0

我已经成功地在我的应用程序中包含了一个 jwt 身份验证令牌,并且能够限制对端点的访问。我想将用户的 ID 嵌入到 jwt 令牌中,但我正在努力如何在 Ktor 中实现 jwt 验证程序。

我为客户端创建了一个令牌,如下所示:

val token = JWT.create().withAudience(audience).withIssuer(issuer).withClaim("userId", "XXX").sign(algorithm)

路线是这样设置的。authentication {} 块在服务器启动时运行,并且不允许使用 userId 创建验证程序。

这来自 jwt 示例:

route("/api") {
    authentication {
        val jwtVerifier = makeJwtVerifier(issuer, audience)
        jwtAuthentication(jwtVerifier, realm) { credential ->
        if (credential.payload.audience.contains(audience))
            JWTPrincipal(credential.payload)
        else
            null
    }

    handle {
       // Handle jwt succcess here
    }
}

private fun makeJwtVerifier(issuer: String, audience: String): JWTVerifier = JWT
        .require(algorithm)
        .withAudience(audience)
        .withIssuer(issuer)
        .build()

这样做的正确方法是什么?我知道我需要为每个请求创建一个验证器,但不知道在哪里执行此操作,也不知道这是否可取。

4

1 回答 1

1

你应该在这里实现它。您不需要检查用户 ID 的验证程序。

jwtAuthentication(jwtVerifier, realm) { credential ->
  if (credential.payload.audience.contains(audience))
    val userId = credential.payload.claims["userId"].asString()
    // check if user exists ... if you want

    JWTPrincipal(credential.payload)
  else
    null
}
于 2018-03-07T04:48:40.477 回答