Kong 集成 Jwt 插件

已于 2022-02-22 17:07:07 修改
阅读量707 收藏
点赞数
分类专栏: kong 文章标签: javascript java 前端
于 2022-02-22 16:30:08 首次发布
原文链接:https://www.cnkirito.moe/kong-jwt/
版权

kong笔记 目录导航

Kong 集成 Jwt 插件

konga版本在这里

上一篇文章使用 Kong 完成了负载均衡的配置,本文介绍下在此基础上如何集成 jwt 插件来保护内部服务的安全。前置知识点:Jwt 基础概念。推荐阅读:

通俗易懂地介绍 Jwt https://blog.leapoahead.com/2015/09/06/understanding-jwt/

Jwt 的官网 https://jwt.io/

为 Kong 安装 Jwt 插件

Kong 官方提供了 Jwt 插件,可以对 某个 service 或者 route 添加 Jwt 认证,我以 service 为例介绍 Jwt 插件的使用

为 hello(上篇文章创建的 service)添加 Jwt 插件

curl -X POST http://localhost:8001/services/hello/plugins --data "name=jwt"

接着尝试访问这个受保护的服务

$ curl http://localhost:8000/hello/hi
=> {"message":"Unauthorized"}

说明该 service 已经被 Jwt 保护起来了。

在 Kong 中创建用户

curl -X POST http://localhost:8001/consumers --data "username=kirito"

使用了新的端点 consumers 创建了一个名称为 kirito 的用户。

查看用户信息

curl http://127.0.0.1:8001/consumers/kirito/jwt

响应如下:

{
    "total": 1,
    "data": [
        {
            "created_at": 1523432449000,
            "id": "cb01a6cf-7371-4f23-8193-fa69a0bb070c",
            "algorithm": "HS256",
            "key": "vcnvYSFzTIGyMxzKSgnNU0uvxixdYWB9",
            "secret": "qQ9tSqIYjilnJmKuZXvJpgNo4ZqJDrim",
            "consumer_id": "7d34e6bc-89ea-4f33-9346-9c10600e4afd"
        }
    ]
}

重点关注三个值 algorithm,key,secret,他们和 Jwt 算法的参数密切相关

生成 Jwt

使用 jwt 官网 (jwt.io) 提供的 Debugger 功能可以很方便的生成 jwt。

jwt 官网

jwt 官网

HEADER 部分声明了验证方式为 JWT,加密算法为 HS256

PAYLOAD 部分原本有 5 个参数

{  
 "iss": "kirito",  
 "iat": 1441593502,  
 "exp": 1441594722,  
 "aud": "cnkirito.moe",  
 "sub": "250577914@qq.com",  
}

这里面的前五个字段都是由 JWT 的标准(RFC7519)所定义的。

  • iss: 该 JWT 的签发者
  • sub: 该 JWT 所面向的用户
  • aud: 接收该 JWT 的一方
  • exp(expires): 什么时候过期,这里是一个 Unix 时间戳
  • iat(issued at): 在什么时候签发的

iss 这一参数在 Kong 的 Jwt 插件中对应的是

curl http://127.0.0.1:8001/consumers/kirito/jwt 获取的用户信息中的 key 值。

而其他值都可以不填写

最后还要一个没有用到的用户信息:secret。HS256 加密算法是对称加密算法,加密和解密都依赖于同一个密钥,在生成 Jwt 的消息签名时(Verify Signature)需要被使用到。

我们使用 jwt 官网 (jwt.io) 提供的 Debugger 功能快速生成我们的 Jwt

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJ2Y252WVNGelRJR3lNeHpLU2duTlUwdXZ4aXhkWVdCOSJ9.3iL4sXgZyvRx2XtIe2X73yplfmSSu1WPGcvyhwq7TVE

由三个圆点分隔的长串便是用户身份的标识了

携带 Jwt 访问受限资源

$ curl http://localhost:8000/hello/hi  
\=> {"message":"Unauthorized"}

在此之前直接访问 hello 服务是处于未验证状态

携带 Jwt 访问

curl http://localhost:8000/hello/hi -H 'Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJ2Y252WVNGelRJR3lNeHpLU2duTlUwdXZ4aXhkWVdCOSJ9.3iL4sXgZyvRx2XtIe2X73yplfmSSu1WPGcvyhwq7TVE'  
\=> 3000

成功获取到了服务端的响应,Jwt 插件就这样正常工作了。

补充

  1. 可以指定生成的 key(对应 Jwt 中的 iss),和 secret
curl -X POST http://localhost:8001/consumers/kirito/jwt --data "secret=YmxvYiBkYXRh" --data "key=kirito"

如果想要修改 secret 和 key,经过目前笔者的尝试后,似乎只能够先删除,后新增。

  1. Jwt 也可以作为 QueryString 参数携带在 get 请求中
curl http://localhost:8000/hello/hi?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJ2Y252WVNGelRJR3lNeHpLU2duTlUwdXZ4aXhkWVdCOSJ9.3iL4sXgZyvRx2XtIe2X73yplfmSSu1WPGcvyhwq7TVE
  1. 通常用户需要自己写一个服务去帮助 Consumer 生成自己的 Jwt,自然不能总是依赖于 Jwt 官方的 Debugger,当然也没必要重复造轮子(尽管这并不难),可以考虑使用开源实现,比如 Java 中推荐使用 jjwt(https://github.com/jwtk/jjwt)
String jwt = Jwts.builder()  
 .setHeaderParam("typ","jwt")  
 .setHeaderParam("alg","HS256")  
 .setIssuer("kirito")  
 .signWith(SignatureAlgorithm.HS256, Base64.getEncoder().encodeToString("YmxvYiBkYXRh".getBytes(Charset.forName("utf-8"))))  
 .compact();

Kong 集成 Jwt 插件

https://www.cnkirito.moe/kong-jwt/

作者

徐靖峰

发布于

2018-04-11

更新于

2021-04-09

Zz罗伯特
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity集成JWT
05-15
SpringSecurity集成JWT 1)实现基本配置 2)自定义认证实现 3)集成JWT
kong网关启用jwt认证插件
zhangshenglu1的博客
05-30 885
认证流程:1、创建一个用户2、生成jwt的所需要的key和密钥3、在https://jwt.io/的生成jwt token4、启用jwt插件5、发送请求的时候携带jwt的token信息官方指导:https://docs.konghq.com/hub/kong-inc/jwt/configuration/examples/
kong自定义插件解析jwt
weixin_44259356的博客
07-11 1204
按照公司要求编写的一个kong自定义插件,实现解析jwt,然后查询redis数据库验证身份,最后将解析参数放入header传入上游服务器 项目已托管GitHubhttps://github.com/MyRong12138/my-jwt/ ...
Kong JWT鉴权
A1L__的博客
07-14 537
​ 最简单的理解和配置consumer的方式是,将其于用户进行一一映射,即一个consumer代表一个用户(或应用).但是对于KONG而言,这些都无所谓. Consumer的核心原则是您可以为其添加插件,从而自定义他的请求行为. 所以,或许您会有一个手机APP应用,并为他的每个版本都定义一个consumer, 又或者您有一个应用或几个应用,并为这些应用定义统一个consumer,这些都无所谓.
Kong网关中使用JWT认证
锐意工作室
07-20 3317
文章目录在Kong网关中使用JWT认证前言JWT认证添加JWT插件生成Consumer的JWT credentials测试JWT认证的其他用法参考文档 在Kong网关中使用JWT认证 前言 在Kong网关快速入门指南 一文中介绍了Basic认证和HMAC认证方式,本文介绍在Kong网关中使用JWT认证。 JWT认证 添加JWT插件 在Service下添加JWT插件,全部保持默认值。 查看插件详情: uri param names: `jwt` key claim name: `iss` secret is
konga】插件jwt
WeiJiaXiaoBao的专栏
12-26 912
ROUTES添加jwt(为路由添加一个授权用户的jwt),可以添加多个 点击NAME/ID 点击+ADD PLUGIN ADD PLUGIN(重点consumer的id通过API:http://{自己的host}:8001/consumers查看,填到红框),没有consumer的可以自己新建一个,先跳过这一步看下一步 新建consumer 选择新建的用户,Crede...
kong-jwt-middleware:Express中间件,用于从JWT插件中提取Kong上游标头
05-13
kong-jwt-中间件 表达中间件以从JWT插件中提取Kong上游标头。
springboot集成jwt
01-25
springboot集成jwt的小栗子
SpringBoot集成JWT生成token及校验方法过程解析
08-19
主要介绍了SpringBoot集成JWT生成token及校验方法过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
net core集成jwt
09-24
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单...
如何使用 KONGJWT 插件
surfirst的博客
07-11 2342
KONG 是一款很受欢迎的 API GATEWAY,使用它可以降低开发微服务的代码,因为我们可以通过配置来实现诸如认证 (Authentication) 和 (Authorization) 的功能。 JWT 是现代 Web 软件经常用到的一种认证和授权方式,要让KONG 支持 JWT 认证,开发者需要首先配置好在 KONG 中为指定的微服务增加一个 service,然后给 service 增加一个 router。 给 router 增加 JWT 插件 接下来开发者需要给 router 增加 jwt 插件
konga--jwt插件支持OPTIONS方法
hhj724的专栏
12-02 535
konga--jwt插件支持OPTIONS方法 注意:此文章是基于jwt插件下的设置的 1.routes增加OPTIONS方法,如下图所示: 2.需要在jwt插件上,关闭'run on prefligh'选项,如下图所示: ...
konga--添加jwt插件详细步骤
hhj724的专栏
11-21 3664
注意:添加jwt插件前,先实现接口正常访问 给kong添加插件,主要是实现对访问接口限制。可针对所有consumer,或者某个consumer 步骤如下: 1.配置完成的service和route 参照 添加service和route 2.配置consumer,同时设置jwt 创建consumer 添加jwt配置 可以ke...
Kong Gateway - 07 基于网关服务的JWT验证
lc的大脑备份
05-10 706
本文转载自https://blog.csdn.net/zhengzizhi/article/details/80244091
JWT(JSON WEB Token)
Andy Tools
07-23 895
今天尝试把用户权限注册部分托管到AWS服务上,而发现相关的服务是AWS cognito。 同样是基于oauth2的授权模式,但里面返回不是我们原来使用的那种token,而是另一种JWT(JSON WEB Token)。这里只介绍JWT,具体实现后面在用一篇文章进行介绍。 1 什么是JSON Web Token 2 JSON Web Token 用途 3 JSON Web Token结构 3...
ant design DatePicker日期选择框指定分钟的间隔minuteStep属性
最新发布
u010234868的专栏
05-17 195
在上面的例子中,DatePicker 将只允许用户以 15 分钟为间隔选择分钟。是 Ant Design 的 TimePicker时间选择框组件的一个属性。设置为 30,则用户可以选择以 30 分钟为间隔的分钟值。如果你想让分钟选项只能以 15 分钟为间隔选择,你可以将。
(Vue3+TS+Volar) 全局组件配置类型声明的最佳实践
从今年开始写写博客~~
05-14 231
简评:Volar官方全局组件的推荐写法,基于Volar,必须安装该插件,GlobalComponents是Volar专门为了解决全局组件类型而新增的类型接口。定义全局组件:使用GlobalComponents类型接口声明类型。
Vue.js的发展史(一)
2301_79683791的博客
05-15 755
Vue (发音为 /vjuː/,类似view) 是一款用于构建用户界面的 JavaScript 框架。它基于标准 HTML、CSS 和 JavaScript 构建,并提供了一套声明式的、组件化的编程模型,帮助你高效地开发用户界面。无论是简单还是复杂的界面,Vue 都可以胜任。来源官方解释-----简介 | Vue.js (vuejs.org)简单来说:Vue是一个属于JS的库,可直接引入一个JS文件就可以使用,与传统JS和JQuery框架不同,Vue的渐进式框架。
setImmediate不能在浏览器中执行
Keep trying, keep going
05-14 163
的延迟时间设置为 0,但实际的延迟可能会因浏览器的最小延迟时间限制而稍有不同。函数实现类似的效果。函数不是浏览器的标准 API,而。
kong jwt插件
09-23
Kong JWT插件是一种用于支持JWT认证和授权的插件。要在Kong中为指定的微服务增加JWT认证,需要配置一个service,并给这个service增加一个router。然后,给这个router增加JWT插件。在验证JWT时,默认的key claim name是JWT的iss claim。需要在consumer中设置iss的key,否则会出现"No credentials found for given 'iss'"错误。开发者可以在jwt.io上生成一个JWT并查看iss的值,然后将这个值设置到consumer的key中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值