红帽全球峰会12.2. APIcast 如何处理 JSON Web 令牌
APIcast 通过检查对 API 使用者应用返回的 OpenID Connect 身份提供程序,从而处理每个请求。该请求包含由集成的 OpenID Connect 身份提供程序发布的 JWT。JWT 必须位于 Authorization 标头中,且必须使用 Bearer 模式。例如,标头应类似如下:
Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwczovL2lkcC5leGFtcGxlLmNvbSIsInN1YiI6ImFiYzEyMyIsIm5iZiI6MTUzNzg5MjQ5NCwiZXhwIjoxNTM3ODk2MDk0LCJpYXQiOjE1Mzc4OTI0OTQsImp0aSI6ImlkMTIzNDU2IiwidHlwIjoiQmVhcmVyIn0.LM2PSmQ0k8mR7eDS_Z8iRdGta-Ea-pJRrf4C6bAiKz-Nzhxpm7fF7oV3BOipFmimwkQ_-mw3kN--oOc3vU1RE4FTCQGbzO1SAWHOZqG5ZUx5ugaASY-hUHIohy6PC7dQl0e2NlAeqqg4MuZtEwrpESJW-VnGdljrAS0HsXzd6nENM0Z_ofo4ZdTKvIKsk2KrdyVBOcjgVjYongtppR0cw30FwnpqfeCkuATeINN5OKHXOibRA24pQyIF1s81nnmxLnjnVbu24SFE34aMGRXYzs4icMI8sK65eKxbvwV3PIG3mM0C4ilZPO26doP0YrLfVwFcqEirmENUAcHXz7NuvA
Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJodHRwczovL2lkcC5leGFtcGxlLmNvbSIsInN1YiI6ImFiYzEyMyIsIm5iZiI6MTUzNzg5MjQ5NCwiZXhwIjoxNTM3ODk2MDk0LCJpYXQiOjE1Mzc4OTI0OTQsImp0aSI6ImlkMTIzNDU2IiwidHlwIjoiQmVhcmVyIn0.LM2PSmQ0k8mR7eDS_Z8iRdGta-Ea-pJRrf4C6bAiKz-Nzhxpm7fF7oV3BOipFmimwkQ_-mw3kN--oOc3vU1RE4FTCQGbzO1SAWHOZqG5ZUx5ugaASY-hUHIohy6PC7dQl0e2NlAeqqg4MuZtEwrpESJW-VnGdljrAS0HsXzd6nENM0Z_ofo4ZdTKvIKsk2KrdyVBOcjgVjYongtppR0cw30FwnpqfeCkuATeINN5OKHXOibRA24pQyIF1s81nnmxLnjnVbu24SFE34aMGRXYzs4icMI8sK65eKxbvwV3PIG3mM0C4ilZPO26doP0YrLfVwFcqEirmENUAcHXz7NuvA有许多开源工具可用于安全地解码 JWT。请注意,您不会在公共 Web 工具中解码 JWT。在解码的 JWT 中,您可以看到令牌有三个部分:
- 标头提供有关如何生成令牌的信息,以及用于为令牌签名的算法。
- 有效负载标识发送请求的 API 使用者。详情包括此 API 使用者可以执行的读写操作、API 使用者的电子邮件地址以及有关 API 用户的其他信息。
- 签名是一个加密签名,表示该令牌没有被修改。
APIcast 检查 JWT 是否存在以下特征:
完整性 :JWT 是否被恶意用户更改?签名是否有效?
JWT 包含令牌的接收器可以验证的签名,以确保已知签发者为令牌签名。此验证还保证其内容保持在创建后。3scale 支持基于公钥/私钥对的 RSA 签名。颁发者使用私钥为 JWT 签名。APIcast 使用公钥验证令牌。APIcast 使用 OpenID Connect Discovery 获取可用于验证 JWT 签名的 JSON Web Keys (JWK)。
-
时间 :当前的时间是否比令牌可接受处理的时间要长?JWT 是否已过期?换句话说,APIcast 会检查 JWT
nbf(不要在时间之前)和过期(过期时间)声明。 -
签发者 :对 APIcast 已知的 OpenID Connect 身份提供程序是否颁发的 JWT?换句话说,APIcast 会验证 JWT 中指定的签发者是否与 OpenID Connect Issuer 字段中配置的 API 提供程序的签发者相同。签发者的规格是集成 3scale 和 OpenID Connect 身份提供程序的过程的一部分。
这是 JWT 声明。 -
客户端 ID :令牌是否包含已知 APIcast 的 3scale 客户端应用程序 ID?此客户端 ID 必须与将 3scale 与 OpenID Connect 身份提供程序集成过程中指定的 API 供应商匹配 ClientID Token Claim。这是 JWT 发布的 JWT 和
aud
如果任何 JWT 验证或授权检查失败,则 APIcast 会返回一个 身份验证失败 错误。否则,APIcast 将请求发送到 3scale 上游 API 后端。Authorization 标头保留在请求中,因此 API 后端也可以使用 JWT 检查用户和客户端身份。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}