Apache APISIX JWT-Auth 插件安全漏洞分析与修复方案

2025-05-15 19:41:21作者：伍霜盼Ellen

问题背景

Apache APISIX 是一款高性能的云原生API网关，其jwt-auth插件提供了JWT认证功能。在3.8.0版本中，该插件存在一个潜在的安全问题，可能允许攻击者篡改JWT令牌中的关键字段。

问题详情

在jwt-auth插件的get_real_payload函数实现中，存在一个关键的安全设计缺陷。该函数负责构造JWT的payload部分，其原始实现如下：

local function get_real_payload(key, auth_conf, payload)
    local real_payload = {
        key = key,
        exp = ngx_time() + auth_conf.exp
    }
    if payload then
        local extra_payload = core.json.decode(payload)
        core.table.merge(real_payload, extra_payload)
    end
    return real_payload
end

这个函数存在两个主要问题：

关键字段可被覆盖：当用户通过payload参数传入额外数据时，这些数据会通过core.table.merge合并到real_payload中。由于merge操作是后者覆盖前者，攻击者可以通过构造特殊的payload来覆盖key和exp等关键字段。
认证逻辑被绕过：key字段用于后续查找对应的consumer配置，如果被篡改，可能导致认证绕过。exp字段控制令牌有效期，被篡改后可能导致令牌长期有效。

问题影响

该问题影响使用jwt-auth插件并通过/apisix/plugin/jwt/sign接口签发JWT令牌的场景。攻击者可能：

通过修改key字段，尝试访问其他用户的资源
通过修改exp字段，创建长期有效的令牌
破坏JWT令牌的完整性验证机制

修复方案

社区提出了两种修复方案：

方案一：调整字段赋值顺序

local function get_real_payload(key, auth_conf, payload)
    local real_payload = {
        key = key
    }
    if payload then
        local extra_payload = core.json.decode(payload)
        core.table.merge(real_payload, extra_payload)
    end
    real_payload.exp = ngx_time() + auth_conf.exp
    return real_payload
end

此方案确保exp字段不会被覆盖，但仍无法防止key字段被篡改。

方案二：调整合并逻辑（最终采纳方案）

local function get_real_payload(key, auth_conf, payload)
    local real_payload = {
        key = key,
        exp = ngx_time() + auth_conf.exp
    }
    if payload then
        local extra_payload = core.json.decode(payload)
        core.table.merge(extra_payload, real_payload)
        return extra_payload
    end
    return real_payload
end