Apache APISIX JWT-Auth 插件安全漏洞分析与修复方案

问题背景

Apache APISIX 是一款高性能的云原生API网关，其jwt-auth插件提供了JWT认证功能。在3.8.0版本中，该插件存在一个潜在的安全问题，可能允许攻击者篡改JWT令牌中的关键字段。

问题详情

在jwt-auth插件的get_real_payload函数实现中，存在一个关键的安全设计缺陷。该函数负责构造JWT的payload部分，其原始实现如下：

local function get_real_payload(key, auth_conf, payload)
    local real_payload = {
        key = key,
        exp = ngx_time() + auth_conf.exp
    }
    if payload then
        local extra_payload = core.json.decode(payload)
        core.table.merge(real_payload, extra_payload)
    end
    return real_payload
end

这个函数存在两个主要问题：

1. 关键字段可被覆盖：当用户通过payload参数传入额外数据时，这些数据会通过core.table.merge合并到real_payload中。由于merge操作是后者覆盖前者，攻击者可以通过构造特殊的payload来覆盖key和exp等关键字段。

2. 认证逻辑被绕过：key字段用于后续查找对应的consumer配置，如果被篡改，可能导致认证绕过。exp字段控制令牌有效期，被篡改后可能导致令牌长期有效。

问题影响

该问题影响使用jwt-auth插件并通过/apisix/plugin/jwt/sign接口签发JWT令牌的场景。攻击者可能：

1. 通过修改key字段，尝试访问其他用户的资源
2. 通过修改exp字段，创建长期有效的令牌
3. 破坏JWT令牌的完整性验证机制

修复方案

社区提出了两种修复方案：

方案一：调整字段赋值顺序

local function get_real_payload(key, auth_conf, payload)
    local real_payload = {
        key = key
    }
    if payload then
        local extra_payload = core.json.decode(payload)
        core.table.merge(real_payload, extra_payload)
    end
    real_payload.exp = ngx_time() + auth_conf.exp
    return real_payload
end

此方案确保exp字段不会被覆盖，但仍无法防止key字段被篡改。

方案二：调整合并逻辑（最终采纳方案）

local function get_real_payload(key, auth_conf, payload)
    local real_payload = {
        key = key,
        exp = ngx_time() + auth_conf.exp
    }
    if payload then
        local extra_payload = core.json.decode(payload)
        core.table.merge(extra_payload, real_payload)
        return extra_payload
    end
    return real_payload
end

此方案通过：

1. 调整merge顺序，确保real_payload中的关键字段优先
2. 明确返回合并后的extra_payload
3. 完全保护key和exp字段不被覆盖

安全建议

对于使用APISIX jwt-auth插件的用户，建议：

1. 尽快升级到包含此修复的版本
2. 如果无法立即升级，可考虑通过自定义插件覆盖原实现
3. 审计现有JWT签发逻辑，确认是否有依赖可被篡改的字段
4. 在生产环境中谨慎使用/apisix/plugin/jwt/sign接口

技术思考

这个案例提醒我们，在实现认证授权相关功能时需要特别注意：

1. 关键认证字段应该受到严格保护，不能被用户输入覆盖
2. 合并操作需要考虑字段优先级问题
3. 即使是辅助功能接口，也需要考虑安全影响
4. 良好的默认安全设置比事后修复更重要

通过这个案例，我们可以更好地理解API网关安全设计中的关键考量点，为今后开发类似功能提供参考。