Openresty(十五)通过lua实现令牌校验

最新推荐文章于 2024-04-17 10:02:03 发布
最新推荐文章于 2024-04-17 10:02:03 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Openresty 文章标签: lua
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/120271453
版权

一    模块地址

(1)插件安装

+++++++++++++"安装方式"+++++++++++++

1.opm安装  -->'默认'安装的位置

opm get SkyLothar/lua-resty-jwt

2.源码安装,进行copy  -->'不建议'

参考博客 

网关权限控制

(2)常用方法介绍

①  sign

功能: 生成'jwt token'

备注: 无法设置'token的有效期',仅仅'作为测试'

说明: 可以通过'高级语言'的代码在生成'token'设置'expire、issuers'

变相: openresty 的jwt插件并没有提供'时间过期'的校验,可以通过将'token'存到cookies中变相的增加'生命时间'

②    verify

核心:关注'成功'和'失败'的jwt_obj

③    claim_spec常用选项

说明:该选项是一个'lua table'

④    sign-jwe

二    实现

 

需求: 验证通过,允许用户'查询数据',暂时不涉及'openresty的请求阶段的access'

 (1) 安装jwt插件

(2)lua高效实现

①    生成token

备注:生产最好存储在'localStorage'本地存储中

②    进行token校验

1)成功

2)key密钥错误导致失败

说明:获取最好是payload字段

3)token过期导致失败

说明: '30s'有效期

注意: '时间'的问题 -->'差8h'

 4)base编码问题

  

Django时间Field与datetime与time解读

Django - 日期、时间字段

(3)生产场景使用

①  check.lua 模块

②  nginx.conf配置

#  openresty作为各种service的api网关

location /service1 {
     # 核心是-->access_by_lua
     access_by_lua '
     local jwt = require("lua.check")
     jwt.auth()';
     default_type application/json;
     proxy_pass http://tomcat;
}

③    关键字状态码 

ngx.OK,                    -->"200"

ngx.ERROR,                 -->"500"

ngx.HTTP_NOT_FOUND,        -->"404"

ngx.HTTP_MOVED_TEMPORARILY -->"302"

ngx.HTTP_UNAUTHORIZED      -->"401"

++++++++++++++++++"其它方式"++++++++++++++++++

return  401 "认证不通过"

ngx.status = 401

openresty找不到静态文件

Java实现token的生成与验证-登录功能

③④⑤⑥

wzj_110
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Openresty实现http请求的lua源码
01-17
本压缩包里面是lua代码实现http请求所需要的库文件,一共三个文件 http.lua http_connect.lua http_headers.lua 用户在lua代码里面使用http请求的时候,需要将这三个文件拷贝到目录/usr/local/openresty/lualib/resty下面 然后lua代码里面使用local http = require "resty.http",引入http即可连接http请求
lua-resty-jwtJWT为伟大的Openresty
02-03
lua-resty-jwtJWT为伟大的Openresty
nginx整合luajwt、cjson、redis、mysql模块镜像构建
weixin_38251332的博客
03-16 822
基于centos:centos7.9.2009基础镜像,nginx整合luajwt、cjson、redis、mysql模块,构建基础镜像,为实现灰度/蓝绿发布提供参考,避免了频繁的构建,同时也为服务上云提供镜像支持。
探索 `lua-resty-jwt`:在 OpenResty 中轻松实现 JWT 验证
最新发布
gitblog_00011的博客
04-17 868
探索 lua-resty-jwt:在 OpenResty 中轻松实现 JWT 验证 项目地址:https://gitcode.com/SkyLothar/lua-resty-jwt 在现代 Web 应用中,JSON Web Token(JWT)作为一种轻量级的身份验证机制,被广泛应用于 API 的授权和身份管理。lua-resty-jwt 是一个为 OpenResty 平台设计的 Lua 模块,...
php jwt redis,GitHub - feng99/lua-jwt-redis: 用lua实现的基于redis的jwt验证功能,支持接口白名单 lua jwt redis...
weixin_39539764的博客
03-22 187
已在生产环境验证. 功能ok 性能很棒用lua实现的基于redis的jwt校验功能理论上可 拷贝直接使用.1.提供接口白名单功能支持精准匹配 如/user/login/v1支持模糊匹配 比如/test/开头的地址 都加入白名单版本说明nginx version: openresty/1.15.8.3功能说明代码逻辑说明作用:用 openresty实现 jwt 协议,在网关层实现登陆Tok...
灰度发布专题---3、Nginx+Lua灰度发布
u014526891的博客
11-28 1854
上一章已经讲解了配置文件灰度发布、应用版本灰度发布、API网关灰度发布实现,但如果用户这时候在代理层如何做灰度发布呢?
openresty 几个插件使用
weixin_33940102的博客
06-18 470
1. jwt    opm get SkyLothar/lua-resty-jwt   2. cookie   opm get p0pr0ck5/lua-resty-cookie   3. http   opm get agentzh/lua-resty-http   4. template   bungle/lu...
Openrestyjwt的token验证
小丑鱼的专栏
01-17 1363
在使用代理的时候可能需要验证来访问请求的token,验证token代码也是在lua脚本文件中操作,然后通过access_by_lua_file过程进行拦截,然后获取里面的token,进行验证,验证通过与否做一些定制化的操作。
nginx安装luajwt模块,通过lua验证jwt实现蓝绿发布样例
少说,多做
02-27 6123
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。
openresty】利用 JWT 实现令牌校验 | 模拟注册登录流程 | RunnerGo 自动化测试
Cauchy的博客
08-24 631
JWT(JSON Web Token)是一种基于 JSON 的开放标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递 json 对象,常用来实现分布式用户认证。它通常用于用户的登录鉴权,进行身份验证和信息交换。用户使用账号、密码登录,请求发送到 Authentication Server。Authentication Server 进行用户验证(查询数据库等),创建 JWT 字符串返回给客户端。客户端请求接口访问资源时,请求头携带 JWT
pgmoon:用于OpenResty等的纯Lua Postgres驱动程序
02-03
pgmoon:用于OpenResty等的纯Lua Postgres驱动程序
openresty(nginx-lua-module-zh-wiki)中文文档.pdf
06-11
OpenResty 是一个强大的 Web 应用服务器,Web 开发人员可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,更主要的是在性能方面,OpenResty可以 快速构造出足以胜任 10K 以上并发连接响应的超高性能 Web ...
idea+openresty+lua运行nginx服务器.zip
08-05
idea+openresty+lua运行nginx服务器, 代码和软件都有, 参考资料: https://blog.csdn.net/dongyuxu342719/article/details/90413904
lua-aes:用于openresty的AES加密lua模块,例如php函数mcrypt_encrypt
05-04
一些phper可能会发现nginx-lua中的库不够用,例如带有ECB模式的aes mcrypt,所以我创建了这个库。 就像用PHP加密一样: mcrypt_encrypt ( MCRYPT_RIJNDAEL_128 , $ key , $ text , MCRYPT_MODE_ECB ); 用lua加密: ...
使用openresty通过lua修改请求/响应头
热门推荐
勿在浮沙筑高台
04-15 2万+
openresty介绍 在使用nginx时,如果我们想进行开发,开发难度比较大,openresty对nginx核心集成了很多lua三方模块,开发者可以使用lua脚本进行开发,开发者只需了解http协议和lua脚本。openresty你可以理解为支持lua开发的nginx,但是性能比nginx强。 openresty可提供:均衡负载、请求路由、安全认证、服务鉴权、流量控制、日志监控服务等。 根据op...
Apache Apisix jwt插件 (CVE-2022-29266) 密钥泄漏
m0_60732362的博客
04-25 2255
# CVE-2022-29266 Apache Apisix jwt插件 密钥泄漏 ## 漏洞描述 在2.13.1版本之前的APache APISIX中,攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lua-resty-jwt 中的错误逻辑允许将 RS256 令牌发送到需要 HS256 令牌的端点,错误响应中包含原始密钥值。 ## 漏洞版本 Apache Apisix < 2.13.1 ##
使用Nginx和Lua进行JWT校验
jiangshanwe
12-15 4232
项目背景 需要在DMZ区和API网关中间增加授权服务。该服务的作用是校验api请求中的token值的签名合法性以及token是否过期 参考 因为不涉及到数据库和其它资源的依赖,jwt本身也是无状态的。因此鉴权服务没有再基于Java或者其它语言来做。而是使用lua脚本对nginx做了一个增强:使用lua脚本来校验token是否有效,无效直接返回401,有效则原样转发。 方案实现过程中主要参考了基于 OpenResty 实现 JWT 验证,只遇到了secret签名的问题。在这里非常感谢博主。 openresty
centos7+nginx支持lua模块+OpenResty
Xiaoweidumpb
03-13 386
不要使用nginx添加 lua 模块进行编译安装!nginx 中添加 lua 模块,支持lua脚本以及遇到的坑比如添加一个lua-resty-jwt令牌校验工具,你需要重新与ngnix进行整合,上面文章只是ngnix和lua的整合推荐使用OpenResty
lua实现拦截请求校验sign
06-09
Lua实现拦截请求校验sign可以通过OpenResty实现OpenResty是一个基于Nginx的Web应用开发框架,支持使用Lua脚本进行二次开发。以下是一个简单的示例,实现了拦截请求并校验sign的功能: ``` -- 导入OpenResty的http库 local http = require "resty.http" -- 获取请求的URI和query参数 local uri = ngx.var.uri local args = ngx.req.get_uri_args() -- 获取请求头中的sign参数 local sign = ngx.req.get_headers()["sign"] -- 根据请求参数生成待校验的签名 local signParam = "" for k, v in pairs(args) do signParam = signParam .. k .. "=" .. v .. "&" end signParam = string.sub(signParam, 1, -2) local signToCheck = ngx.md5(signParam) -- 校验签名是否正确 if sign ~= signToCheck then ngx.exit(ngx.HTTP_FORBIDDEN) end -- 发送请求到后端服务 local httpc = http.new() local res, err = httpc:request_uri("http://backend_service" .. uri, { method = ngx.req.get_method(), headers = ngx.req.get_headers(), body = ngx.req.get_body_data(), keepalive_timeout = 60000, keepalive_pool = 10 }) -- 将后端服务的响应返回给客户端 ngx.status = res.status ngx.say(res.body) ngx.exit(ngx.HTTP_OK) ``` 以上代码中,首先获取请求的URI和query参数,并获取请求头中的sign参数。然后根据请求参数生成待校验的签名,使用ngx.md5函数计算签名的MD5值。最后,校验签名是否正确,如果不正确则直接返回HTTP_FORBIDDEN状态码。如果签名校验通过,则使用resty.http库发送请求到后端服务,并将响应返回给客户端。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值