kong网关启用jwt认证插件

最新推荐文章于 2025-03-28 20:13:49 发布
原创 最新推荐文章于 2025-03-28 20:13:49 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kong #linux #运维

认证流程:
1、创建一个用户
2、生成jwt的所需要的key和密钥
3、在https://jwt.io/的生成jwt token
4、启用jwt插件
5、发送请求的时候携带jwt的token信息
官方指导:https://docs.konghq.com/hub/kong-inc/jwt/configuration/examples/

一、创建一个新的用户

[root@min ~]# curl -X POST http://localhost:8001/consumers/ --data username=jwtuser
{"created_at":1685478265,"custom_id":null,"username":"jwtuser","tags":null,"type":0,"id":"12cd3aa4-dac3-432a-b401-35820a2fc4d5","username_lower":"jwtuser","updated_at":1685478265}

二、生成jwt的所需要的key和密钥

[root@min ~]# curl -X POST http://localhost:8001/consumers/jwtuser/jwt 
{"created_at":1685478442,"consumer":{"id":"12cd3aa4-dac3-432a-b401-35820a2fc4d5"},"tags":null,"key":"64Lwa8LvHKVw8sPhguxD3V64I2CF6Aek","id":"0577790e-4d96-4fca-9050-c14397a3723e","algorithm":"HS256","secret":"ICk6bhhl7B8Dun2KFWeMkafUB7MDTuTm","rsa_public_key":null}

三、在https://jwt.io/的生成jwt token

生成的jwt对应token为eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiI2NEx3YThMdkhLVnc4c1BoZ3V4RDNWNjRJMkNGNkFlayJ9.gg8qekmA9UR5I3m-BTZjm5rt9lcPfaKoXwd0DS0d-VI

在这里插入图片描述

四、启用jwt插件

这里我们通过http://localhost:8001/plugins/接口来进行启用jwt插件

[root@min ~]# curl -X POST http://localhost:8001/plugins/ \
>     --data "name=jwt"  \
>     --data "config.uri_param_names=paramName_2.2.x"
{"created_at":1685478938,"consumer":null,"protocols":["grpc","grpcs","http","https"],"updated_at":1685478938,"ordering":null,"enabled":true,"instance_name":null,"id":"be82a370-90ec-4237-b2a5-0ae32e1e5e12","service":null,"name":"jwt","tags":null,"config":{"maximum_expiration":0,"run_on_preflight":true,"claims_to_verify":null,"key_claim_name":"iss","anonymous":null,"header_names":["authorization"],"secret_is_base64":false,"cookie_names":[],"uri_param_names":["paramName_2.2.x"]},"route":null}

创建成功后,就可以在konga的控制面板上新增了jwt的插件

在这里插入图片描述

五、发送请求的时候携带jwt的token信息

5.1、采用在请求头中携带jwt 鉴权信息

  header头的key为:Authorization,value为:Bearer   +  第二步中生成的token信息

在这里插入图片描述

5.2、 采用请求参数中携带

在这里插入图片描述

5.3、使用cookie携带

携带cookie前先需要开启插件使用cookie的携带能力
在这里插入图片描述
功能启用后,那么在Cookie中携带
在这里插入图片描述

张声录1
关注
【云原生网关Kong 使用详解
congge
05-02 6061
云原生网关kong使用详解
如何使用 KONGJWT 插件
surfirst的博客
07-11 2843
KONG 是一款很受欢迎的 API GATEWAY,使用它可以降低开发微服务的代码,因为我们可以通过配置来实现诸如认证 (Authentication) 和 (Authorization) 的功能。 JWT 是现代 Web 软件经常用到的一种认证和授权方式,要让KONG 支持 JWT 认证,开发者需要首先配置好在 KONG 中为指定的微服务增加一个 service,然后给 service 增加一个 router。 给 router 增加 JWT 插件 接下来开发者需要给 router 增加 jwt 插件
Kong 尝试使用JWT Plugin
BLOCKGOLD.E的博客
02-20 522
HEADER改为exp nbf 为数字但还是提示must by number。
Kong 集成 Jwt 插件
罗伯特是疯子丶
02-22 974
Kong 集成 Jwt 插件 上一篇文章使用 Kong 完成了负载均衡的配置,本文介绍下在此基础上如何集成 jwt 插件来保护内部服务的安全。前置知识点:Jwt 基础概念。推荐阅读: 通俗易懂地介绍 Jwt https://blog.leapoahead.com/2015/09/06/understanding-jwt/ Jwt 的官网 https://jwt.io/ 为 Kong 安装 Jwt 插件 Kong 官方提供了 Jwt 插件,可以对 某个 service 或者 route 添加 Jwt 认证,我
API Gateway/API 网关(四) - Kong的使用 - 集成Jwt和熔断插件
anron的专栏
06-22 3460
API Gateway/API 网关 - Kong的使用 - 集成Jwt插件
Kong网关中使用JWT认证
锐意工作室
07-20 3658
文章目录在Kong网关中使用JWT认证前言JWT认证添加JWT插件生成Consumer的JWT credentials测试JWT认证的其他用法参考文档 在Kong网关中使用JWT认证 前言 在Kong网关快速入门指南 一文中介绍了Basic认证和HMAC认证方式,本文介绍在Kong网关中使用JWT认证JWT认证 添加JWT插件 在Service下添加JWT插件,全部保持默认值。 查看插件详情: uri param names: `jwt` key claim name: `iss` secret is
Kong 网关 JWT 认证与 CORS 配置完整指南
最新发布
qq_39867399的博客
03-28 913
Kong 网关 JWT 认证与 CORS 配置完整指南
Kong网关自定义插件开发
LaurentNg的博客
07-05 1352
本文章旨在提供了一个简单的kong网关自定义插件开发的思路与步骤,并未涉及到更深层次的开发,如有需要,请参考kong网关插件开发官方文档。在进行开发之前,本文章默认读者是已经成功启动了本地kong网关服务并知道kong网关控制面板的基本操作。本文章的kong网关是在docker容器中运行的,版本为3.2.2.1。
Kong网关身份认证
mrcool2012的博客
05-29 1474
启用basic-auth的插件:注意不能直接全局开启,需要在services上或者 routes上开启。HEADER:base64(json ). base64(payload). 下面的代码块。"user2:123456" 转换成 base64:dXNlcjI6MTIzNDU2。生成认证信息:网址:https://jwt.io/#debugger-io。请求的时候,带上 凭证,前提需要做base64的转换。删除插件:(注意:最后是 插件的ID,不是名称)给用户分配认证信息(扩展:账号密码 等)。
Kong网关中使用OAuth2认证
锐意工作室
07-21 3542
文章目录在Kong网关中使用OAuth2认证前言在Kong上开启HTTPSOAuth2认证添加OAuth2插件创建Consumer的OAuth2 credential测试OAuth2 Authorization Flow获取Authorization Code获取Access Token用Access Token来调用接口用Refresh Token来重新获取Access Token与IDP集成参考文档 在Kong网关中使用OAuth2认证 前言 在Kong网关快速入门指南 和 在Kong网关中使用JWT
Python-kong网关JWT插件含踢下线功能
08-10
实现了Jwt拦截,登录时调用第三方登录接口。登录后会生成JWT-token,把返回的jwt-token放入hearder里面,下次请求插件会解析出加密前的登录信息,放入hearder里面,然后再访问相应的业务系统
Kong JWT鉴权
A1L__的博客
07-14 837
​ 最简单的理解和配置consumer的方式是,将其于用户进行一一映射,即一个consumer代表一个用户(或应用).但是对于KONG而言,这些都无所谓. Consumer的核心原则是您可以为其添加插件,从而自定义他的请求行为. 所以,或许您会有一个手机APP应用,并为他的每个版本都定义一个consumer, 又或者您有一个应用或几个应用,并为这些应用定义统一个consumer,这些都无所谓.
konga插件jwt
WeiJiaXiaoBao的专栏
12-26 1072
ROUTES添加jwt(为路由添加一个授权用户的jwt),可以添加多个 点击NAME/ID 点击+ADD PLUGIN ADD PLUGIN(重点consumer的id通过API:http://{自己的host}:8001/consumers查看,填到红框),没有consumer的可以自己新建一个,先跳过这一步看下一步 新建consumer 选择新建的用户,Crede...
kong系列十一】之JWT插件RSA256非对称加密使用
热门推荐
Java高手真经
09-19 1万+
kong JWT插件使用RSA256加密算法,验证非对称加密使用。
kong自定义插件解析jwt
weixin_44259356的博客
07-11 1272
按照公司要求编写的一个kong自定义插件,实现解析jwt,然后查询redis数据库验证身份,最后将解析参数放入header传入上游服务器 项目已托管GitHubhttps://github.com/MyRong12138/my-jwt/ ...
网关进行jwt鉴权
FourZeroZero's home
04-12 2859
前端接口都进过网关,然后通过网关进行分发。所以在网关中鉴权,就可以把没有需要登录的请求在网关层进行拦截。 redis进行存储token和jwt实现token两种方案的对比 去中心化的JWT实现oken 优点: 去中心化,便于分布式系统使用 基本信息可以直接放在token中。 username,nickname,role 功能权限信息可以直接放在token中。用bit位表示用户所具有的功能权限 缺点:服务端无法主动让token失效 中心化的 redis token / memory session
api网关-kong
qq_40432598的博客
01-11 1524
api网关-kong
Kong Gateway - 07 基于网关服务的JWT验证
lc的大脑备份
05-10 768
本文转载自https://blog.youkuaiyun.com/zhengzizhi/article/details/80244091
konga--添加jwt插件详细步骤
hhj724的专栏
11-21 3878
注意:添加jwt插件前,先实现接口正常访问 给kong添加插件,主要是实现对访问接口限制。可针对所有consumer,或者某个consumer 步骤如下: 1.配置完成的service和route 参照 添加service和route 2.配置consumer,同时设置jwt 创建consumer 添加jwt配置 可以ke...
举一个kong网关与容奇网络的组网案例
03-01
<think>好的,我现在需要帮用户找一个Kong网关和容器网络结合的组网案例。首先,我需要回顾之前用户的问题,他们之前询问过容器网络如何接入物理网络以及Kong网关的基本概念。现在用户希望有一个具体的组网案例,可能需要一个实际应用的例子来更好地理解两者如何协同工作。 首先,我得明确用户的需求。他们可能是在搭建一个基于容器的微服务架构,需要一个网关来处理流量,同时需要容器网络能够和物理网络互通。用户可能对如何将Kong部署到这样的环境中,以及网络配置的具体步骤感兴趣。 接下来,我需要回忆Kong网关的常见部署方式。Kong可以作为Kubernetes的Ingress Controller,或者作为独立的网关服务。而容器网络方面,可能需要选择覆盖网络如Calico或Flannel,或者路由直通的方式,比如BGP。这里需要选择一个典型的场景,比如在Kubernetes集群中使用Calico作为网络插件,结合Kong Ingress Controller来管理外部流量。 然后,考虑具体的组网架构。可能需要描述各个组件的位置,比如Kong部署在集群内部还是外部,如何暴露服务,以及网络流量如何流动。同时,需要考虑安全组、负载均衡器的配置,以及可能的插件使用,比如限流、认证等。 另外,用户可能希望案例中有具体的配置步骤或命令示例,比如如何部署Kong,如何定义Ingress资源,以及如何配置Calico的网络策略。不过,用户的问题并没有明确要求详细步骤,所以可能需要保持案例的高层次描述,但提供足够的细节让用户理解流程。 还需要注意用户提到的“容器网络”可能指的是容器之间的网络通信,而“物理网络”则是底层的基础设施网络。因此,案例中需要展示容器如何通过Kong网关与外部通信,同时确保网络策略和安全措施到位。 可能存在的挑战是确保网络配置正确,比如Calico的BGP配置是否正确与物理路由器对等,Kong的Ingress规则是否正确路由到后端服务。此外,需要考虑高可用性,比如Kong的多个实例和负载均衡器的设置。 最后,总结案例的关键点,强调Kong作为流量入口的优势,以及Calico提供的网络性能和策略管理能力。这可以帮助用户理解为什么选择这样的组合,以及它们如何解决实际问题。</think>--- ### Kong网关与容器网络组网案例:Kubernetes + Calico + Kong #### **场景背景** 某企业需将内部微服务迁移至Kubernetes集群,要求: 1. 外部用户通过统一域名访问服务(如 `api.example.com`)。 2. 容器跨节点通信需高性能,避免隧道开销。 3. 实现API限流、JWT鉴权等安全策略。 --- #### **架构设计** | 组件 | 角色说明 | |-----------------|----------------------------------| | **Kubernetes** | 容器编排平台,部署微服务Pod | | **Calico** | 容器网络插件,基于BGP路由直通 | | **Kong** | API网关Kong Ingress Controller)| | **MetalLB** | 裸机负载均衡器,对外暴露Kong服务 | --- #### **组网流程** ##### **1. 容器网络搭建(Calico)** - **目标**:实现跨节点容器直接路由。 - **配置步骤**: 1. 部署Kubernetes集群,安装Calico网络插件。 2. 配置Calico使用**BGP模式**,与物理路由器建立对等连接。 ```bash # 示例:Calico BGP配置(Node配置) apiVersion: projectcalico.org/v3 kind: BGPPeer metadata: name: peer-to-router spec: peerIP: 192.168.100.1 # 物理路由器IP asNumber: 64512 # 路由器AS号 ``` 3. 物理路由器学习到容器子网路由(如 `10.244.0.0/16`),直接转发流量到对应节点。 --- ##### **2. 部署Kong网关** - **目标**:作为集群入口,管理API流量。 - **部署方式**: 1. 通过Helm安装Kong Ingress Controller: ```bash helm repo add kong https://charts.konghq.com helm install kong kong/kong -n kong --create-namespace \ --set ingressController.installCRDs=false ``` 2. 使用**MetalLB**为Kong Service分配外部IP(如 `192.168.100.100`): ```yaml # kong-service.yaml apiVersion: v1 kind: Service metadata: name: kong-proxy annotations: metallb.universe.tf/address-pool: public-ips spec: ports: - name: http port: 80 targetPort: 8000 - name: https port: 443 targetPort: 8443 type: LoadBalancer ``` --- ##### **3. 配置API路由与策略** - **目标**:将 `api.example.com` 的请求路由到后端服务,并启用安全插件。 - **操作步骤**: 1. 部署后端服务(如 `user-service`),并通过ClusterIP暴露。 2. 创建Kong Ingress规则: ```yaml # ingress.yaml apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: api-ingress annotations: konghq.com/strip-path: "true" konghq.com/plugins: jwt-auth, rate-limiting spec: ingressClassName: kong rules: - host: api.example.com http: paths: - path: /users pathType: Prefix backend: service: name: user-service port: number: 80 ``` 3. 启用Kong插件(限流+JWT鉴权): ```bash # 创建限流插件 kubectl apply -f - <<EOF apiVersion: configuration.konghq.com/v1 kind: KongClusterPlugin metadata: name: global-rate-limit annotations: kubernetes.io/ingress.class: kong plugin: rate-limiting config: minute: 100 policy: local EOF ``` --- ##### **4. 外部访问验证** 1. 用户访问 `http://api.example.com/users`,DNS解析到MetalLB分配的IP `192.168.100.100`。 2. Kong网关接收请求,验证JWT令牌并检查限流策略。 3. 请求通过Calico路由直达后端Pod(无隧道封装),响应返回用户。 --- #### **关键技术点** | 组件 | 解决的问题 | |------------|-----------------------------------| | **Calico** | 容器跨节点直连,避免VXLAN性能损耗 | | **Kong** | 统一入口、安全策略、流量治理 | | **MetalLB**| 在裸机环境提供负载均衡IP分配 | --- #### **扩展优化** 1. **高可用**:部署多个Kong实例,通过Keepalived实现VIP漂移。 2. **监控**:集成Prometheus监控Kong的请求延迟、错误率。 3. **网络策略**:通过Calico NetworkPolicy限制Pod间通信。 --- ### 总结 该方案通过 **Calico BGP路由** 实现高性能容器网络,结合 **Kong网关** 统一管理API流量,适合需要低延迟、高安全性的企业级微服务场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值