我有一个 nginx 网关,其配置类似于使用 nginx Javascript mod (njs) 的 Google Cloud API 的 API 网关反向代理
我的 default.conf 看起来像这样:
js_include conf.d/oauth2.js; # Location of JavaScript code
js_set $gToken getGoogleAccessToken;
server {
listen 80;
server_name test.apigateway.com;
location / {
proxy_set_header Authorization $gToken;
proxy_pass https://GoogleApithatRequiresAuthentcationURL;
}
location /_oauth_google {
internal;
proxy_method GET;
proxy_set_header Authorization "";
proxy_pass http://localhost:19006/get-token;
}
我的 oath2.js njs (Javascript) 看起来像这样:
function getGoogleAccessToken(r) {
r.subrequest('/_oauth_google',
function(reply) {
if (reply.status == 200) {
var response = JSON.parse(reply.responseBody);
if (response.access_token !== undefined) {
r.log(response.access_token)
return("Bearer " + response.access_token); // Token is valid, return token
} else {
r.return(401); // Token is invalid, return forbidden code
}
} else {
r.return(401); // Unexpected response, return 'auth required'
}
}
)
}
在 http://localhost:19006/get-token 有一个伴随令牌服务,它生成 RS-SHA256 JWT(见下面的代码),并管理和返回 Google 访问令牌。这项服务没有问题。
该代码几乎可以在调试模式下根据 NGINX 日志文件运行。尽管 r.log(response.access_token) 已写入调试日志,但当代理调用 Google API 时,$gToken 的值似乎为空或为空。
日志似乎说调用 js_set $gToken getGoogleAccessToken;没有阻塞,因此
设置了proxy_pass https://GoogleApithatRequiresAuthentcationURL之前执行$gToken。的文档js_set表明应该在第一次访问时设置变量,以便在proxy_set_header Authorization $gToken调用时设置;调用 https://GoogleApithatRequiresAuthentcationURL 的调试日志中不存在授权标头
任何如何使这项工作的想法将不胜感激。没有任何真正好的 nginx 配方可用于代理需要令牌的 API。
这是管理 NGINX 代理的 Google 令牌的 google 令牌服务的工作代码,但这可以适用于其他令牌服务:
const jsrsasign = require('jsrsasign');
const fs = require('fs');
const axios = require('axios');
const express = require('express');
const port = process.env.PORT || 19006;
const app = express();
const NodeCache = require( "node-cache" );
const myCache = new NodeCache();
var querystring = require('querystring');
app.get('/get-g-token', async (req, res) => {
var gToken = myCache.get("gToken");
if (gToken === undefined) {
const sJWT = getJWT();
try{
const resp = await getGoogleToken(sJWT);
console.log(resp.data);
myCache.set( "gToken", resp.data, 3550 )
res.status = resp.status;
res.send(resp.data);
}
catch(err){
console.log(err);
res.status = 500;
res.send(err.message);
}
}
res.status = 200;
res.send(gToken);
});
function getJWT(){
var kid = "yourgooogleprivatekeyid";
var header = {
"alg": "RS256",
"kid": kid,
"typ": "JWT",
};
var data = {
exp: Math.round(new Date().getTime() / 1000) + 3600,
iat: Math.round(new Date().getTime() / 1000),
iss: "service-account@project.iam.gserviceaccount.com",
aud: "https://oauth2.googleapis.com/token",
scope: "https://www.googleapis.com/auth/cloud-platform",
};
var secret = fs.readFileSync('location-of-service-account.pem');
console.log(secret.toString());
console.log(header);
console.log(data);
var sPayload = JSON.stringify(data);
var sJWT = jsrsasign.KJUR.jws.JWS.sign("RS256", header, sPayload, secret.toString());
console.log(sJWT);
return sJWT;
}
async function getGoogleToken(sJWT) {
try {
let config = {
headers: {
"Content-Type": "application/x-www-form-urlencoded",
}
}
const data = {
grant_type: 'urn:ietf:params:oauth:grant-type:jwt-bearer',
assertion: sJWT
}
return axios.post('https://oauth2.googleapis.com/token', querystring.stringify(data), config)
} catch (err) {
return err;
}
}
app.listen(port, () => {
console.log(`Listening on port ${port}`);
});