的企业级GIS解决方案,它包含了一套带有用户界面组件的Windows桌面应用。可以实现从简单到复杂的…

一文了解Android SELinux

在Android系统中&#xff0c;SELinux&#xff08;Security-Enhanced Linux&#xff09;是一个增强的安全机制&#xff0c;用于对系统进行强制访问控制&#xff08;Mandatory Access Control&#xff0c;MAC&#xff09;。它限制了应用程序和进程的访问权限&#xff0c;提供了更…

如何看待AI技术的应用前景?

文章目录 如何看待AI技术的应用前景引言AI技术的现状1. AI的定义与分类2. 当前AI技术的应用领域 AI技术的应用前景1. 经济效益2. 社会影响3. 技术进步 AI技术应用面临的挑战1. 数据隐私与安全2. 可解释性与信任3. 技能短缺与就业影响 AI技术的未来发展方向1. 人工智能的伦理与法…

Java | Leetcode Java题解之第539题最小时间差

题目&#xff1a; 题解&#xff1a; class Solution {public int findMinDifference(List<String> timePoints) {int n timePoints.size();if (n > 1440) {return 0;}Collections.sort(timePoints);int ans Integer.MAX_VALUE;int t0Minutes getMinutes(timePoint…

讲讲 kafka 维护消费状态跟踪的方法?

大家好&#xff0c;我是锋哥。今天分享关于【讲讲 kafka 维护消费状态跟踪的方法&#xff1f;】面试题&#xff1f;希望对大家有帮助&#xff1b; 讲讲 kafka 维护消费状态跟踪的方法&#xff1f; 1000道 互联网大厂Java工程师 精选面试题-Java资源分享网 在 Kafka 中&#x…

多核架构的基本概念

目录 1.为什么使用多核 2.多核分类 2.1 同构和异构 2.2 SMP和AMP 3 小结 1.为什么使用多核 这个问题个人认为可以从两个方面来看&#xff1a; 性能问题 随着汽车ECU对集成化的要求越来越高&#xff0c;把多个ECU功能集中到一个多核MCU的需求也越来越明显。 以汽车制动…

GitHub | 发布到GitHub仓库并联文件夹的方式

推送到Github 推送步骤如果你只想更新单个文件&#xff0c;只需在第 4 步中指定该文件的路径即可。可能问题一 效果 推送步骤 更新 GitHub 仓库中的文件通常涉及以下步骤&#xff1a; 克隆仓库&#xff1a; 首先&#xff0c;你需要将 GitHub 上的仓库克隆到本地。使用 git …

【ArcGIS】绘制各省碳排放分布的中国地图

首先&#xff0c;准备好各省、自治区、直辖市及特别行政区&#xff08;包括九段线&#xff09;的shp文件&#xff1a; 通过百度网盘分享的文件&#xff1a;GS&#xff08;2022&#xff09;1873 链接&#xff1a;https://pan.baidu.com/s/1wq8-XM99LXG_P8q-jNgPJA 提取码&#…

【网络面试篇】HTTP(2)(笔记)——http、https、http1.1、http2.0

目录 一、相关面试题 1. HTTP 与 HTTPS 有哪些区别&#xff1f; 2. HTTPS 的工作原理&#xff1f;&#xff08;https 是怎么建立连接的&#xff09; &#xff08;1&#xff09;ClientHello &#xff08;2&#xff09;SeverHello &#xff08;3&#xff09;客户端回应 &a…

FastAPI 请求体解析:基础概念与综合应用

FastAPI 请求体解析&#xff1a;基础概念与综合应用 本文深入探讨了 FastAPI 中的请求体概念&#xff0c;强调使用 Pydantic 模型来声明请求体数据结构。通过具体示例&#xff0c;展示了如何定义请求体、可选参数及默认值&#xff0c;提升数据验证和类型提示的便利性。文章还说…

Python并发编程库:Asyncio的异步编程实战

Python并发编程库&#xff1a;Asyncio的异步编程实战 在现代应用中&#xff0c;并发和高效的I/O处理是影响系统性能的关键因素之一。Python的asyncio库是专为异步编程设计的模块&#xff0c;提供了一种更加高效、易读的并发编程方式&#xff0c;适用于处理大量的I/O密集型任务…

Golang--数组、切片、映射

1、数组 1.1 数组类型 var 数组名 [数组大小]数据类型 package main import "fmt"func main(){//1、定义一个数组var arr1 [5]intarr1[0] 100arr1[1] 200fmt.Println(arr1) //[100 200 0 0 0] } 1.2 数组的初始化方式 package main import "fmt" func …

在VS中安装chatGPT

2、在VSCode中打开插件窗口 3、输入ChatGPT 4、这里有个ChatGPT中文版&#xff0c;就它了 5、安装 6、这时候侧边栏多了一个chatGPT分页图标&#xff0c;点击它 7、打个招呼 8、好像不行 9、看一下细节描述 10、根据要求按下按下快捷键 Ctrl Shift P 11、切换成国内模式 12、…

Linux下的Debugfs

debugfs 1. 简介 类似sysfs、procfs&#xff0c;debugfs 也是一种内存文件系统。不过不同于sysfs一个kobject对应一个文件&#xff0c;procfs和进程相关的特性&#xff0c;debugfs的灵活度很大&#xff0c;可以根据需求对指定的变量进行导出并提供读写接口。debugfs又是一个Li…

Fooocus图像生成软件本地部署教程:在Windows上快速上手AI创作

文章目录 前言1. 本地部署Fooocus图像生成软件1.1 安装方式1.2 功能介绍 2. 公网远程访问Fooocus3. 固定Fooocus公网地址 前言 本篇文章将介绍如何在本地Windows11电脑部署开源AI生图软件Fooocus&#xff0c;并结合Cpolar内网穿透工具轻松实现公网环境远程访问与使用。 Foooc…

修改HarmonyOS鸿蒙图标和名字,打包后安装到真机,应用图标丢失变成透明,修改名字也不生效,还是默认的labeL解决方案教程

HarmonyOS鸿蒙打包hap 安装应用到桌面没有图标&#xff0c;用hdc安装到真机&#xff0c;打包后应用图标丢失变成透明&#xff0c;名字也还是默认的label的bug&#xff0c;以下是解决方案 以下是修改方案&#xff1a; 1、修改应用名字&#xff1a; 2、修改应用图标&#xff1a…

Python小游戏20——超级玛丽

首先&#xff0c;你需要确保你的Python环境中安装了pygame库。如果还没有安装&#xff0c;可以使用以下命令进行安装&#xff1a; bash pip install pygame 运行效果展示 代码展示 python import pygame import sys # 初始化pygame pygame.init() # 设置屏幕尺寸 screen_width …

从富文本窥探苹果的代码秘密

从富文本窥探苹果的代码秘密 背景 在我们的业务场景下&#xff0c;为突出诸如 “利益点”和“利率” 等特性以推动订单成交&#xff0c;引入了 “富文本” 这一概念。富文本具备丰富格式的文本展示与编辑功能。然而&#xff0c;恰是由于富文本具有 “多样式”“复杂排版” 等特…

openstack之guardian介绍与实例创建过程

运行特征 采集模块&#xff1a;扩展Ceilometer&#xff0c;采集存储网、业务网连通性、nova目录是否可读写&#xff1b; 收集模块&#xff1a;将采集到的数据存储到数据库中&#xff1b; 分析模块&#xff1a;根据采集的结果&#xff0c;分析各节点状态&#xff0c;并进行反向检…

AVLTree

1.AVL树的概念 二叉搜索树虽然可以提高查找的效率&#xff0c;但是如果数据有序或者接近有序&#xff0c;二叉搜索树将退化为单支树&#xff0c;查找元素相当于在顺序表中搜索元素&#xff0c;效率低下。为了解决该问题&#xff0c;于是就有了AVLTree。即当向二叉搜索树中插入…