jwe-decrypt

描述

jwe-decrypt 插件,用于解密 APISIX Service 或者 Route 请求中的 JWE 授权请求头。

插件增加了一个 /apisix/plugin/jwe/encrypt 的内部 API,提供给 JWE 加密使用。解密时,秘钥应该配置在 Consumer内。

属性

Consumer 配置:

名称类型必选项默认值有效值描述
keystringTrueConsumer 的唯一 key
secretstringTrue解密密钥,必须为 32 位。秘钥可以使用 Secret 资源保存在密钥管理服务中
is_base64_encodedbooleanFalsefalse如果密钥是 Base64 编码,则需要配置为 true
jwe-decrypt - 图1note

注意,在启用 is_base64_encoded 后,你的 secret 长度可能会超过 32 位,你只需要保证在 Decode 后的长度仍然是 32 位即可。

Route 配置:

名称类型必选项默认值描述
headerstringTrueAuthorization指定请求头,用于获取加密令牌
forward_headerstringTrueAuthorization传递给 Upstream 的请求头名称
strictbooleanFalsetrue如果为配置为 true,请求中缺失 JWE token 则抛出 403 异常。如果为 false, 在缺失 JWE token 的情况下不会抛出异常

启用插件

首先,基于 jwe-decrypt 插件创建一个 Consumer,并且配置解密密钥:

jwe-decrypt - 图2note

您可以这样从 config.yaml 中获取 admin_key 并存入环境变量:

  1. admin_key=$(yq '.deployment.admin.admin_key[0].key' conf/config.yaml | sed 's/"//g')
  1. curl http://127.0.0.1:9180/apisix/admin/consumers -H "X-API-KEY: $admin_key" -X PUT -d '
  2. {
  3. "username": "jack",
  4. "plugins": {
  5. "jwe-decrypt": {
  6. "key": "user-key",
  7. "secret": "-secret-length-must-be-32-chars-"
  8. }
  9. }
  10. }'

下一步,基于 jwe-decrypt 插件创建一个路由,用于解密 authorization 请求头:

  1. curl http://127.0.0.1:9180/apisix/admin/routes/1 -H "X-API-KEY: $admin_key" -X PUT -d '
  2. {
  3. "methods": ["GET"],
  4. "uri": "/anything*",
  5. "plugins": {
  6. "jwe-decrypt": {}
  7. },
  8. "upstream": {
  9. "type": "roundrobin",
  10. "nodes": {
  11. "httpbin.org:80": 1
  12. }
  13. }
  14. }'

使用 JWE 加密数据

该插件创建了一个内部的 API /apisix/plugin/jwe/encrypt 以使用 JWE 进行加密。要公开它,需要创建一个对应的路由,并启用 public-api 插件:

  1. curl http://127.0.0.1:9180/apisix/admin/routes/jwenew -H "X-API-KEY: $admin_key" -X PUT -d '
  2. {
  3. "uri": "/apisix/plugin/jwe/encrypt",
  4. "plugins": {
  5. "public-api": {}
  6. }
  7. }'

向 API 发送一个请求,将 Consumer 中配置的密钥,以参数的方式传递给 URI,用于加密 payload 中的一些数据。

  1. curl -G --data-urlencode 'payload={"uid":10000,"uname":"test"}' 'http://127.0.0.1:9080/apisix/plugin/jwe/encrypt?key=user-key' -i

您应该看到类似于如下内容的响应结果,其中 JWE 加密的数据位于响应体中:

  1. HTTP/1.1 200 OK
  2. Date: Mon, 25 Sep 2023 02:38:16 GMT
  3. Content-Type: text/plain; charset=utf-8
  4. Transfer-Encoding: chunked
  5. Connection: keep-alive
  6. Server: APISIX/3.5.0
  7. Apisix-Plugins: public-api
  8. eyJhbGciOiJkaXIiLCJraWQiOiJ1c2VyLWtleSIsImVuYyI6IkEyNTZHQ00ifQ..MTIzNDU2Nzg5MDEy.hfzMJ0YfmbMcJ0ojgv4PYAHxPjlgMivmv35MiA.7nilnBt2dxLR_O6kf-HQUA

使用 JWE 解密数据

将加密数据放在 Authorization 请求头中,向 API 发起请求:

  1. curl http://127.0.0.1:9080/anything/hello -H 'Authorization: eyJhbGciOiJkaXIiLCJraWQiOiJ1c2VyLWtleSIsImVuYyI6IkEyNTZHQ00ifQ..MTIzNDU2Nzg5MDEy.hfzMJ0YfmbMcJ0ojgv4PYAHxPjlgMivmv35MiA.7nilnBt2dxLR_O6kf-HQUA' -i

您应该可以看到类似于如下的响应内容,其中 Authorization 响应头显示了有效的解密内容:

  1. HTTP/1.1 200 OK
  2. Content-Type: application/json
  3. Content-Length: 452
  4. Connection: keep-alive
  5. Date: Mon, 25 Sep 2023 02:38:59 GMT
  6. Access-Control-Allow-Origin: *
  7. Access-Control-Allow-Credentials: true
  8. Server: APISIX/3.5.0
  9. Apisix-Plugins: jwe-decrypt
  10. {
  11. "args": {},
  12. "data": "",
  13. "files": {},
  14. "form": {},
  15. "headers": {
  16. "Accept": "*/*",
  17. "Authorization": "{\"uid\":10000,\"uname\":\"test\"}",
  18. "Host": "127.0.0.1",
  19. "User-Agent": "curl/8.1.2",
  20. "X-Amzn-Trace-Id": "Root=1-6510f2c3-1586ec011a22b5094dbe1896",
  21. "X-Forwarded-Host": "127.0.0.1"
  22. },
  23. "json": null,
  24. "method": "GET",
  25. "origin": "127.0.0.1, 119.143.79.94",
  26. "url": "http://127.0.0.1/anything/hello"
  27. }

删除插件

要删除 jwe-decrypt 插件,您可以从插件配置中删除插件对应的 JSON 配置,APISIX 会自动加载,您不需要重新启动即可生效。

  1. curl http://127.0.0.1:9180/apisix/admin/routes/1 -H "X-API-KEY: $admin_key" -X PUT -d '
  2. {
  3. "methods": ["GET"],
  4. "uri": "/anything*",
  5. "plugins": {},
  6. "upstream": {
  7. "type": "roundrobin",
  8. "nodes": {
  9. "httpbin.org:80": 1
  10. }
  11. }
  12. }'