jwt-auth
jwt-auth 插件支持使用 JSON Web Token (JWT) 作为机制,在客户端访问上游资源之前验证其身份。
启用后,该插件会暴露一个端点,用于为 消费者 创建 JWT 凭据。该过程生成一个令牌,客户端请求应携带该令牌以向 APISIX 标识自己。令牌可以包含在请求 URL 查��询字符串、请求头或 Cookie 中。APISIX 随后将验证令牌,以决定允许或拒绝请求访问上游资源。
当消费者成功通过身份验证时,APISIX 会在将请求代理到上游服务之前,向请求添加额外的头部,例如 X-Consumer-Username、X-Credential-Identifier 以及配置的其他消费者自定义头部。上游服务将能够区分消费者并根据需要实施额外的逻辑。如果任何这些值不可用,则不会添加相应的头部。
示例
以下示例演示了如何在不同场景下使用 jwt-auth 插件。
使用 JWT 进行消费者认证
以下示例演示了如何实现基于 JWT 的消费者密钥认证。
创建消费者 jack:
curl "http://127.0.0.1:9180/apisix/admin/consumers" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"username": "jack"
}'
为消费者创建 jwt-auth 凭据:
curl "http://127.0.0.1:9180/apisix/admin/consumers/jack/credentials" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "cred-jack-jwt-auth",
"plugins": {
"jwt-auth": {
"key": "jack-key",
"secret": "jack-hs256-secret-that-is-very-long"
}
}
}'
创建一个启用 jwt-auth 插件的路由:
curl "http://127.0.0.1:9180/apisix/admin/routes" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "jwt-route",
"uri": "/headers",
"plugins": {
"jwt-auth": {}
},
"upstream": {
"type": "roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'
要为 jack 签发 JWT,你可以使用 JWT.io 的 JWT 编码器 或其他工具。如果你使用的是 JWT.io 的 JWT 编码器,请执行以下操作:
- 在算法栏填写
HS256。 - 在 Valid secret 部分将密钥更新为
jack-hs256-secret-that-is-very-long。 - 使用消费者密钥
jack-key更新 payload;并添加 UNIX 时间戳格式的exp或nbf。
如果你使用的是 API7 企业版,则不强制要求 exp 或 nbf。你可以选择性地包含这些 Claim,并使用 claims_to_verify 参数来配置要验证哪个 Claim。
你的 payload 应该类似于以下内容:
{
"key": "jack-key",
"nbf": 1729132271
}
复制生成的 JWT 并保存到变量中:
export jwt_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJqYWNrLWtleSIsIm5iZiI6MTcyOTEzMjI3MX0.UEPXy5jpid624T1XpfjM0PLY73LZPjV3Qt8yZ92kVuU
发送带有 Authorization 头部中 JWT 的请求到路由:
curl -i "http://127.0.0.1:9080/headers" -H "Authorization: ${jwt_token}"
你应该收到类似于以下的 HTTP/1.1 200 OK 响应:
{
"headers": {
"Accept": "*/*",
"Authorization": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE3MjY2NDk2NDAsImtleSI6ImphY2sta2V5In0.kdhumNWrZFxjUvYzWLt4lFr546PNsr9TXuf0Az5opoM",
"Host": "127.0.0.1",
"User-Agent": "curl/8.6.0",
"X-Amzn-Trace-Id": "Root=1-66ea951a-4d740d724bd2a44f174d4daf",
"X-Consumer-Username": "jack",
"X-Credential-Identifier": "cred-jack-jwt-auth",
"X-Forwarded-Host": "127.0.0.1"
}
}
发送带有无效令牌的请求:
curl -i "http://127.0.0.1:9080/headers" -H "Authorization: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE3MjY2NDk2NDAsImtleSI6ImphY2sta2V5In0.kdhumNWrZFxjU_random_random"
你应该收到类似于以下的 HTTP/1.1 401 Unauthorized 响应:
{"message":"failed to verify jwt"}
在请求头、查询字符串或 Cookie 中携带 JWT
以下示例演示了如何接受指定请求头、查询字符串和 Cookie 中的 JWT。
创建消费者 jack:
curl "http://127.0.0.1:9180/apisix/admin/consumers" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"username": "jack"
}'
为消费者创建 jwt-auth 凭据:
curl "http://127.0.0.1:9180/apisix/admin/consumers/jack/credentials" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "cred-jack-jwt-auth",
"plugins": {
"jwt-auth": {
"key": "jack-key",
"secret": "jack-hs256-secret-that-is-very-long"
}
}
}'
创建一个启用 jwt-auth 插件的路由,并指定携带令牌的请求参数:
curl "http://127.0.0.1:9180/apisix/admin/routes" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "jwt-route",
"uri": "/get",
"plugins": {
"jwt-auth": {
"header": "jwt-auth-header",
"query": "jwt-query",
"cookie": "jwt-cookie"
}
},
"upstream": {
"type": "roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'
要为 jack 签发 JWT,你可以使用 JWT.io 的 JWT 编码器 或其他工具。如果你使用的是 JWT.io 的 JWT 编码器,请执行以下操作:
- 在算法栏填写
HS256。 - 在 Valid secret 部分将密钥更新为
jack-hs256-secret-that-is-very-long。 - 使用消费者密钥
jack-key更新 payload;并添加 UNIX 时间戳格式的exp或nbf。
如果你使用的是 API7 企业版,则不强制要求 exp 或 nbf。你可以选择性地包含这些 Claim,并使用 claims_to_verify 参数来配置要验证哪个 Claim。
你的 payload 应该类似于以下内容:
{
"key": "jack-key",
"nbf": 1729132271
}
复制生成的 JWT 并保存到变量中:
export jwt_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJqYWNrLWtleSIsIm5iZiI6MTcyOTEzMjI3MX0.UEPXy5jpid624T1XpfjM0PLY73LZPjV3Qt8yZ92kVuU
在请求头中验证 JWT
发送带有请求头 JWT 的请求:
curl -i "http://127.0.0.1:9080/get" -H "jwt-auth-header: ${jwt_token}"
你应该收到类似于以下的 HTTP/1.1 200 OK 响应:
{
"args": {},
"headers": {
"Accept": "*/*",
"Host": "127.0.0.1",
"Jwt-Auth-Header": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJqYWNrLWtleSIsIm5iZiI6MTcyOTEzMjI3MX0.UEPXy5jpid624T1XpfjM0PLY73LZPjV3Qt8yZ92kVuU",
...
},
...
}
在查询字符串中验证 JWT
发送带有查询字符串 JWT 的请求:
curl -i "http://127.0.0.1:9080/get?jwt-query=${jwt_token}"
你应该收到类似于以下的 HTTP/1.1 200 OK 响应:
{
"args": {
"jwt-query": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJqYWNrLWtleSIsIm5iZiI6MTcyOTEzMjI3MX0.UEPXy5jpid624T1XpfjM0PLY73LZPjV3Qt8yZ92kVuU"
},
"headers": {
"Accept": "*/*",
...
},
"origin": "127.0.0.1, 183.17.233.107",
"url": "http://127.0.0.1/get?jwt-query=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJrZXkiOiJ1c2VyLWtleSIsImV4cCI6MTY5NTEyOTA0NH0.EiktFX7di_tBbspbjmqDKoWAD9JG39Wo_CAQ1LZ9voQ"
}
在 Cookie 中验证 JWT
发送带有 Cookie JWT 的请求:
curl -i "http://127.0.0.1:9080/get" --cookie jwt-cookie=${jwt_token}
你应该收到类似于以下的 HTTP/1.1 200 OK 响应:
{
"args": {},
"headers": {
"Accept": "*/*",
"Cookie": "jwt-cookie=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJqYWNrLWtleSIsIm5iZiI6MTcyOTEzMjI3MX0.UEPXy5jpid624T1XpfjM0PLY73LZPjV3Qt8yZ92kVuU",
...
},
...
}
在环境变量中管理密钥
以下示例演示了如何将 jwt-auth 消费者密钥保存到环境变量并在配置中引用它。
APISIX 支持引用通过 NGINX env 指令 配置的系统和用户环境变量。
将密钥保存到环境变量:
export JACK_JWT_SECRET=jack-hs256-secret-that-is-very-long
如果你在 Docker 中运行 APISIX,你应该在启动容器时使用 -e 标志设置环境变量。
创建消费者 jack:
curl "http://127.0.0.1:9180/apisix/admin/consumers" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"username": "jack"
}'
为消费者创建 jwt-auth 凭据并引用环境变量:
curl "http://127.0.0.1:9180/apisix/admin/consumers/jack/credentials" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "cred-jack-jwt-auth",
"plugins": {
"jwt-auth": {
"key": "jack-key",
"secret": "$env://JACK_JWT_SECRET"
}
}
}'
创建一个启用 jwt-auth 的路由:
curl "http://127.0.0.1:9180/apisix/admin/routes" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "jwt-route",
"uri": "/get",
"plugins": {
"jwt-auth": {}
},
"upstream": {
"type": "roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'
要为 jack 签发 JWT,你可以使用 JWT.io 的 JWT 编码器 或其他工具。如果你使用的是 JWT.io 的 JWT 编码器,请执行以下操作:
- 在算法栏填写
HS256。 - 在 Valid secret 部分将密钥更新为
jack-hs256-secret-that-is-very-long。 - 使用消费者密钥
jack-key更新 payload;并添加 UNIX 时间戳格式的exp或nbf。
如果你使用的是 API7 企业版,则不强制要求 exp 或 nbf。你可以选择性地包含这些 Claim,并使用 claims_to_verify 参数来配置要验证哪个 Claim。
你的 payload 应该类似于以下内容:
{
"key": "jack-key",
"nbf": 1729132271
}
复制生成的 JWT 并保存到变量中:
export jwt_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJqYWNrLWtleSIsIm5iZiI6MTcyOTEzMjI3MX0.UEPXy5jpid624T1XpfjM0PLY73LZPjV3Qt8yZ92kVuU
发送带有请求头 JWT 的请求:
curl -i "http://127.0.0.1:9080/get" -H "Authorization: ${jwt_token}"
你应该收到 HTTP/1.1 200 OK 响应。
在密钥管理器中管理密钥
以下示例演示了如何在 HashiCorp Vault 中管理 jwt-auth 消费者密钥,并在插件配置中引用它。
在 Docker 中启动 Vault 开发服务器:
docker run -d \
--name vault \
-p 8200:8200 \
--cap-add IPC_LOCK \
-e VAULT_DEV_ROOT_TOKEN_ID=root \
-e VAULT_DEV_LISTEN_ADDRESS=0.0.0.0:8200 \
vault:1.9.0 \
vault server -dev
APISIX 目前支持 Vault KV 引擎版本 1。在 Vault 中启用它:
docker exec -i vault sh -c "VAULT_TOKEN='root' VAULT_ADDR='http://0.0.0.0:8200' vault secrets enable -path=kv -version=1 kv"
你应该看到类似于以下的响应:
Success! Enabled the kv secrets engine at: kv/
创建 Secret 并配置 Vault 地址和其他连接信息:
curl "http://127.0.0.1:9180/apisix/admin/secrets/vault/jwt" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"uri": "https://127.0.0.1:8200",
"prefix": "kv/apisix",
"token": "root"
}'
❶ 相应地调整 Vault 地址。
创建消费者 jack:
curl "http://127.0.0.1:9180/apisix/admin/consumers" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"username": "jack"
}'
为消费者创建 jwt-auth 凭据并引用该 Secret:
curl "http://127.0.0.1:9180/apisix/admin/consumers/jack/credentials" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "cred-jack-jwt-auth",
"plugins": {
"jwt-auth": {
"key": "jwt-vault-key",
"secret": "$secret://vault/jwt/jack/jwt-secret"
}
}
}'
创建一个启用 jwt-auth 的路由:
curl "http://127.0.0.1:9180/apisix/admin/routes" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "jwt-route",
"uri": "/get",
"plugins": {
"jwt-auth": {}
},
"upstream": {
"type": "roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'
在 Vault 中将 jwt-auth 密钥值设置为 vault-hs256-secret-that-is-very-long:
docker exec -i vault sh -c "VAULT_TOKEN='root' VAULT_ADDR='http://0.0.0.0:8200' vault kv put kv/apisix/jack jwt-secret=vault-hs256-secret-that-is-very-long"
你应该看到类似于以下的响应:
Success! Data written to: kv/apisix/jack
要签发 JWT,你可以使用 JWT.io 的 JWT 编码器 或其他工具。如果你使用的是 JWT.io 的 JWT 编码器,请执行以下操作:
- 在算法栏填写
HS256。 - 在 Valid secret 部分将密钥更新为
vault-hs256-secret-that-is-very-long。 - 使用消费者密钥
jwt-vault-key更新 payload;并添加 UNIX 时间戳格式的exp或nbf。
如果你使用的是 API7 企业版,则不强制要求 exp 或 nbf。你可以选择性地包含这些 Claim,并使用 claims_to_verify 参数来配置要验证哪个 Claim。
你的 payload 应该类似于以下内容:
{
"key": "jwt-vault-key",
"nbf": 1729132271
}
复制生成的 JWT 并保存到变量中:
export jwt_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJqd3QtdmF1bHQta2V5IiwibmJmIjoxNzI5MTMyMjcxfQ.i2pLj7QcQvnlSjB7iV5V522tIV43boQRtee7L0rwlkQ
发送带有请求头令牌的请求:
curl -i "http://127.0.0.1:9080/get" -H "Authorization: ${jwt_token}"
你应该收到 HTTP/1.1 200 OK 响应。
使用 RS256 算法签署 JWT
以下示例演示了在实施 JWT 进行消费者身份验证时,如何使用非对称算法(如 RS256)来签署和验证 JWT。你将使用 openssl 生成 RSA 密钥对,并使用 JWT.io 生成 JWT,以更好地理解 JWT 的组成。
生成 2048 位 RSA 私钥并提取 PEM 格式的对应公钥:
openssl genrsa -out jwt-rsa256-private.pem 2048
openssl rsa -in jwt-rsa256-private.pem -pubout -out jwt-rsa256-public.pem
你应该在当前工作目录中看到生成的 jwt-rsa256-private.pem 和 jwt-rsa256-public.pem。
访问 JWT.io 的 JWT 编码器 并执行以下操作:
- 在算法栏填写
RS256。 - 将私钥内容复制并粘贴到 SIGN JWT: PRIVATE KEY 部分。
- 使用消费者密钥
jack-key更新 payload;并添加 UNIX 时间戳格式的exp或nbf。
你的 payload 应该类似于以下内容:
{
"key": "jack-key",
"nbf": 1729132271
}
如果你使用的是 API7 企业版,则不强制要求 exp 或 nbf。你可以选择性地包含这些 Claim,并使用 claims_to_verify 参数来配置要验证哪个 Claim。
复制生成的 JWT 并保存到变量中:
export jwt_token=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJqYWNrLWtleSIsIm5iZiI6MTcyOTEzMjI3MX0.K-I13em84kAcyH1jfIJl7ls_4jlwg1GzEzo5_xrDu-3wt3Xa3irS6naUsWpxX-a-hmcZZxRa9zqunqQjUP4kvn5e3xg2f_KyCR-_ZbwqYEPk3bXeFV1l4iypv6z5L7W1Niharun-dpMU03b1Tz64vhFx6UwxNL5UIZ7bunDAo_BXZ7Xe8rFhNHvIHyBFsDEXIBgx8lNYMq8QJk3iKxZhZZ5Om7lgYjOOKRgew4WkhBAY0v1AkO77nTlvSK0OEeeiwhkROyntggyx-S-U222ykMQ6mBLxkP4Cq5qHwXD8AUcLk5mhEij-3QhboYnt7yhKeZ3wDSpcjDvvL2aasC25ng
创建消费者 jack:
curl "http://127.0.0.1:9180/apisix/admin/consumers" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"username": "jack"
}'
为消费者创建 jwt-auth 凭据并配置 RSA 密钥:
curl "http://127.0.0.1:9180/apisix/admin/consumers/jack/credentials" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "cred-jack-jwt-auth",
"plugins": {
"jwt-auth": {
"key": "jack-key",
"algorithm": "RS256",
"public_key": "-----BEGIN PUBLIC KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTxe7ZPycrEP0SK4OBA2\n0OUQsDN9gSFSHVvx/t++nZNrFxzZnV6q6/TRsihNXUIgwaOu5icFlIcxPL9Mf9UJ\na5/XCQExp1TxpuSmjkhIFAJ/x5zXrC8SGTztP3SjkhYnQO9PKVXI6ljwgakVCfpl\numuTYqI+ev7e45NdK8gJoJxPp8bPMdf8/nHfLXZuqhO/btrDg1x+j7frDNrEw+6B\nCK2SsuypmYN+LwHfaH4Of7MQFk3LNIxyBz0mdbsKJBzp360rbWnQeauWtDymZxLT\nATRNBVyl3nCNsURRTkc7eyknLaDt2N5xTIoUGHTUFYSdE68QWmukYMVGcEHEEPkp\naQIDAQAB\n-----END PUBLIC KEY-----"
}
}
}'
❶ 将消费者密钥配置为 jack-key。
❷ 将 JWT 签名算法配置为 RS256。
❸ 配置 RSA 公钥。
你应该在起始行之后和结束行之前添加换行符,例如 -----BEGIN PUBLIC KEY-----\n......\n-----END PUBLIC KEY-----。
密钥内容可以直接拼接。
创建一个启用 jwt-auth 插件的路由:
curl "http://127.0.0.1:9180/apisix/admin/routes" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "jwt-route",
"uri": "/headers",
"plugins": {
"jwt-auth": {}
},
"upstream": {
"type": "roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'
要进行验证,请将带有 Authorization 头部中 JWT 的请求发送到路由:
curl -i "http://127.0.0.1:9080/headers" -H "Authorization: ${jwt_token}"
你应该收到 HTTP/1.1 200 OK 响应。
将消费者自定义 ID 添加到头部
以下示例演示了如何将消费者自定义 ID 附加到已认证请求的 Consumer-Custom-Id 头部中,这可用于根据需要实现额外的逻辑。
创建��一个带有自定义 ID 标签的消费者 jack:
curl "http://127.0.0.1:9180/apisix/admin/consumers" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"username": "jack",
"labels": {
"custom_id": "495aec6a"
}
}'
为消费者创建 jwt-auth 凭据:
curl "http://127.0.0.1:9180/apisix/admin/consumers/jack/credentials" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "cred-jack-jwt-auth",
"plugins": {
"jwt-auth": {
"key": "jack-key",
"secret": "jack-hs256-secret-that-is-very-long"
}
}
}'
创建一个启用 jwt-auth 的路由:
curl "http://127.0.0.1:9180/apisix/admin/routes" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "jwt-auth-route",
"uri": "/anything",
"plugins": {
"jwt-auth": {}
},
"upstream": {
"type": "roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'
要为 jack 签发 JWT,你可以使用 JWT.io 的 JWT 编码器 或其他工具。如果你使用的是 JWT.io 的 JWT 编码器,请执行以下操作:
- 在算法栏填写
HS256。 - 在 Valid secret 部分将密钥更新为
jack-hs256-secret-that-is-very-long。 - 使用消费者密钥
jack-key更新 payload;并添加 UNIX 时间戳格式的exp或nbf。
如果你使用的是 API7 企业版�,则不强制要求 exp 或 nbf。你可以选择性地包含这些 Claim,并使用 claims_to_verify 参数来配置要验证哪个 Claim。
你的 payload 应该类似于以下内容:
{
"key": "jack-key",
"nbf": 1729132271
}
复制生成的 JWT 并保存到变量中:
export jwt_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJqYWNrLWtleSIsIm5iZiI6MTcyOTEzMjI3MX0.UEPXy5jpid624T1XpfjM0PLY73LZPjV3Qt8yZ92kVuU
要进行验证,请将带有 Authorization 头部中 JWT 的请求发送到路由:
curl -i "http://127.0.0.1:9080/headers" -H "Authorization: ${jwt_token}"
你应该看到类似于以下的 HTTP/1.1 200 OK 响应:
{
"headers": {
"Accept": "*/*",
"Authorization": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJqYWNrLWtleSIsIm5iZiI6MTcyOTEzMjI3MX0.UEPXy5jpid624T1XpfjM0PLY73LZPjV3Qt8yZ92kVuU",
"Host": "127.0.0.1",
"User-Agent": "curl/8.6.0",
"X-Amzn-Trace-Id": "Root=1-6873b19d-329331db76e5e7194c942b47",
"X-Consumer-Custom-Id": "495aec6a",
"X-Consumer-Username": "jack",
"X-Credential-Identifier": "cred-jack-jwt-auth",
"X-Forwarded-Host": "127.0.0.1"
}
}
如果你想将更多消费者自定义头部附加到已认证请求中,请参阅 attach-consumer-label 插件。
匿名消费者的速率限制
以下示例演示了如何针对常规消费者和匿名消费者配置不同的速率限制策略,其中匿名消费者无需认证且配额较少。
创建常规消费者 jack 并配置 limit-count 插件,允许在 30 秒窗口内有 3 次配额:
curl "http://127.0.0.1:9180/apisix/admin/consumers" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"username": "jack",
"plugins": {
"limit-count": {
"count": 3,
"time_window": 30,
"rejected_code": 429
}
}
}'
为消费者 jack 创建 jwt-auth 凭据:
curl "http://127.0.0.1:9180/apisix/admin/consumers/jack/credentials" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "cred-jack-jwt-auth",
"plugins": {
"jwt-auth": {
"key": "jack-key",
"secret": "jack-hs256-secret-that-is-very-long"
}
}
}'
创建匿名用户 anonymous 并配置 limit-count 插件,允许在 30 秒窗口内有 1 次配额:
curl "http://127.0.0.1:9180/apisix/admin/consumers" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"username": "anonymous",
"plugins": {
"limit-count": {
"count": 1,
"time_window": 30,
"rejected_code": 429
}
}
}'
创建路由并配置 jwt-auth 插件以接受匿名消费者 anonymous 绕过认证:
curl "http://127.0.0.1:9180/apisix/admin/routes" -X PUT \
-H "X-API-KEY: ${ADMIN_API_KEY}" \
-d '{
"id": "jwt-auth-route",
"uri": "/anything",
"plugins": {
"jwt-auth": {
"anonymous_consumer": "anonymous"
}
},
"upstream": {
"type": "roundrobin",
"nodes": {
"httpbin.org:80": 1
}
}
}'
要为 jack 签发 JWT,你可以使用 JWT.io 的 JWT 编码器 或其他工具。如果你使用的是 JWT.io 的 JWT 编码器,请执行以下操作:
- 在算法栏填写
HS256。 - 在 Valid secret 部分将密钥更新为
jack-hs256-secret-that-is-very-long。 - 使用消费者密钥
jack-key更新 payload;并添加 UNIX 时间戳格式的exp或nbf。
如果你使用的是 API7 企业版,则不强制要求 exp 或 nbf。你可以选择性地包含这些 Claim,并使用 claims_to_verify 参数来配置要验证哪个 Claim。
你的 payload 应该类似于以下内容:
{
"key": "jack-key",
"nbf": 1729132271
}
复制生成的 JWT 并保存到变量中:
export jwt_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJrZXkiOiJqYWNrLWtleSIsIm5iZiI6MTcyOTEzMjI3MX0.UEPXy5jpid624T1XpfjM0PLY73LZPjV3Qt8yZ92kVuU
要验证速率限制,请使用 jack 的 JWT 发送五个连续请求:
resp=$(seq 5 | xargs -I{} curl "http://127.0.0.1:9080/anything" -H "Authorization: ${jwt_token}" -o /dev/null -s -w "%{http_code}\n") && \
count_200=$(echo "$resp" | grep "200" | wc -l) && \
count_429=$(echo "$resp" | grep "429" | wc -l) && \
echo "200": $count_200, "429": $count_429
你应该看到以下响应,显示在 5 个请求中,3 个请求成功(状态码 200),而其他请求被拒绝(状态码 429)。
200: 3, 429: 2
发送五个匿名请求:
resp=$(seq 5 | xargs -I{} curl "http://127.0.0.1:9080/anything" -o /dev/null -s -w "%{http_code}\n") && \
count_200=$(echo "$resp" | grep "200" | wc -l) && \
count_429=$(echo "$resp" | grep "429" | wc -l) && \
echo "200": $count_200, "429": $count_429
你应该看到以下响应,显示只有一个请求成功:
200: 1, 429: 4