Kong项目中JWT插件RSA公钥验证规则不一致问题分析

在Kong API网关的JWT插件实现中，存在一个关于RSA公钥验证规则不一致的技术问题。该问题涉及JWT插件在写入和验证两个阶段对非对称加密算法公钥处理逻辑的不一致，可能导致某些配置场景下的功能异常。

JWT插件支持多种加密算法，包括对称加密算法（如HS256）和非对称加密算法（如RS256）。对于非对称加密算法，插件要求必须提供RSA公钥（rsa_public_key）作为验证凭据。

问题的核心在于：

1. 写入阶段：当使用RS256等非对称算法时，rsa_public_key字段必须包含PEM格式的明文公钥内容，系统会通过validate_ssl_key验证器确保其格式正确性。
2. 验证阶段：无论使用何种算法，只要secret_is_base64配置项为true，插件都会尝试对密钥值进行base64解码。这对于非对称算法使用的PEM格式公钥是不必要的，且会导致解码失败。

这种不一致性在以下配置组合时会产生问题：

• 算法设置为RS256等非对称算法
• secret_is_base64配置项为true

此时验证阶段会错误地对PEM格式的公钥进行base64解码，导致验证失败。虽然用户可以通过关闭secret_is_base64来规避此问题，但这并非理想的解决方案。

从技术实现角度看，更合理的处理方式应该是：

1. 仅在对称加密算法（HS*系列）且secret_is_base64为true时，才对密钥进行base64解码
2. 对于非对称算法使用的PEM公钥，应保持原样使用，不进行任何解码操作

这种改进既能保持功能一致性，又能避免不必要的解码操作，使插件行为更加符合用户预期。对于使用Kong JWT插件的开发者来说，了解这一技术细节有助于更好地配置和使用插件，特别是在涉及非对称加密算法的场景下。