今天我开始关注Kong以及它如何通过插件提供一些功能。我正在阅读[在此处输入链接描述] [插件]页面并开始查看JWT。
孔似乎提供了这些终点(而不仅仅是):
一旦激活,Kong将验证JWT(和声明)的有效性,并将请求转发给API端点(如果它有效)。
这是我的问题:
请检查以下链接,该插件将解析您的JWT令牌并对其进行解码:https://github.com/wego/kong-jwt-claim-headers
此外,如果您需要帮助来设置jwt插件,请检查:Kong-auth0-jwt
另一种选择是使用kong-oidc并将其部署为资源服务器,验证OAuth 2.0 JWT令牌。
我有类似的要求。我通过在我的spring-boot应用程序中添加JwtFilter
来实现它,它将提取JWT令牌,解析它并将其设置在SecurityContextHolder
中。我可以通过在需要时从SecurityContextHolder
获取令牌来提取用户信息。我面临的挑战是确定注册JWT时使用的secret
,因为我无法控制它在消费者端的生成方式。