Apache APISIX JWT插件优化:在上下文中存储已验证的JWT
2025-05-15 21:36:43作者:齐添朝
在微服务架构中,JSON Web Token(JWT)已成为身份验证和授权的标准方式。Apache APISIX作为高性能API网关,提供了jwt-auth插件来处理JWT验证。然而,当前实现存在一些可以优化的地方。
当前实现的问题
目前APISIX的jwt-auth插件在验证JWT后,不会将验证结果存储在请求上下文中。这导致后续插件如果需要使用JWT信息,必须重新解析令牌,造成以下问题:
- 性能损耗:重复解析JWT增加了不必要的CPU开销
- 代码冗余:每个需要JWT信息的插件都要实现自己的解析逻辑
- 安全限制:无法在隐藏凭证的同时让后续插件访问JWT
优化方案
通过在jwt-auth插件中将已验证的JWT对象存储在请求上下文(ctx)中,可以带来显著改进:
function _M.rewrite(conf, ctx)
-- 原有验证逻辑...
-- 存储已验证的JWT对象
ctx.jwt_obj = jwt_obj
end
技术优势
- 性能提升:避免重复解析JWT,减少CPU消耗
- 代码简化:后续插件可直接使用预解析的JWT对象
- 安全增强:即使启用hide_credentials,后续插件仍能访问JWT
- 一致性:所有插件使用同一份已验证的JWT数据
实际应用示例
以下是一个自定义ACL插件的示例,展示如何利用存储在上下文中的JWT:
function _M.rewrite(conf, ctx)
if not ctx.jwt_obj then
core.log.warn("Token对象未找到")
return 401, {message = "请求中缺少JWT"}
end
local authorized = false
local roles = ctx.jwt_obj.payload.roles
-- 基于角色的访问控制逻辑
for _, role in ipairs(roles) do
if role == "admin" then
authorized = true
break
end
end
if not authorized then
return 403, {message = "无权访问此资源"}
end
end
实现考量
- 向后兼容:不影响现有插件的正常运行
- 命名规范:使用明确的字段名(jwt_obj)避免冲突
- 文档完善:需要更新插件文档说明这一特性
- 性能影响:存储整个JWT对象的内存开销可以忽略不计
总结
在APISIX的jwt-auth插件中存储已验证的JWT对象是一个简单但强大的改进。它不仅提高了性能,简化了插件开发,还增强了安全性。这一优化体现了API网关设计中"解析一次,多处使用"的最佳实践,值得在APISIX的未来版本中实现。
登录后查看全文
热门项目推荐
- GGLM-4.5-AirGLM-4.5 系列模型是专为智能体设计的基础模型。GLM-4.5拥有 3550 亿总参数量,其中 320 亿活跃参数;GLM-4.5-Air采用更紧凑的设计,拥有 1060 亿总参数量,其中 120 亿活跃参数。GLM-4.5模型统一了推理、编码和智能体能力,以满足智能体应用的复杂需求Jinja00
- QQwen3-Coder-480B-A35B-InstructQwen3-Coder-480B-A35B-Instruct是当前最强大的开源代码模型之一,专为智能编程与工具调用设计。它拥有4800亿参数,支持256K长上下文,并可扩展至1M,特别擅长处理复杂代码库任务。模型在智能编码、浏览器操作等任务上表现卓越,性能媲美Claude Sonnet。支持多种平台工具调用,内置优化的函数调用格式,能高效完成代码生成与逻辑推理。推荐搭配温度0.7、top_p 0.8等参数使用,单次输出最高支持65536个token。无论是快速排序算法实现,还是数学工具链集成,都能流畅执行,为开发者提供接近人类水平的编程辅助体验。【此简介由AI生成】Python00
- KKimi-K2-InstructKimi-K2-Instruct是月之暗面推出的尖端混合专家语言模型,拥有1万亿总参数和320亿激活参数,专为智能代理任务优化。基于创新的MuonClip优化器训练,模型在知识推理、代码生成和工具调用场景表现卓越,支持128K长上下文处理。作为即用型指令模型,它提供开箱即用的对话能力与自动化工具调用功能,无需复杂配置即可集成到现有系统。模型采用MLA注意力机制和SwiGLU激活函数,在vLLM等主流推理引擎上高效运行,特别适合需要快速响应的智能助手应用。开发者可通过兼容OpenAI/Anthropic的API轻松调用,或基于开源权重进行深度定制。【此简介由AI生成】Python00
2025百大提名项目
GitCode百大计划旨在表彰GitCode平台上积极推动项目社区化,拥有广泛影响力的G-Star项目,入选项目不仅代表了GitCode开源生态的蓬勃发展,也反映了当下开源行业的发展趋势。00note-gen
一款跨平台的 Markdown AI 笔记软件,致力于使用 AI 建立记录和写作的桥梁。TSX02GitCode百大开源项目
GitCode百大计划旨在表彰GitCode平台上积极推动项目社区化,拥有广泛影响力的G-Star项目,入选项目不仅代表了GitCode开源生态的蓬勃发展,也反映了当下开源行业的发展趋势。04
热门内容推荐
1 freeCodeCamp JavaScript高阶函数中的对象引用陷阱解析2 freeCodeCamp全栈开发课程中测验游戏项目的参数顺序问题解析3 freeCodeCamp音乐播放器项目中的函数调用问题解析4 freeCodeCamp 课程中关于角色与职责描述的语法优化建议 5 freeCodeCamp博客页面工作坊中的断言方法优化建议6 freeCodeCamp猫照片应用教程中的HTML注释测试问题分析7 freeCodeCamp论坛排行榜项目中的错误日志规范要求8 freeCodeCamp英语课程视频测验选项与提示不匹配问题分析9 freeCodeCamp课程页面空白问题的技术分析与解决方案10 freeCodeCamp课程视频测验中的Tab键导航问题解析
最新内容推荐
左手Annotators,右手GPT-4:企业AI战略的“开源”与“闭源”之辩 左手controlnet-openpose-sdxl-1.0,右手GPT-4:企业AI战略的“开源”与“闭源”之辩 左手ERNIE-4.5-VL-424B-A47B-Paddle,右手GPT-4:企业AI战略的“开源”与“闭源”之辩 左手m3e-base,右手GPT-4:企业AI战略的“开源”与“闭源”之辩 左手SDXL-Lightning,右手GPT-4:企业AI战略的“开源”与“闭源”之辩 左手wav2vec2-base-960h,右手GPT-4:企业AI战略的“开源”与“闭源”之辩 左手nsfw_image_detection,右手GPT-4:企业AI战略的“开源”与“闭源”之辩 左手XTTS-v2,右手GPT-4:企业AI战略的“开源”与“闭源”之辩 左手whisper-large-v3,右手GPT-4:企业AI战略的“开源”与“闭源”之辩 左手flux-ip-adapter,右手GPT-4:企业AI战略的“开源”与“闭源”之辩
项目优选
收起

🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
713
459

React Native鸿蒙化仓库
C++
143
226

本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
306
1.04 K

openGauss kernel ~ openGauss is an open source relational database management system
C++
105
161

本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
367
357

🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
53
15

旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
116
255

为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.02 K
0

基于仓颉编程语言构建的 LLM Agent 开发框架,其主要特点包括:Agent DSL、支持 MCP 协议,支持模块化调用,支持任务智能规划。
Cangjie
591
47

前端智能化场景解决方案UI库,轻松构建你的AI应用,我们将持续完善更新,欢迎你的使用与建议。
官网地址:https://matechat.gitcode.com
706
97