jwe-decrypt
描述#
jwe-decrypt 插件,用于解密 APISIX Service 或者 Route 请求中的 JWE 授权请求头。
插件增加了一个 /apisix/plugin/jwe/encrypt 的内部 API,提供给 JWE 加密使用。解密时,秘钥应该配置在 Consumer内。
属性#
Consumer 配置:
| 名称 | 类型 | 必选项 | 默认值 | 有效值 | 描述 |
|---|---|---|---|---|---|
| key | string | True | Consumer 的唯一 key | ||
| secret | string | True | 解密密钥,必须为 32 位。秘钥可以使用 Secret 资源保存在密钥管理服务中 | ||
| is_base64_encoded | boolean | False | false | 如果密钥是 Base64 编码,则需要配置为 true |
note
注意,在启用 is_base64_encoded 后,你的 secret 长度可能会超过 32 位,你只需要保证在 Decode 后的长度仍然是 32 位即可。
Route 配置:
| 名称 | 类型 | 必选项 | 默认值 | 描述 |
|---|---|---|---|---|
| header | string | True | Authorization | 指定请求头,用于获取加密令牌 |
| forward_header | string | True | Authorization | 传递给 Upstream 的请求头名称 |
| strict | boolean | False | true | 如果为配置为 true,请求中缺失 JWE token 则抛出 403 异常。如果为 false, 在缺失 JWE token 的情况下不会抛出异常 |
启用插件#
首先,基于 jwe-decrypt 插件创建一个 Consumer,并且配置解密密钥:
curl http://127.0.0.1:9180/apisix/admin/consumers -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
"username": "jack",
"plugins": {
"jwe-decrypt": {
"key": "user-key",
"secret": "-secret-length-must-be-32-chars-"
}
}
}'
下一步,基于 jwe-decrypt 插件创建一个路由,用于解密 authorization 请求头:
curl http://127.0.0.1:9180/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
"methods": ["GET"],
"uri": "/anything*",
"plugins": {
"jwe-decrypt": {}
},
"upstream": {
"type": "roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'
使用 JWE 加密数据#
该插件创建了一个内部的 API /apisix/plugin/jwe/encrypt 以使用 JWE 进行加密。要公开它,需要创建一个对应的路由,并启用 public-api 插件:
curl http://127.0.0.1:9180/apisix/admin/routes/jwenew -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
"uri": "/apisix/plugin/jwe/encrypt",
"plugins": {
"public-api": {}
}
}'
向 API 发送一个请求,将 Consumer 中配置的密钥,以参数的方式传递给 URI,用于加密 payload 中的一些数据。
curl -G --data-urlencode 'payload={"uid":10000,"uname":"test"}' 'http://127.0.0.1:9080/apisix/plugin/jwe/encrypt?key=user-key' -i
您应该看到类似于如下内容的响应结果,其中 JWE 加密的数据位于响应体中:
HTTP/1.1 200 OK
Date: Mon, 25 Sep 2023 02:38:16 GMT
Content-Type: text/plain; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
Server: APISIX/3.5.0
Apisix-Plugins: public-api
eyJhbGciOiJkaXIiLCJraWQiOiJ1c2VyLWtleSIsImVuYyI6IkEyNTZHQ00ifQ..MTIzNDU2Nzg5MDEy.hfzMJ0YfmbMcJ0ojgv4PYAHxPjlgMivmv35MiA.7nilnBt2dxLR_O6kf-HQUA
使用 JWE 解密数据#
将加密数据放在 Authorization 请求头中,向 API 发起请求:
curl http://127.0.0.1:9080/anything/hello -H 'Authorization: eyJhbGciOiJkaXIiLCJraWQiOiJ1c2VyLWtleSIsImVuYyI6IkEyNTZHQ00ifQ..MTIzNDU2Nzg5MDEy.hfzMJ0YfmbMcJ0ojgv4PYAHxPjlgMivmv35MiA.7nilnBt2dxLR_O6kf-HQUA' -i
您应该可以看到类似于如下的响应内容,其中 Authorization 响应头显示了有效的解密内容:
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 452
Connection: keep-alive
Date: Mon, 25 Sep 2023 02:38:59 GMT
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Server: APISIX/3.5.0
Apisix-Plugins: jwe-decrypt
{
"args": {},
"data": "",
"files": {},
"form": {},
"headers": {
"Accept": "*/*",
"Authorization": "{\"uid\":10000,\"uname\":\"test\"}",
"Host": "127.0.0.1",
"User-Agent": "curl/8.1.2",
"X-Amzn-Trace-Id": "Root=1-6510f2c3-1586ec011a22b5094dbe1896",
"X-Forwarded-Host": "127.0.0.1"
},
"json": null,
"method": "GET",
"origin": "127.0.0.1, 119.143.79.94",
"url": "http://127.0.0.1/anything/hello"
}
删除插件#
要删除 jwe-decrypt 插件,您可以从插件配置中删除插件对应的 JSON 配置,APISIX 会自动加载,您不需要重新启动即可生效。
curl http://127.0.0.1:9180/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
"methods": ["GET"],
"uri": "/anything*",
"plugins": {},
"upstream": {
"type": "roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'