没有创建消费者的 Kong 和 JWT

Question

我目前正在使用 Kong API 网关，我想用它来验证网关上用户的身份验证，并在用户未正确登录时限制对服务的访问。 我有一个身份验证服务，只要用户登录，它就会发出 JWT。

我现在想与 Kong 共享 JWT 机密，并将其用于验证已发布的 JWT，以保护需要适当身份验证的服务。

我看过这个插件：https://getkong.org/plugins/jwt/

但似乎这个插件的工作方式与我想要实现的有点不同。为什么我必须创建消费者？我希望我的身份验证服务中只有一个用户数据库，以避免需要同步。这个插件的方法似乎是为让第 3 方利益相关者访问我的 API 而设计的。

任何提示将不胜感激。

Answer 1

在我看来，Kong 的 JWT 插件的设计不想与您分享 JWT 秘密 - 它想完全拥有 JWT。您确实必须为每个用户创建一个消费者，并让 Kong 管理它。

我问了几个问题以确认 Google 群组 - 请参阅 https://groups.google.com/forum/?fromgroups#!topic/konglayer/XHnVEGoxZqo

两个亮点：

您能否确认可以为每个用户创建一个消费者和一个凭据？

不仅没关系，而且这是推荐的方式:)

和

Kong 会乐于拥有 200 万消费者使用一个 API 吗？ 2亿呢？

从技术上讲，这应该不是问题，我建议您设置一个 POC，您可以在其中试验更多用户，以优化 Kong 和数据存储之间的连接并确保我们正确调整所有内容。

Answer 2

Riley 给出的答案在实施上是正确的，但这不是 Kong 消费者的预期用途。

kong 中的消费者是使用 API 的应用程序。因此，除非您有多个供应商使用您的应用程序/网络服务，否则我建议您创建一个消费者。

您可以为该消费者创建多个密钥和密钥对（JWT 凭据）。使用用户密钥和密钥为用户创建 JWT。将此密钥和机密与您的用户 ID 和其他详细信息一起存储在您当前的数据库中。使用这些创建您的 JWT 并将 JWT 返回给用户。

您可以在创建 JWT 时将任何其他要作为声明附加的内容添加到 JWT。您可以在 Kong 中为这些索赔创建支票。因此，当您收到对任何 API 以及这些 JWT 的调用时，Kong 将检查 JWT（以及所有声明）的有效性，然后才允许访问 API。

Answer 3

您实际上可以在创建 JWT 插件时将其传递给它：

$ curl -X POST http://kong:8001/consumers/${consumer_id}/jwt \ -H "Content-Type: application/x-www-form-urlencoded" \ --data "secret=mysecret&consumer_id=${consumer_id}"