2

我有一个 Laravel(Lumen) 登录 API,它使用 HS256 生成 JWT。然后我将我的不记名令牌发送到 Envoy Gateway 并从 Envoy 获取

JWT 验证失败

在官方 JWT 解码站点上,我可以成功解码并验证我的不记名令牌。在这里我生成我的 JWT:

{
    $payload = [
        'iss' => config('app.name'),                  // Issuer vom Token
        'sub' => strval($user->ID),                       // Subject vom Token
        'username' => $user->username,
        'iat' => time() - 500,                            // Time when JWT was issued.
        'exp' => time() + config('jwt.ttl'),         // Expiration time
        'alg' => 'HS256',
        'kid' => 'ek4Z9ouLmGnCoezntDXMxUwmjzNTBqptKNkfaqc6Ew8'
    ];
    $secretKey = 'helloworld'; //my base64url

    $jwtEnc = JWT::encode($payload, $secretKey, $payload['alg'], $payload['kid']);

    return $jwtEnc;
}

这是我的特使配置:

static_resources:
  listeners:
    - name: listener_0
      address:
        socket_address:
          address: 0.0.0.0
          port_value: 10000
      filter_chains:
        - filters:
            - name: envoy.filters.network.http_connection_manager
              typed_config:
                '@type': 'type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager'
                stat_prefix: edge
                http_filters:
                  - name: envoy.filters.http.jwt_authn
                    typed_config:
                      "@type": type.googleapis.com/envoy.extensions.filters.http.jwt_authn.v3.JwtAuthentication
                      providers:
                        provider1:
                          issuer: 'Lumen'
                          forward: true
                          local_jwks:
                            inline_string: '{"keys": [{"kty": "oct", "use": "sig", "kid": "ek4Z9ouLmGnCoezntDXMxUwmjzNTBqptKNkfaqc6Ew8", "k": "helloworld", "alg": "HS256"}]}' //'k' is here base64url
                      rules:
                        - match:
                            prefix: "/list"
                          requires:
                            provider_name: "provider1"
                  - name: envoy.filters.http.router
                route_config:
                  virtual_hosts:
                    - name: all_domains
                      domains: [ "*" ]
                      routes:
                        - match:
                            prefix: "/api"
                          route:
                            cluster: loginapi
  clusters:
    - name: loginapi
      connect_timeout: 5s
      load_assignment:
        cluster_name: loginapi
        endpoints:
          - lb_endpoints:
              - endpoint:
                  address:
                    socket_address:
                      address: 0.0.0.0
                      port_value: 8080
4

1 回答 1

2

令牌使用对称算法 (HS256) 进行签名和验证。
对称密钥的关键参数在 Envoy 配置的参数中以JSON Web Key的形式提供。local_jwks参数“k”中的键值本身应该以 Base64Url 格式存储:

“k”(键值)参数包含对称(或其他单值)键的值。它表示为包含键值的八位字节序列的 base64url 编码。

(参见RFC7518 第 6.4.1 节

此处使用 Base64Url 编码以便能够使用二进制密钥(即每个字节可以具有从 0 到 255 的全范围内的任何值的密钥)进行签名。

当密钥用于签名和验证时,必须将其解码为(可能)二进制形式。

为了坚持简单的示例键“helloworld”(当然,只是为了说明,而不是真正的键),这个键必须"k":"aGVsbG93b3JsZA"在配置中的内联 jwk 中存储为(“helloworld”的 base64url 形式),并且以未编码的形式“helloworld”用于对令牌进行签名。接收端也使用 k 的 base64url 解码值来验证签名。

概括:

  • 创建一个二进制密钥并 base64url 对其进行编码
  • local_jwks将编码后的密钥存储在 Envoy 配置中参数的“k”参数中
  • 解码“k”的值以将其用作验证或签署令牌的密钥
于 2021-12-13T21:22:05.387 回答