个人中心
gpt4 book ai didi

Envoy 验证失败

转载 作者:行者123 更新时间:2023-12-05 01:55:33 25 4
gpt4 key购买 nike

我有一个 Laravel(Lumen) 登录 API,它使用 HS256 生成一个 JWT。然后我将我的不记名 token 发送到 Envoy Gateway 并从 Envoy 获取

JWT verification fails

在官方 JWT 解码网站上,我可以成功解码并验证我的不记名 token 。在这里我生成我的 JWT:

{
    $payload = [
        'iss' => config('app.name'),                  // Issuer vom Token
        'sub' => strval($user->ID),                       // Subject vom Token
        'username' => $user->username,
        'iat' => time() - 500,                            // Time when JWT was issued.
        'exp' => time() + config('jwt.ttl'),         // Expiration time
        'alg' => 'HS256',
        'kid' => 'ek4Z9ouLmGnCoezntDXMxUwmjzNTBqptKNkfaqc6Ew8'
    ];
    $secretKey = 'helloworld'; //my base64url

    $jwtEnc = JWT::encode($payload, $secretKey, $payload['alg'], $payload['kid']);

    return $jwtEnc;
}

这是我的特使配置:

static_resources:
  listeners:
    - name: listener_0
      address:
        socket_address:
          address: 0.0.0.0
          port_value: 10000
      filter_chains:
        - filters:
            - name: envoy.filters.network.http_connection_manager
              typed_config:
                '@type': 'type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager'
                stat_prefix: edge
                http_filters:
                  - name: envoy.filters.http.jwt_authn
                    typed_config:
                      "@type": type.googleapis.com/envoy.extensions.filters.http.jwt_authn.v3.JwtAuthentication
                      providers:
                        provider1:
                          issuer: 'Lumen'
                          forward: true
                          local_jwks:
                            inline_string: '{"keys": [{"kty": "oct", "use": "sig", "kid": "ek4Z9ouLmGnCoezntDXMxUwmjzNTBqptKNkfaqc6Ew8", "k": "helloworld", "alg": "HS256"}]}' //'k' is here base64url
                      rules:
                        - match:
                            prefix: "/list"
                          requires:
                            provider_name: "provider1"
                  - name: envoy.filters.http.router
                route_config:
                  virtual_hosts:
                    - name: all_domains
                      domains: [ "*" ]
                      routes:
                        - match:
                            prefix: "/api"
                          route:
                            cluster: loginapi
  clusters:
    - name: loginapi
      connect_timeout: 5s
      load_assignment:
        cluster_name: loginapi
        endpoints:
          - lb_endpoints:
              - endpoint:
                  address:
                    socket_address:
                      address: 0.0.0.0
                      port_value: 8080


最佳答案

使用对称算法 (HS256) 对 token 进行签名和验证。
对称 key 的关键参数以 JSON Web Key 的形式提供。在 Envoy 配置的 local_jwks 参数中。参数“k”中的键值本身应该以 Base64Url 格式存储:

The "k" (key value) parameter contains the value of the symmetric (or other single-valued) key. It is represented as the base64url encoding of the octet sequence containing the key value.

(参见 RFC7518 Section 6.4.1)

这里使用 Base64Url 编码是为了能够使用二进制 key (即其中每个字节可以具有 0 到 255 的完整范围内的任何值的 key )进行签名。

当 key 用于签名和验证时,必须将其解码为(可能)二进制形式。

为了坚持简单的示例 key “helloworld”(当然,只是为了说明,而不是真正的 key ),这个 key 必须存储为 "k":"aGVsbG93b3JsZA" (“helloworld”的 base64url 形式)在配置中的内联 jwk 和以未编码形式“helloworld”用于对 token 进行签名。接收端也使用k的base64url解码值来验证签名。

总结:

  • 创建一个二进制 key 并对其进行 base64url 编码
  • 将编码后的 key 存储在Envoy配置中local_jwks参数的“k”参数中
  • 解码“k”的值,将其用作验证或签署 token 的 key

关于Envoy 验证失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70201956/

25 4 0
文章推荐: amazon-web-services - 从 SNS 触发 Step Function
文章推荐: uno-platform - WinUI - 无法加载 DLL 'Microsoft.ui.xaml.dll'
文章推荐: java - Kotlin 。如何格式化末尾为零的十进制数?
文章推荐: php - 获取 HTML 内容并将其显示为纯文本
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com