如何使用 KONG 的 JWT 插件

KONG 是一款很受欢迎的 API GATEWAY,使用它可以降低开发微服务的代码,因为我们可以通过配置来实现诸如认证 (Authentication) 和 (Authorization) 的功能。

JWT 是现代 Web 软件经常用到的一种认证和授权方式,要让KONG 支持 JWT 认证,开发者需要首先配置好在 KONG 中为指定的微服务增加一个 service,然后给 service 增加一个 router。

给 router 增加 JWT 插件

接下来开发者需要给 router 增加 jwt 插件。

在下图中,我们使用了 konga UI来给指定的服务增加 JWT 插件。
如何使用 KONG 的 JWT 插件_第1张图片

增加一个 consumer

为验证 JWT,一般会使用对称密钥 (HS256) 或者非对称密钥 ( RS 256) 方式。要设置密钥,开发者需要给 KONG 增加一个 consumer, 对于非对称密钥,KONG 要求使用 PEM 格式。下面就是一个典型的 PEM 公钥例子:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAg4kxplaTQzYfEbS2AG3v
vQkW2w1qhtwhu5wfH1fwutZYf3jfwQfuGMRfLD4xlOTvRSeiNtYLQa54MmQNEVIi
48psQdAEyA3hib34KHwfWcKYeGa5Jlrw0zG11+szwnOV9/UXTGfv9hTKDxWCvaQS
xXUmvej9Ik4Lts850gskhqe0bc4juJZSfqgn6lvo8MpMVyfzQuVyZ3+5N0sm+Pbq
4AMjIunEY6xdtsHzzJSBS3ARjOmSCrrlxWtkbpAQFGfKSyu35a1rvkaAuDsMTdiH
iYm7FWDfUyU8LcYmqcYr3Rfpgx9Q8TUob7/abAa2o1Fai2kO7ueDpS3JfEAt0pie
RwIDAQAB
-----END PUBLIC KEY-----

设置 JWT 的 key

要验证 JWT,KONG 默认的 key claim name 是 JWT 的 iss claim。我们需要在 consumer 里设置 iss 的 key,否则会看到
No credentials found for given ‘iss’ 错误
如何使用 KONG 的 JWT 插件_第2张图片
下面的设置是正确的配置,开发者可以生产一个 JWT 放到 jwt.io 里查看 iss 的值,然后再设置到 consumer 的 key 里。比如下面的设置:
如何使用 KONG 的 JWT 插件_第3张图片
jwt.io 中的 iss
如何使用 KONG 的 JWT 插件_第4张图片

结论

本文介绍了如何通过 KONG 和 JWT 来保护我们的微服务。

你可能感兴趣的:(架构,API,网关,jwt)