【网关层】测试APISIX的JWT-AUTH扩展

最新推荐文章于 2025-11-01 21:53:13 发布
原创 最新推荐文章于 2025-11-01 21:53:13 发布 · 4.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#APISIX #网关 #Nginx #OpenResty #Lua

本文详细介绍了如何在APISIX中使用JWT-AUTH插件进行消费者认证,通过创建consumer并配置插件,以及在route中启用JWT验证,实现针对不同消费方的定制化处理。步骤包括创建consumer、设置JWT插件、配置Route并获取token进行验证。

测试APISIX的JWT-AUTH扩展

一、前言

1、要入门并使用该扩展插件,需要首先去了解JSON WEB TOKEN(JTW),其一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息。

2、除了JWT之外,需要了解APISIX的Consumer模块的使用:
对于API网关通常可以用请求域名、客户端IP地址等字段识别到某类请求方,然后进行插件过滤并转发请求到指定上游,但以上描述在实际应用中可能深度不够。
在这里插入图片描述

如上图,APISIX,可以配置并知道API Consumer(消费方)具体是谁,这样就可以对不同API Consumer配置不同规则。

字段必选说明
upstream消费方名称
plugins该消费方对应的插件配置,它的优先级是最高的:Consumer > Route > Service

在APISIX中,识别Consumer的过程如下图
在这里插入图片描述

①、授权认证:比如key-auth、JWT等。
②、获取consumer_id:通过授权认证后,即可自然获取到对应的 consumer_id,它是消费方的唯一识别标识。
③、获取consumer上绑定的plugins或者upstream信息:完成对不同配置进行不同的效果。

我的简单理解:访问同一个API的不同消费方,在APISIX里可以通过consumer模块给他进行消费方个人订制的插件或者个人订制的upstream配置。

二、JWT-AUTH插件测试步骤

1、创建一个consumer对象,并设置插件jwt-auth的值,可用以下命令:
curl http://127.0.0.1:9080/apisix/admin/consumers -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d ' { "username": "testjwt", "plugins": { "jwt-auth": { "key": "user-key", "secret": "my-secret-key" } } }'
或者在可视化控制台中新增:在这里插入图片描述
在这里插入图片描述

2、创建一个Route对象,并开启jwt-auth插件。可用以下命令:
curl http://127.0.0.1:9080/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d ' { "methods": ["GET"], "uri": "/wrrBlog/*", "plugins": { "jwt-auth": {} }, "upstream": { "type": "roundrobin", "nodes": { "127.0.0.1:8088": 1 } } }'
也可使用可视化控制台创建:
在这里插入图片描述

其中,127.0.0.1:8088是自定义的微服务或一个API接口的IP+端口,/wrrBlog/* 代表API接口为/wrrBlog为前缀的API接口

3、使用如下命令获取token

curl http://127.0.0.1:9080/apisix/plugin/jwt/sign?key=user-key -i
或直接用浏览器访问
在这里插入图片描述

4、尝试不带token访问界面,发现提示缺乏jwt。

在这里插入图片描述

5、分别尝试各种方式将token携带入请求体,传入后台尝试通过验证
如 直接携带于参数中:
在这里插入图片描述

如 置于cookie中:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-khaTnaV1-1610676851726)(en-resource://database/555:1)]

【项目实战】复盘APISIX云原生网关-入门插件使用
奶爸的编程之路,也就一周冷个三天,欢迎关注我的微信公众号:本本本添哥
07-04 1970
复盘APISIX云原生网关-入门插件使用
Apisix安全(五)』探索Apache APISIX身份认证插件:从基础到实战
老陈聊架构
03-27 2399
🌐 本文深入探讨了Apache APISIX在现代微服务架构中实现API安全的关键环节——身份认证。文章首先强调了API网关在连接API消费者和提供者中的作用,并介绍了APISIX支持的多种身份授权插件,如Key Authentication、Basic Authentication、JWT Authentication等。
开源网关Apache APISIX启用JWT身份验证
mengningyun6826的博客
06-06 2420
开源网关Apache APISIX启用JWT身份验证
ApiSix 配置 jwt-auth认证
军大君的博客
06-10 4833
在对应的服务器执行以下命令,我尝试通过面板来创建这个Route,发现创建的时候必须指定上游,官方文档就是通过命令创建该Route.官方连接 4.尝试获取token,直接访问路径就可以 ![在这里插入图片描述](https://img-blog.csdnimg.cn/db1695d5497a479dbdac3c5e7f204838.pngtoken可以放在/请求中/cookie/header...............
API 网关 Apisix:灰度发布与蓝绿部署
最新发布
2501_93893344的博客
11-01 470
通过 APISIX 实现灰度发布和蓝绿部署,能显著提升发布安全性和系统可用性。
APISIX系列 | APISIX服务之jwt-auth 认证插件
Tinywan
10-24 4358
https://github.com/iresty/apisix/blob/master/doc/plugins/jwt-auth-cn.md 有一个可以访问的地址http://192.168.1.3/index.html 配置upstream负载均衡配置
APISIX jwt-auth 插件存在错误响应中泄露信息的风险公告(CVE-2022-29266)
ApacheAPISIX的博客
04-22 623
问题描述 jwt-auth 插件存在泄露用户秘钥的安全问题,因为从依赖库 lua-resty-jwt 返回的错误信息中包含敏感信息。 影响版本 Apache APISIX 2.13.0 及其之前全部版本 解决方案 请立即升级至 Apache APISIX 2.13.1 及以上版本。 如果不方便更新版本,请在 Apache APISIX 上安装对应版本的补丁包,实现重构,以绕过该漏洞(补丁包安装且生效后,调用方接收到的错误信息将为修复后的错误信息,不再包含敏感信息)。 以下补丁包适用于 LTS 2
Apache Apisix jwt插件 (CVE-2022-29266) 密钥泄漏
m0_60732362的博客
04-25 2578
# CVE-2022-29266 Apache Apisix jwt插件 密钥泄漏 ## 漏洞描述 在2.13.1版本之前的APache APISIX中,攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lua-resty-jwt 中的错误逻辑允许将 RS256 令牌发送到需要 HS256 令牌的端点,错误响应中包含原始密钥值。 ## 漏洞版本 Apache Apisix < 2.13.1 ##
助力开发者,全方位解读 APISIX 测试案例
ApacheAPISIX的博客
07-15 1072
本文主要为大家介绍了测试的相关流程,以及在 APISIX 测试案例的构成和如何进行测试案例的编写,希望通过本文你可以对 APISIX测试案例有一个大致的认识。
Apisix插件之serverless-pre-function
he20021221的博客
09-04 474
APISIX的serverless-pre-function插件允许在请求处理早期阶段(如rewrite或access阶段)执行自定义Lua函数,实现请求预处理、业务逻辑扩展等功能。该插件支持修改请求头、参数校验、动态路由调整等场景,通过Admin API配置执行阶段和Lua函数。典型应用包括JWT解析、权限校验和分级路由。使用时需注意性能影响、依赖管理和错误处理,避免阻塞操作。该插件提供灵活的前置处理能力,无需修改源码即可扩展网关功能。
APISIX云原生API网关
zouyang920的博客
09-12 1992
apisix是一款云原生微服务API网关,可以为API提供终极性能、安全性、开源和可扩展的平台。apisix基于Nginx和etcd实现,与传统API网关相比,apisix具有动态路由和插件热加载,特别适合微服务系统下的API管理。我们先来了解下apisix的一些核心概念,对我们接下来的使用会很有帮助!上游(Upstream):可以理解为虚拟主机,对给定的多个目标服务按照配置规则进行负载均衡。
接口签名 - 一个实践过的方案(二)
songtaiwu的博客
08-08 936
我们签名方案定了,这里要进行具体实现,方案内容参考我的文章。
apisix网关、JMeter压测 —— k8s从入门到高并发系列教程 (八)
fanghailiang2016的博客
09-02 1784
面向外部的大流量的网络请求,我们需要一个api网关——apisix。这样的demo能不能开放出来给用户使用?我们先用JMeter来压测一下吧
Apisix网关中basic-auth插件使用
Seapeak_H的博客
11-10 1833
basic-auth是用于固定管理消费者请求时携带的用户名和密码,进行校验。用户和密码通过冒号进行关联,且用base64加密后放到Header中。插件在接收到请求以后,对header内Authorization的内容进行解析,解析出对应的用户名和密码。然后和ETCD中消费者中存储的用户名(username)和密码(password)进行对比。如果符合通过认证。
ApiSix基础入门:协议解析-样例详解
十年呵护的专栏
08-16 8165
一 、http协议配置 1、反向代理测试 ①启动一个正常的web服务器 也可以使用已经安装的openresty #启动web服务器 默认80端口 /usr/local/openresty/bin/opennresty #检测服务是否开启 80端口 netstat -lntp |grep 80 ②配置指向后端服务 到这里还暂时不能使用。需要配置具体路由信息进行转发测试 ③配置路由规则信息 ④测试查看 通过上图,可以查看到已经转发...
apisix-使用hmac-auth插件进行接口签名身份验证\apisix consumer
西京刀客
06-19 1417
HMAC 是一种基于哈希函数的消息认证码,常用于验证消息的完整性和真实性。它需要一个密钥(secret key)和一个哈希算法(如 SHA-256)来生成签名。
Apache APISIX安全认证机制全解析:JWT、OAuth2、Keycloak
gitblog_00850的博客
09-01 1187
在现代微服务架构中,API网关作为流量的统一入口,承担着至关重要的安全防护职责。Apache APISIX作为云原生API网关,提供了丰富且强大的安全认证机制,包括JWT认证、OAuth2集成以及Keycloak授权等。本文将深入解析这些安全机制的工作原理、配置方法和最佳实践。 ## JWT认证机制 ### JWT工作原理 JSON Web Token(JWT)是一种开放标准(RFC 751...
apisix网关+golang服务 jwt验证
淡淡忧桑
02-13 2061
apisixjwt
apisix集群安装测试
weixin_39956784的博客
08-10 1848
apisix集群安装测试 apisix 是无状态服务,集群不用太复杂 本次测试使用在集群外做负载均衡 集群地址 172.21.41.240 172.21.41.241 172.21.41.242 版本 apache-apisix-2.6-src.tgz apache-apisix-dashboard-2.7-src.tgz etcd-v3.4.13-linux-amd64 安装依赖 添加 OpenResty 源 sudo yum install yum-utils sudo yum-config
docker-apisix token
08-19
### 获取和管理 Docker-Apache APISIX 的 Token 认证信息 Apache APISIX 是一个高性能、可扩展的微服务 API 网关,支持通过 Token 进行身份验证和访问控制。在 Docker 环境中部署 Apache APISIX 后,管理 Token 认证信息通常涉及以下几个方面: #### 1. **配置 Token 认证插件** Apache APISIX 提供了多种认证插件,例如 `key-auth`、`jwt-auth` 和 `basic-auth`。要启用 Token 认证,首先需要在 APISIX 的配置文件中启用相关插件,并将其绑定到具体的路由或服务上。 ```yaml # 示例:在路由配置中启用 key-auth 插件 plugins: key-auth: true ``` 启用插件后,APISIX 会要求客户端在请求头中提供有效的 Token(例如 `apikey`)[^3]。 #### 2. **创建和管理 Token** Token 通常与用户或客户端账户绑定。可以通过 APISIX 的 Admin API 来创建和管理 Token。以下是一个使用 Admin API 创建 Key 的示例: ```bash curl -X PUT "http://apisix-admin:9080/apisix/admin/consumers" \ -H "X-API-KEY: edd1c9f034335f136f87ad84b625c8f1" \ -d ' { "username": "test-consumer", "plugins": { "key-auth": { "key": "my-secret-key" } } }' ``` 上述命令创建了一个名为 `test-consumer` 的消费者,并为其分配了一个 `key-auth` 插件,其中 `key` 字段表示 Token 值。 #### 3. **通过环境变量或配置文件注入 Token** 在 Docker 环境中,可以通过环境变量或配置文件将 Token 注入到容器中。例如,在 `docker-compose.yml` 文件中,可以使用 `environment` 字段设置环境变量: ```yaml services: apisix: image: apache/apisix:3.0.0 environment: - APISIX_ADMIN_KEY=edd1c9f034335f136f87ad84b625c8f1 ``` 这样,APISIX 容器启动时会自动读取这些环境变量,并用于认证管理操作[^2]。 #### 4. **使用 Secret 管理 Token** 为了增强安全性,建议将 Token 存储在 Kubernetes 的 Secret 或 Docker 的 Secret 管理系统中。例如,在 Kubernetes 中,可以创建一个 Secret 并将其挂载到 APISIX 容器中: ```bash kubectl create secret generic apisix-token --from-literal=admin-key=edd1c9f034335f136f87ad84b625c8f1 ``` 然后在 Deployment 配置中引用该 Secret: ```yaml env: - name: APISIX_ADMIN_KEY valueFrom: secretKeyRef: name: apisix-token key: admin-key ``` 这种方式可以避免 Token 明文暴露在配置文件或日志中[^3]。 #### 5. **定期更新和轮换 Token** 为了防止 Token 被滥用或泄露,应定期更新 Token。可以通过 APISIX 的 Admin API 修改现有消费者的 Token: ```bash curl -X PATCH "http://apisix-admin:9080/apisix/admin/consumers/test-consumer" \ -H "X-API-KEY: edd1c9f034335f136f87ad84b625c8f1" \ -d ' { "plugins": { "key-auth": { "key": "new-secret-key" } } }' ``` 此外,可以结合自动化工具(如 Vault 或 Kubernetes Operator)实现 Token 的自动轮换[^3]。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值