Envoy 验证 Jwt 失败

Posted

技术标签:

【中文标题】Envoy 验证 Jwt 失败【英文标题】:Jwt verification fails by Envoy 【发布时间】:2022-01-09 02:13:03 【问题描述】:

我有一个 Laravel(Lumen) 登录 API,它使用 HS256 生成 JWT。然后我将我的不记名令牌发送到 Envoy Gateway 并从 Envoy 获取

JWT 验证失败

在官方 JWT 解码网站上,我可以成功解码并验证我的不记名令牌。在这里我生成我的 JWT:


    $payload = [
        'iss' => config('app.name'),                  // Issuer vom Token
        'sub' => strval($user->ID),                       // Subject vom Token
        'username' => $user->username,
        'iat' => time() - 500,                            // Time when JWT was issued.
        'exp' => time() + config('jwt.ttl'),         // Expiration time
        'alg' => 'HS256',
        'kid' => 'ek4Z9ouLmGnCoezntDXMxUwmjzNTBqptKNkfaqc6Ew8'
    ];
    $secretKey = 'helloworld'; //my base64url

    $jwtEnc = JWT::encode($payload, $secretKey, $payload['alg'], $payload['kid']);

    return $jwtEnc;

这是我的 Envoy 配置:

static_resources:
  listeners:
    - name: listener_0
      address:
        socket_address:
          address: 0.0.0.0
          port_value: 10000
      filter_chains:
        - filters:
            - name: envoy.filters.network.http_connection_manager
              typed_config:
                '@type': 'type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager'
                stat_prefix: edge
                http_filters:
                  - name: envoy.filters.http.jwt_authn
                    typed_config:
                      "@type": type.googleapis.com/envoy.extensions.filters.http.jwt_authn.v3.JwtAuthentication
                      providers:
                        provider1:
                          issuer: 'Lumen'
                          forward: true
                          local_jwks:
                            inline_string: '"keys": ["kty": "oct", "use": "sig", "kid": "ek4Z9ouLmGnCoezntDXMxUwmjzNTBqptKNkfaqc6Ew8", "k": "helloworld", "alg": "HS256"]' //'k' is here base64url
                      rules:
                        - match:
                            prefix: "/list"
                          requires:
                            provider_name: "provider1"
                  - name: envoy.filters.http.router
                route_config:
                  virtual_hosts:
                    - name: all_domains
                      domains: [ "*" ]
                      routes:
                        - match:
                            prefix: "/api"
                          route:
                            cluster: loginapi
  clusters:
    - name: loginapi
      connect_timeout: 5s
      load_assignment:
        cluster_name: loginapi
        endpoints:
          - lb_endpoints:
              - endpoint:
                  address:
                    socket_address:
                      address: 0.0.0.0
                      port_value: 8080


【问题讨论】:

【参考方案1】:

令牌使用对称算法 (HS256) 进行签名和验证。 对称密钥的关键参数在 Envoy 配置中的 local_jwks 参数中以 JSON Web Key 的形式提供。参数“k”中的键值本身应该以Base64Url格式存储:

“k”(键值)参数包含对称(或其他单值)键的值。它表示为包含键值的八位字节序列的base64url编码。

(见RFC7518 Section 6.4.1)

此处使用 Base64Url 编码以便能够使用二进制密钥(即每个字节可以具有从 0 到 255 的完整范围内的任何值的密钥)进行签名。

当密钥用于签名和验证时,必须将其解码为(可能)二进制形式。

为了坚持简单的示例键“helloworld”(当然,只是为了说明,而不是真正的键),这个键必须存储为"k":"aGVsbG93b3JsZA"(“helloworld”的base64url形式)在配置中的内联 jwk 和 以未编码的形式“helloworld”用于对令牌进行签名。接收端也使用k的base64url解码值来验证签名。

总结:

创建一个二进制密钥并用 base64url 对其进行编码 将编码后的密钥存储在 Envoy 配置中local_jwks 参数的“k”参数中 解码“k”的值,将其用作验证或签署令牌的密钥

【讨论】:

非常感谢!很有帮助!

以上是关于Envoy 验证 Jwt 失败的主要内容,如果未能解决你的问题,请参考以下文章

使用 PHP 的 JWT“签名验证失败”

使用 PyJWT 的 Jwt 解码引发签名验证失败

JWT/OAuth 令牌签名验证失败

JWT 验证失败

JWT 验证失败

混合 JWT 和 Windows 身份验证。 jwt 失败后弹出凭据