Apache APISIX JWT插件中exp声明的强制验证问题分析

背景介绍

Apache APISIX作为一款高性能的API网关，其JWT认证插件(jwt-auth)在API安全防护中扮演着重要角色。然而，该插件在处理JWT令牌时存在一个值得注意的行为特点：默认情况下会强制验证exp(过期时间)和nbf(生效时间)声明，这与JWT标准RFC7519的规定存在差异。

问题现象

在Apache APISIX 3.9.1版本中，JWT插件表现出以下行为特征：

1. 当ApisixConsumer未配置exp参数时：

   • 如果JWT令牌包含exp声明但已过期，验证会失败
   • 如果JWT令牌不包含exp声明，验证同样会失败，提示"Missing one of claims - [ nbf, exp ]"

2. 当ApisixConsumer配置了exp参数时：

   • 如果JWT令牌不包含exp声明，验证也会失败

这种强制验证exp声明的行为与RFC7519标准相悖，该标准明确指出exp和nbf声明是可选的(OPTIONAL)。

技术分析

深入分析APISIX源码可以发现，这一行为的根源在于jwt-auth插件调用了lua-resty-jwt库的验证逻辑时，默认传入了包含lifetime_grace_period参数的claim_specs验证选项。这个参数的存在会触发库内部的is_legacy_validation_options检查，进而强制要求令牌必须包含exp或nbf声明。

具体来看，关键代码逻辑位于：

1. jwt-auth插件中调用jwt:verify_jwt_obj()时默认传入验证选项
2. lua-resty-jwt库中根据验证选项强制检查exp/nbf声明

解决方案探讨

针对这一设计特点，开发者可以考虑以下几种解决方案：

1. 修改自定义jwt-auth插件

开发者可以创建自定义版本的jwt-auth插件，通过以下两种方式之一绕过强制验证：

-- 方法一：不传递claim_spec参数
jwt_obj = jwt:verify_jwt_obj(auth_secret, jwt_obj)

-- 方法二：清除lifetime_grace_period设置
local claim_specs = jwt:get_default_validation_options(jwt_obj)
claim_specs.lifetime_grace_period = nil

2. 修改依赖库配置

另一种更复杂的方法是修改api7/lua-resty-jwt依赖库的代码，调整其验证逻辑，然后重新构建APISIX。这种方法虽然可行，但维护成本较高，不推荐用于生产环境。

最佳实践建议

对于需要使用无过期时间JWT令牌的场景，建议：

1. 优先考虑使用自定义插件方案，避免直接修改核心依赖
2. 在ApisixConsumer配置中明确设置合理的exp参数
3. 评估是否真的需要完全无过期的令牌，从安全角度考虑设置适当的有效期通常更为稳妥

总结

Apache APISIX的jwt-auth插件当前实现中对exp声明的强制验证虽然与标准存在差异，但通过合理的自定义方案可以解决这一问题。开发者在设计JWT认证方案时，应充分理解这一特性，根据实际业务需求选择最适合的解决方案。同时，这也提醒我们在使用开源组件时需要深入理解其实现细节，而不仅仅是依赖标准文档的说明。