使用Nginx和Lua进行JWT校验介绍_Nginx

使用Nginx和Lua进行JWT校验介绍

2022-01-12 17:20jiangshanwe Nginx

大家好，本篇文章主要讲的是使用Nginx和Lua进行JWT校验介绍，感兴趣的同学赶快来看一看吧，对你有帮助的话记得收藏一下

前言

因为不涉及到数据库和其它资源的依赖，jwt本身也是无状态的。因此鉴权服务没有再基于java或者其它语言来做。而是使用lua脚本对nginx做了一个增强：使用lua脚本来校验token是否有效，无效直接返回401，有效则原样转发。

lua脚本

这里的secret我遇到了很大的坑。一开始直接从java后端项目中复制了密钥出来，但是一直提示signature mismatch:，后来发现后端应用中使用base64decode相关方法，在lua脚本中增加了ngx.decode_base64(secret)处理secret后解决问题。其实到这里还没有解决问题，在后端debug代码的时候，发现后端密钥被decode的结果是一串乱码，为了避免乱码的问题，通过https://www.base64encode.org/重新生成secret才最终解决了问题。
如果你的项目中也遇到了这个signature mismatch:错误，需要排查一下后端在生成token的时候，是否有对secret进行decode或者其它处理，在lua脚本中也要进行相应的处理。

使用Nginx和Lua进行JWT校验介绍

nignx.conf配置

				?

									-- nginx-jwt.lua

									local cjson = require "cjson"

									local jwt = require "resty.jwt"

									--your secret

									local secret = "yoursecrethere"

									--无需鉴权api清单

									local no_need_token_api_list = {'/api/register', '/api/login'}

									local function ignore_url (val)

									    for index, value in ipairs(no_need_token_api_list) do

									        if (value == val) then

									            return true

									        end

									    end

									    return false

									end

									local m = {}

									function m.auth()

									    if ignore_url(ngx.var.request_uri) then

									        return

									    else

									    end

									    -- require authorization request header

									    local auth_header = ngx.var.http_authorization

									    if auth_header == nil then

									        ngx.log(ngx.warn, "no authorization header")

									        ngx.exit(ngx.http_unauthorized)

									    end

									    -- require bearer token

									    local _, _, token = string.find(auth_header, "bearer%s+(.+)")

									    if token == nil then

									        ngx.log(ngx.err, "missing token")

									        ngx.exit(ngx.http_unauthorized)

									    end

									    --decode_base64和后端保持一致

									    local jwt_obj = jwt:verify(ngx.decode_base64(secret), token)

									    if jwt_obj.verified == false then

									        ngx.log(ngx.err, "invalid token: ".. jwt_obj.reason)

									        ngx.status = ngx.http_unauthorized

									        ngx.say(cjson.encode(jwt_obj))

									        ngx.header.content_type = "application/json; charset=utf-8"

									        ngx.exit(ngx.http_unauthorized)

									    end

									end

									return m

dockerfile配置

				?

									worker_processes 1;

									events

									{

									  worker_connections 1024;

									}

									http

									{

									  lua_package_path "/opt/lua-resty-jwt/lib/?.lua;;";

									  upstream backend

									  {

									    server 192.168.1.1:8080;

									  }

									  access_log /logs/nginx_access.log;

									  error_log /logs/nginx_error.log;

									  server

									  {

									    listen 80;

									    #后端api接口代理

									    location /api/

									    {

									      access_by_lua_block

									      {

									        local obj = require('nginx-jwt')

									        obj.auth()

									      }

									      proxy_pass http://backend;

									      proxy_redirect off;

									      proxy_set_header host $host;

									      proxy_set_header x-real-ip $remote_addr;

									      proxy_set_header x-forwarded-for $proxy_add_x_forwarded_for;

									    }

									  }

									}