基于JWT声明的路由决策：Solo.io Gloo实战指南

前言

在现代微服务架构中，JSON Web Token (JWT) 已成为身份验证和授权的标准方式。Solo.io Gloo 作为一款功能强大的API网关，提供了基于JWT声明(claims)进行精细化路由的能力。本文将深入探讨如何利用Gloo实现基于JWT声明的智能路由决策。

核心概念解析

JWT声明(Claims)是什么？

JWT声明是包含在令牌中的键值对信息，它们可以表示用户的身份、权限、所属组织等元数据。例如：

{
  "iss": "example.com",
  "sub": "1234567890",
  "org": "example.com"
}

这里的org就是一个声明，表示用户所属组织。

为什么需要基于声明的路由？

基于声明的路由可以实现：

• 金丝雀发布：特定用户群体访问新版本
• 多租户隔离：不同组织路由到不同后端
• 功能标记：基于用户属性启用/禁用功能

实战演练

1. 环境准备

首先部署一个模拟的金丝雀发布环境，包含：

• 主版本服务(primary)：返回"primary"
• 金丝雀版本服务(canary)：返回"canary"
• 统一的服务入口

apiVersion: apps/v1
kind: Deployment
metadata:
  name: primary
  labels:
    app: echoapp
    stage: primary
spec:
  template:
    spec:
      containers:
      - name: primary
        image: hashicorp/http-echo
        args: ["-listen=:8080", "-text=primary"]

2. 创建Gloo上游配置

关键配置是定义子集路由(subset routing)，基于stage标签划分服务子集：

apiVersion: gloo.solo.io/v1
kind: Upstream
metadata:
  name: echoapp
spec:
  kube:
    serviceName: echoapp
    subsetSpec:
      selectors:
      - keys: ["stage"]  # 按stage标签划分子集

3. JWT配置

生成RSA密钥对用于签名验证：

openssl genrsa 2048 > private-key.pem
openssl rsa -in private-key.pem -pubout > public-key.pem

准备两种JWT令牌：

• 特定组织令牌：包含"org": "example.com"
• 其他组织令牌：包含"org": "othercompany.com"

4. 虚拟服务配置

核心路由逻辑如下：

spec:
  virtualHost:
    routes:
    - matchers:
      - headers:
        - name: x-company
          value: example.com
      routeAction:
        single:
          upstream: echoapp
          subset: {values: {stage: canary}}  # 特定组织用户路由到金丝雀
    - matchers:
      - prefix: /
      routeAction:
        single:
          upstream: echoapp
          subset: {values: {stage: primary}} # 其他用户路由到主版本
    options:
      jwt:
        providers:
          example:
            claimsToHeaders:
            - claim: org       # 提取org声明
              header: x-company # 存入x-company头
            jwks:
              local:
                key: <公钥内容>

关键配置说明

1. JWT验证：网关会验证令牌签名和issuer
2. 声明提取：claimsToHeaders将JWT中的org声明值复制到x-company请求头
3. 路由匹配：基于x-company头值进行路由决策
4. 后备路由：必须配置默认路由作为后备

测试验证

测试特定组织用户访问：

curl "http://gateway-address?token=$SPECIFIC_TOKEN"
# 预期返回：canary

测试其他组织用户访问：

curl "http://gateway-address?token=$OTHER_TOKEN"
# 预期返回：primary

高级应用场景

多维度路由决策

可以组合多个声明实现更复杂的路由逻辑，例如：

matchers:
- headers:
  - name: x-company
    value: example.com
  - name: x-role
    value: admin

动态路由权重

结合声明和权重实现渐进式发布：

routeAction:
  multi:
    destinations:
    - destination:
        upstream: echoapp
        subset: {values: {stage: canary}}
      weight: 20  # 20%流量到金丝雀
    - destination:
        upstream: echoapp
        subset: {values: {stage: primary}}
      weight: 80  # 80%流量到主版本

最佳实践

1. 安全考虑：

   • 使用强加密算法(如RS256)
   • 定期轮换密钥
   • 限制令牌有效期

2. 性能优化：

   • 启用JWT缓存
   • 避免提取过多声明
   • 精简路由规则数量

3. 监控建议：

   • 监控JWT验证失败率
   • 跟踪各子集的请求量
   • 设置路由异常告警

总结

通过Solo.io Gloo的JWT声明路由功能，我们可以实现高度灵活和安全的流量管理策略。这种基于身份的智能路由为微服务架构提供了更精细的流量控制能力，特别适用于多租户、渐进式发布等复杂场景。