如何使用 KONG 的 JWT 插件

KONG 是一款很受欢迎的 API GATEWAY，使用它可以降低开发微服务的代码，因为我们可以通过配置来实现诸如认证 (Authentication) 和 (Authorization) 的功能。

JWT 是现代 Web 软件经常用到的一种认证和授权方式，要让KONG 支持 JWT 认证，开发者需要首先配置好在 KONG 中为指定的微服务增加一个 service，然后给 service 增加一个 router。

给 router 增加 JWT 插件

接下来开发者需要给 router 增加 jwt 插件。

在下图中，我们使用了 konga UI来给指定的服务增加 JWT 插件。

增加一个 consumer

为验证 JWT，一般会使用对称密钥 (HS256) 或者非对称密钥 ( RS 256) 方式。要设置密钥，开发者需要给 KONG 增加一个 consumer, 对于非对称密钥，KONG 要求使用 PEM 格式。下面就是一个典型的 PEM 公钥例子：

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAg4kxplaTQzYfEbS2AG3v
vQkW2w1qhtwhu5wfH1fwutZYf3jfwQfuGMRfLD4xlOTvRSeiNtYLQa54MmQNEVIi
48psQdAEyA3hib34KHwfWcKYeGa5Jlrw0zG11+szwnOV9/UXTGfv9hTKDxWCvaQS
xXUmvej9Ik4Lts850gskhqe0bc4juJZSfqgn6lvo8MpMVyfzQuVyZ3+5N0sm+Pbq
4AMjIunEY6xdtsHzzJSBS3ARjOmSCrrlxWtkbpAQFGfKSyu35a1rvkaAuDsMTdiH
iYm7FWDfUyU8LcYmqcYr3Rfpgx9Q8TUob7/abAa2o1Fai2kO7ueDpS3JfEAt0pie
RwIDAQAB
-----END PUBLIC KEY-----

设置 JWT 的 key

要验证 JWT，KONG 默认的 key claim name 是 JWT 的 iss claim。我们需要在 consumer 里设置 iss 的 key，否则会看到
No credentials found for given ‘iss’ 错误

下面的设置是正确的配置，开发者可以生产一个 JWT 放到 jwt.io 里查看 iss 的值，然后再设置到 consumer 的 key 里。比如下面的设置：

jwt.io 中的 iss

结论

本文介绍了如何通过 KONG 和 JWT 来保护我们的微服务。