pdok/jwtproxy

JWT认证反向代理

镜像概述和主要用途

该镜像提供一个带JWT（JSON Web Token）认证功能的反向代理服务。它作为前端网关，拦截所有传入请求并进行JWT验证，仅允许携带有效JWT的请求转发至后端服务，有效保护API资源安全。

核心功能和特性

• 请求过滤：拒绝以下类型的请求：
  • 无authorization HTTP头的请求
  • authorization头中不包含JWT的请求
  • JWT已过期或无效的请求
  • JWT发行者（iss）未识别的请求
  • 无法用发行者对应公钥验证签名的JWT请求
• 灵活配置：支持通过环境变量或命令行参数配置
• 密钥管理：支持通过环境变量或JSON文件配置发行者与公钥的映射关系
• 路径重写：可配置请求前缀剥离，实现路径映射

使用场景和适用范围

• 保护内部API不被未授权访问
• 控制第三方服务对API的访问权限
• 实现基于JWT的API访问控制
• 需要集中式认证的微服务架构

使用方法和配置说明

生成RSA密钥对

客户端需生成RSA密钥对，私钥用于签名JWT，公钥提供给代理用于验证签名：

1. 生成私钥

bash
openssl genrsa -out example_private.pem 2048

2. 提取公钥

bash
openssl rsa -in example_private.pem -outform PEM -pubout -out example_public.pem

JWT最小要求

Header

JWT必须使用RS256算法签名：

json
{
  "alg": "RS256",
  "typ": "JWT"
}

Payload

必须包含发行者（iss）和过期时间（exp）字段：

json
{
  "iss": "custom_issuer.example.com",  // 双方约定的发行者
  "exp": "1504282460"                  // Unix时间戳格式的过期时间
}

配置参数说明

配置可通过环境变量或命令行参数（格式：-参数名）提供：

发行者-公钥映射配置

有两种方式配置发行者与公钥的映射关系：

1. 环境变量方式
使用带相同后缀的JWTPROXY_ISSUER_和JWTPROXY_PUBLIC_KEY_环境变量对：

JWTPROXY_ISSUER_0=example.com
JWTPROXY_PUBLIC_KEY_0=-----BEGIN PUBLIC KEY-----MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxFj26fqmulXntc7kCp9tMs6MEQUsk2r16Jd6k+aZSaLBo0dVgP77q1os10gZT4N0gYH6NsbVqP4+wWAUIDiemhpxq986z5mtB/lGvmHmaQcK/bOnEvcLWinHJZIla1m2RF7diN5/WBRNh8CyYMiW+BV/6dngknBtP7bDpnCkYrySaOQtKRvrech1UFRKgQjD8bprrcUmOFWYrmKe2NCxcQs9RhYuACt3Du2Z4VwVWN2xvL5LlZdWK7jLENe3MkOZU5WcwA7n+K/tulqA9uNRv8cRIL/y8BUwUsUoqBiyVZXQUa7BgE82GoTXtv3uqkN/yZxnlEcaJW5BD1nFzuvuyQIDAQAB-----END PUBLIC KEY-----

2. JSON文件方式
创建包含发行者-公钥映射的JSON文件（注意：公钥中的换行符需替换为\n）：

• 转换公钥格式（处理换行符）：

bash
cat dev_pub.pem | tr '\n' '_' | sed 's/_/\\n/g' > dev_pub2.pem

• keys.json示例：

json
{
    "example.com": "-----BEGIN PUBLIC KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxFj26fqmulXntc7kCp9t\nMs6MEQUsk2r16Jd6k+aZSaLBo0dVgP77q1os10gZT4N0gYH6NsbVqP4+wWAUIDie\nmhpxq986z5mtB/lGvmHmaQcK/bOnEvcLWinHJZIla1m2RF7diN5/WBRNh8CyYMiW\n+BV/6dngknBtP7bDpnCkYrySaOQtKRvrech1UFRKgQjD8bprrcUmOFWYrmKe2NCx\ncQs9RhYuACt3Du2Z4VwVWN2xvL5LlZdWK7jLENe3MkOZU5WcwA7n+K/tulqA9uNR\nv8cRIL/y8BUwUsUoqBiyVZXQUa7BgE82GoTXtv3uqkN/yZxnlEcaJW5BD1nFzuvu\nyQIDAQAB\n-----END PUBLIC KEY-----"
}

运行示例

Docker命令行运行

bash
docker run --link hopeful_pike -p 9090:9090/tcp --rm \
  -e "JWTPROXY_LISTEN_PORT=9090" \
  -e "JWTPROXY_REMOTE_URL=http://hopeful_pike:8080" \
  -v /users/me/keys.json:/keys.json \
  -e "JWTPROXY_CONFIG=keys.json" \
  adrianhesketh/jwtproxy

访问代理服务

使用curl发送带有效JWT的请求：

bash
curl -H "Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpYXQiOiIxNDg2MzkyMjAwIiwiZXhwIjoiMTU4NjM5MjIwMCIsImlzcyI6ImV4YW1wbGUuY29tIn0.McHwUVbe96y-vaTOExPjANm8e8p0v6I7puPf74SV7Jn-QYprrhLlklnBP4MEF77v0LIBUFKgzpOMfldCONId3ktOFOf0117x9iWG3J-Zf6Ni3HinhA9U1pPU7_OhTtkXacmgats8tLWAqmOz46NeyAmHS_dkvodUUPpcHY-AqQtzM4ql6RZpMDstz5dFJWZh9P0_prPknoI-argt2jn-KGajCOIghcGxNarylq5oX62rT9AavavyWGnJW0zLnP9qtIuChzigU542Nbg7y6_E7FaVA2cPICPuiPehn6vVTKuVil0o2SJgFD2J2HQfxa0iDrc8HzbubMGJcw7Vlpkk0w" \
  http://localhost:9090

测试方法

生成测试JWT

可通过jwt.io或JWT库生成测试JWT，Payload应包含：

• iat：JWT生成时间（Unix时间戳）
• exp：过期时间（Unix时间戳）
• iss：发行者（需与配置中的发行者匹配）

示例Payload：

json
{
  "iat": "1486392200",
  "exp": "1586392200",
  "iss": "example.com"
}

命令行验证签名

bash
# 生成数据哈希
openssl dgst -sha256 -binary data.json > hash.bin
openssl base64 -e -in hash.bin -out hash.b64

# 签名哈希
openssl rsautl -in hash.bin -inkey private_test.pem -sign -out signature.bin
openssl base64 -e -in signature.bin -out signature.b64

# 验证签名
openssl rsautl -in signature.bin -verify -inkey public_test.pem -pubin > verified.bin
openssl base64 -e -in verified.bin -out verified.b64

# 比较原始哈希和验证后的哈希（应相同）
cat hash.b64
cat verified.b64