首页
/ Apache APISIX JWT插件中exp校验机制的技术分析

Apache APISIX JWT插件中exp校验机制的技术分析

2025-05-15 15:34:36作者:薛曦旖Francesca

背景介绍

在微服务架构中,JWT(JSON Web Token)作为一种轻量级的身份验证机制被广泛使用。Apache APISIX作为一款高性能API网关,提供了jwt-auth插件来实现JWT验证功能。然而,该插件在实现上对JWT标准中的exp(过期时间)和nbf(生效时间)声明采取了强制校验的策略,这与RFC 7519标准中将这些声明定义为可选的规定存在差异。

问题现象

通过实际测试发现,APISIX的jwt-auth插件在以下场景中的表现:

  1. 正常场景:当JWT包含已过期的exp声明时,插件会正确拒绝该令牌
  2. 问题场景:当JWT完全不包含exp声明时,插件也会拒绝该令牌,提示"Missing one of claims - [ nbf, exp ]"
  3. 配置场景:即使在ApisixConsumer中明确配置了exp参数,当JWT不包含exp声明时仍然会被拒绝

技术原理分析

深入分析APISIX jwt-auth插件的实现机制,发现问题根源在于:

  1. 插件默认调用了jwt:get_default_validation_options()方法,该方法会设置require_exp_claimrequire_nbf_claim为true
  2. 这些选项会传递给底层的lua-resty-jwt库,触发其严格校验逻辑
  3. 即使配置了lifetime_grace_period参数,也会导致exp声明成为必选项

解决方案探讨

针对这一问题,目前有以下几种可行的解决方案:

1. 修改插件源码

开发者可以自定义jwt-auth插件,通过以下两种方式之一绕过强制校验:

方案一:不传递claim_spec参数

jwt_obj = jwt:verify_jwt_obj(auth_secret, jwt_obj)

方案二:清除lifetime_grace_period设置

local claim_specs = jwt:get_default_validation_options(jwt_obj)
claim_specs.lifetime_grace_period = nil

2. 修改依赖库

另一种更彻底但更复杂的方法是修改lua-resty-jwt库的源代码,调整其默认校验行为,然后重新构建APISIX。

最佳实践建议

对于不同场景下的使用建议:

  1. 短期令牌场景:建议使用包含exp声明的JWT,这是最安全的做法
  2. 长期有效令牌场景:如果确实需要使用无过期时间的令牌,可采用上述方案一修改插件
  3. 过渡期方案:在等待官方修复期间,可以考虑使用自定义插件作为临时解决方案

未来展望

从技术规范角度,APISIX jwt-auth插件未来可以考虑:

  1. 增加配置选项来控制是否强制校验exp/nbf声明
  2. 提供类似Kong的claims_to_verify参数,让用户灵活选择需要校验的声明
  3. 保持与RFC标准的完全兼容性,将声明校验设为可选

总结

本文详细分析了APISIX jwt-auth插件对JWT声明校验的实现机制,指出了其与RFC标准存在的差异,并提供了可行的解决方案。在实际应用中,开发者应根据自身安全需求选择合适的方案,平衡安全性与灵活性。

登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
139
1.91 K
kernelkernel
deepin linux kernel
C
22
6
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
273
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
923
551
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
421
392
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
74
64
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
344
1.3 K
easy-eseasy-es
Elasticsearch 国内Top1 elasticsearch搜索引擎框架es ORM框架,索引全自动智能托管,如丝般顺滑,与Mybatis-plus一致的API,屏蔽语言差异,开发者只需要会MySQL语法即可完成对Es的相关操作,零额外学习成本.底层采用RestHighLevelClient,兼具低码,易用,易拓展等特性,支持es独有的高亮,权重,分词,Geo,嵌套,父子类型等功能...
Java
36
8