开源网关Apache APISIX启用JWT身份验证

已于 2024-06-06 22:40:59 修改
阅读量1.4k 收藏 21
点赞数 18
分类专栏: Apache APISIX 文章标签: apache 开源网关 apisix jwt docker 微服务
于 2024-06-06 22:39:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengningyun6826/article/details/139511505
版权

在这里插入图片描述

说明:

创建最小API

首先,确保你已经安装了.NET 6 SDK。创建文件夹“MinimalApiDemo”,VS Code打开文件夹,打开终端

dotnet new web -o MinimalApiDemo
cd MinimalApiDemo

修改Program.cs

var builder = WebApplication.CreateBuilder(args);
var app = builder.Build();

builder.WebHost.UseUrls("http://0.0.0.0:5001");

app.MapGet("/", () => "Hello, World!");

app.MapGet("/protect/{name}", (string name) => $"Hello, {name}!");

app.Run();

启动项目

dotnet run

浏览器打开“http://192.168.8.220:5001/protect/tom”,显示结果

Hello, tom!

创建消费者

创建两个消费者,管理员admin和用户user

{
  "username": "admin_role",
  "plugins": {
    "jwt-auth": {
      "exp": 86400,
      "key": "admin",
      "secret": "admin1234567890"
    }
  }
}

{
  "username": "user_role",
  "plugins": {
    "jwt-auth": {
      "exp": 86400,
      "key": "user",
      "secret": "user1234567890"
    }
  }
}

在这里插入图片描述

在这里插入图片描述

创建上游

在这里插入图片描述

创建公共API端点

为JWT身份验证创建公共API端点/apisix/plugin/jwt/sign

在这里插入图片描述

{
  "uri": "/gen_token",
  "name": "jwttoken",
  "plugins": {
    "public-api": {
      "uri": "/apisix/plugin/jwt/sign"
    }
  },
  "status": 1
}

浏览器或者Postman等工具,请求如下链接,注意这里的key为admin

http://192.168.8.249:9080/gen_token?key=admin

在这里插入图片描述

得到admin的token

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJrZXkiOiJhZG1pbiIsImV4cCI6MTcxNzc2ODcwNH0.YeuyvRJmRHwajqmFm6G8ffYtguIW4PFoZ7LY3iDO8Kg

同理,接下来使用key为user

http://192.168.8.249:9080/gen_token?key=user

得到user的token

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJ1c2VyIiwiZXhwIjoxNzE3NzY4ODc0fQ.ZSpDGNmBHVjoKtLxxic6S5C4auNJx1FlAJThvJReq6k

创建测试路由

测试之前的最小API接口

http://192.168.8.220:5001/protect/tom

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

【更多】【查看】的内容如下

{
  "uri": "/protect/*",
  "name": "protect",
  "methods": [
    "GET"
  ],
  "plugins": {
    "consumer-restriction": {
      "whitelist": [
        "admin_role"
      ]
    },
    "jwt-auth": {}
  },
  "upstream_id": "516993931985027773",
  "status": 1
}

测试JWT认证

使用Postman工具,访问如下接口

http://192.168.8.249:9080/protect/tom

在这里插入图片描述

Postman提示

{"message":"Missing JWT token in request"}

Headers中Key填写“Authorization”,Value填写“Bearer [token]”(注意Bearer和[token]之间有一个空格)

使用user的token

Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJ1c2VyIiwiZXhwIjoxNzE3NzY4ODc0fQ.ZSpDGNmBHVjoKtLxxic6S5C4auNJx1FlAJThvJReq6k

Postman提示如下。网关阻止了user用户请求

{"message":"The consumer_name is forbidden."}

在这里插入图片描述

接下来使用admin的token

Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJrZXkiOiJhZG1pbiIsImV4cCI6MTcxNzc2ODcwNH0.YeuyvRJmRHwajqmFm6G8ffYtguIW4PFoZ7LY3iDO8Kg

在这里插入图片描述

admin用户顺序访问受保护的接口

参考

VinciYan
关注
  • 18
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apisix网关+golang服务 jwt验证
淡淡忧桑
02-13 1824
apisixjwt
APISIX jwt-auth 插件存在错误响应中泄露信息的风险公告(CVE-2022-29266)
ApacheAPISIX的博客
04-22 456
问题描述 jwt-auth 插件存在泄露用户秘钥的安全问题,因为从依赖库 lua-resty-jwt 返回的错误信息中包含敏感信息。 影响版本 Apache APISIX 2.13.0 及其之前全部版本 解决方案 请立即升级至 Apache APISIX 2.13.1 及以上版本。 如果不方便更新版本,请在 Apache APISIX 上安装对应版本的补丁包,实现重构,以绕过该漏洞(补丁包安装且生效后,调用方接收到的错误信息将为修复后的错误信息,不再包含敏感信息)。 以下补丁包适用于 LTS 2
ApiSix 配置 jwt-auth认证
军大君的博客
06-10 3621
在对应的服务器执行以下命令,我尝试通过面板来创建这个Route,发现创建的时候必须指定上游,官方文档就是通过命令创建该Route.官方连接 4.尝试获取token,直接访问路径就可以 ![在这里插入图片描述](https://img-blog.csdnimg.cn/db1695d5497a479dbdac3c5e7f204838.pngtoken可以放在/请求中/cookie/header...............
APISIX系列 | APISIX服务之jwt-auth 认证插件
Tinywan
10-24 4163
https://github.com/iresty/apisix/blob/master/doc/plugins/jwt-auth-cn.md 有一个可以访问的地址http://192.168.1.3/index.html 配置upstream负载均衡配置
网关层】测试APISIX的JWT-AUTH扩展
这太Imba了
01-15 3816
测试APISIX的JWT-AUTH扩展 一、前言 1、要入门并使用该扩展插件,需要首先去了解JSON WEB TOKEN(JTW),其一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息。 2、除了JWT之外,需要了解APISIX的Consumer模块的使用: 对于API网关通常可以用请求域名、客户端IP地址等字段识别到某类请求方,然后进行插件过滤并转发请求到指定上游,但以上描述在实际应用中可能深度不够。 如上图,APISIX,可以配置并知道API Consumer(消费方)具体是谁,这样就可以对
Apache Apisix jwt插件 (CVE-2022-29266) 密钥泄漏
m0_60732362的博客
04-25 2294
# CVE-2022-29266 Apache Apisix jwt插件 密钥泄漏 ## 漏洞描述 在2.13.1版本之前的APache APISIX中,攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lua-resty-jwt 中的错误逻辑允许将 RS256 令牌发送到需要 HS256 令牌的端点,错误响应中包含原始密钥值。 ## 漏洞版本 Apache Apisix < 2.13.1 ##
c#关于JWT跨域身份验证的实现代码
08-25
"C#关于JWT跨域身份验证的实现代码" 本文将详细介绍C#关于JWT跨域身份验证的实现代码,通过示例代码对JWT的组成、JWT与传统session的对比、JWT的实现代码等方面进行了详细的介绍,对大家的学习或者工作具有一定的...
SpringBoot 使用jwt进行身份验证的方法示例
08-26
SpringBoot 使用jwt进行身份验证的方法示例 本文主要介绍了使用SpringBoot框架实现jwt身份验证的方法示例。jwt(JSON Web Token)是一种轻量级的身份验证机制,可以用于验证用户身份和授权。 首先,需要在...
SymfonyRESTAPIJWT身份验证
08-07
Symfony REST APIJWT身份验证是基于JSON Web Token (JWT) 的一种安全机制,它用于在分布式系统中进行用户身份验证JWT是一种轻量级的、安全的身份表示方式,允许服务器和客户端之间通过加密的令牌来交换信息,而...
Angular之jwt令牌身份验证的实现
10-15
主要介绍了Angular之jwt令牌身份验证的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
【密钥泄漏】CVE-2022-29266 Apache Apisix jwt插件
HBohan的博客
04-29 890
漏洞描述 在2.13.1版本之前的APache APISIX中,攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lua-resty-jwt 中的错误逻辑允许将 RS256 令牌发送到需要 HS256 令牌的端点,错误响应中包含原始密钥值。 漏洞版本 Apache Apisix < 2.13.1 插件开启 在这里给大家演示的是Dashboard页面开启jwt插件。 1、当我们环境搭建完毕后、通过访问http://127
APISIX的安装和使用
最新发布
weixin_40618306的博客
03-22 2692
上图是Dashboard平台的一个全景,它的功能简单紧凑,下面介绍每个菜单的功能;仪表盘:监测网关请求数据、ETCD数据等,同时还支持自定义监控对象的数据;路由:路由(Route)是请求的入口点,它定义了客户端请求与服务之间的匹配规则。路由可以与服务(Service)、上游(upstream)关联,一个服务可对应一组路由,一个路由可对应一个上游对象(一组后端服务节点),因此,每个匹配到路由的请求将被网关代理到路由绑定的上游服务中。服务:服务由路由中公共的插件配置、上游目标信息组合而成。
APISIX集成统一鉴权中心
雨中深巷的油纸伞
12-12 582
这里使用forward-auth作为身份认证插件,具体的配置方法可以查看官网 https://apisix.apache.org/docs/apisix/plugins/forward-auth/Apisix提供了很多插件,通过鉴权插件,并配合自定义服务接口,可以很好实现网关层面的统一鉴权,认证还是可以走统一认证中心。也可以和其他子服务共用一个,但是必须是一个单独的apisix路由接口。将刚刚创建好的鉴权服务路由接口,配置在插件中,并启动该插件。与普通创建路由一致,可以参考其他创建路由具体步骤。
APISIX-全新一代API网关,带可视化管理,文档贼友好!
Ch3nnn的博客
04-18 2839
apisix是一款云原生微服务API网关,可以为API提供终极性能、安全性、开源和可扩展的平台。apisix基于Nginx和etcd实现,与传统API网关相比,apisix具有动态路由和插件热加载,特别适合微服务系统下的API管理。体验了一把apisix这个全新一代的API网关,有可视化管理的网关果然不一样,简单易用,功能强大!如果你的微服务是云原生的话,可以试着用它来做网关。其实apisix并不是个小众框架,很多国内外大厂都在使用了,如果你想知道哪些公司在使用,可以参考下面的连接。
API 网关 Apache APISIX 助力雪球双活架构演进
ApacheAPISIX的博客
06-15 642
本文整理自雪球基础组件团队在 Apache APISIX Summit ASIA 2022 上的分享,介绍了雪球在双活架构的调整中如何借助 APISIX 实现更灵活的业务。
API网关-APISIX简介
天翼云开发者社区
06-16 895
Apache APISIX 是一个动态、实时、高性能的云原生 API 网关,提供了负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。APISIX 构建于nginx+ngx_lua的技术基础之上,充分利用了LuaJIT所提供的强大性能,基于openresty+etcd实现了云原生,高性能,可扩展的微服务API网关
【项目实战】复盘APISIX云原生网关-入门插件使用
本本本添哥
07-04 1693
复盘APISIX云原生网关-入门插件使用
云原生下最火的API网关-APISIX
03-03 5762
APISIX是一款基于Nginx和OpenResty的云原生API网关,由Apache APISIX社区维护。它提供了一个可扩展的、低延迟、高性能的API网关解决方案,支持常见的API管理功能,如流量控制、认证、转发、限速、缓存、日志等,并提供了灵活的插件机制,可支持自定义插件的开发和集成。
spring security如何启用jwt身份验证
05-12
要在Spring Security中启用JWT身份验证,需要进行以下几个步骤: 1. 添加Spring Security和JWT依赖项 在Maven或Gradle构建文件中添加以下依赖项: Maven: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` Gradle: ``` implementation 'org.springframework.boot:spring-boot-starter-security' implementation 'io.jsonwebtoken:jjwt:0.9.1' ``` 2. 创建JWT工具类 创建一个JWT工具类,该类负责生成和验证JWT令牌。可以根据需要添加其他功能,例如设置过期时间、设置私钥等。 3. 创建自定义UserDetailsService 创建一个自定义的UserDetailsService,该服务负责从数据库或其他数据源中获取用户的身份验证信息,并将其与JWT令牌中的信息进行比较。 4. 创建自定义AuthenticationFilter 创建一个自定义的AuthenticationFilter,该过滤器负责从请求中提取JWT令牌,并将其传递给Spring Security进行身份验证。 5. 配置Spring Security 在Spring Security配置中启用JWT身份验证,例如: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private MyUserDetailsService userDetailsService; @Autowired private JwtRequestFilter jwtRequestFilter; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/authenticate").permitAll() .anyRequest().authenticated() .and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 在这个示例中,我们禁用了CSRF保护,并配置了一些URL模式,其中/api/authenticate对于所有用户都是可用的,其他URL需要进行身份验证。我们还设置了会话管理策略为STATELESS,因为JWT令牌是无状态的,不需要在服务器端存储任何会话信息。最后,我们添加了自定义的AuthenticationFilter。 以上是启用Spring Security JWT身份验证的基本步骤。实际应用中可能还需要进行其他配置和调整,具体取决于应用的要求和场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值