Skip to main content
Version: Next

jwe-decrypt

描述#

jwe-decrypt 插件,用于解密 APISIX Service 或者 Route 请求中的 JWE 授权请求头。

插件增加了一个 /apisix/plugin/jwe/encrypt 的内部 API,提供给 JWE 加密使用。解密时,秘钥应该配置在 Consumer内。

属性#

Consumer 配置:

名称类型必选项默认值有效值描述
keystringTrueConsumer 的唯一 key
secretstringTrue解密密钥,必须为 32 位。秘钥可以使用 Secret 资源保存在密钥管理服务中
is_base64_encodedbooleanFalsefalse如果密钥是 Base64 编码,则需要配置为 true
note

注意,在启用 is_base64_encoded 后,你的 secret 长度可能会超过 32 位,你只需要保证在 Decode 后的长度仍然是 32 位即可。

Route 配置:

名称类型必选项默认值描述
headerstringTrueAuthorization指定请求头,用于获取加密令牌
forward_headerstringTrueAuthorization传递给 Upstream 的请求头名称
strictbooleanFalsetrue如果为配置为 true,请求中缺失 JWE token 则抛出 403 异常。如果为 false, 在缺失 JWE token 的情况下不会抛出异常

启用插件#

首先,基于 jwe-decrypt 插件创建一个 Consumer,并且配置解密密钥:

note

您可以这样从 config.yaml 中获取 admin_key 并存入环境变量:

admin_key=$(yq '.deployment.admin.admin_key[0].key' conf/config.yaml | sed 's/"//g')
curl http://127.0.0.1:9180/apisix/admin/consumers -H "X-API-KEY: $admin_key" -X PUT -d '
{
"username": "jack",
"plugins": {
"jwe-decrypt": {
"key": "user-key",
"secret": "-secret-length-must-be-32-chars-"
}
}
}'

下一步,基于 jwe-decrypt 插件创建一个路由,用于解密 authorization 请求头:

curl http://127.0.0.1:9180/apisix/admin/routes/1 -H "X-API-KEY: $admin_key" -X PUT -d '
{
"methods": ["GET"],
"uri": "/anything*",
"plugins": {
"jwe-decrypt": {}
},
"upstream": {
"type": "roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'

使用 JWE 加密数据#

该插件创建了一个内部的 API /apisix/plugin/jwe/encrypt 以使用 JWE 进行加密。要公开它,需要创建一个对应的路由,并启用 public-api 插件:

curl http://127.0.0.1:9180/apisix/admin/routes/jwenew -H "X-API-KEY: $admin_key" -X PUT -d '
{
"uri": "/apisix/plugin/jwe/encrypt",
"plugins": {
"public-api": {}
}
}'

向 API 发送一个请求,将 Consumer 中配置的密钥,以参数的方式传递给 URI,用于加密 payload 中的一些数据。

curl -G --data-urlencode 'payload={"uid":10000,"uname":"test"}' 'http://127.0.0.1:9080/apisix/plugin/jwe/encrypt?key=user-key' -i

您应该看到类似于如下内容的响应结果,其中 JWE 加密的数据位于响应体中:

HTTP/1.1 200 OK
Date: Mon, 25 Sep 2023 02:38:16 GMT
Content-Type: text/plain; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
Server: APISIX/3.5.0
Apisix-Plugins: public-api

eyJhbGciOiJkaXIiLCJraWQiOiJ1c2VyLWtleSIsImVuYyI6IkEyNTZHQ00ifQ..MTIzNDU2Nzg5MDEy.hfzMJ0YfmbMcJ0ojgv4PYAHxPjlgMivmv35MiA.7nilnBt2dxLR_O6kf-HQUA

使用 JWE 解密数据#

将加密数据放在 Authorization 请求头中,向 API 发起请求:

curl http://127.0.0.1:9080/anything/hello -H 'Authorization: eyJhbGciOiJkaXIiLCJraWQiOiJ1c2VyLWtleSIsImVuYyI6IkEyNTZHQ00ifQ..MTIzNDU2Nzg5MDEy.hfzMJ0YfmbMcJ0ojgv4PYAHxPjlgMivmv35MiA.7nilnBt2dxLR_O6kf-HQUA' -i

您应该可以看到类似于如下的响应内容,其中 Authorization 响应头显示了有效的解密内容:

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 452
Connection: keep-alive
Date: Mon, 25 Sep 2023 02:38:59 GMT
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Server: APISIX/3.5.0
Apisix-Plugins: jwe-decrypt

{
"args": {},
"data": "",
"files": {},
"form": {},
"headers": {
"Accept": "*/*",
"Authorization": "{\"uid\":10000,\"uname\":\"test\"}",
"Host": "127.0.0.1",
"User-Agent": "curl/8.1.2",
"X-Amzn-Trace-Id": "Root=1-6510f2c3-1586ec011a22b5094dbe1896",
"X-Forwarded-Host": "127.0.0.1"
},
"json": null,
"method": "GET",
"origin": "127.0.0.1, 119.143.79.94",
"url": "http://127.0.0.1/anything/hello"
}

删除插件#

要删除 jwe-decrypt 插件,您可以从插件配置中删除插件对应的 JSON 配置,APISIX 会自动加载,您不需要重新启动即可生效。

curl http://127.0.0.1:9180/apisix/admin/routes/1 -H "X-API-KEY: $admin_key" -X PUT -d '
{
"methods": ["GET"],
"uri": "/anything*",
"plugins": {},
"upstream": {
"type": "roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'