那些遇到过的问题

HAProxy中的JWT验证

Ste*_*2a1 7 haproxy jwt

我有一个HAProxy配置为接受*.mysubdomain.com的请求.HAProxy将解析子域(prod或dev来自prod.mysubdomain.com或dev.mysubdomain.com)并转发到正确的后端.存在两个后端,一个用于产品,一个用于开发.每个后端包含两个服务器条目,指向每个子域上的Marathon LB实例.

子域需要JWT cookie才能在后端进行身份验证.我有公钥来检查JWT的有效性,但是希望在HAProxy中这样做.有没有办法添加我自己的代码来执行HAProxy配置中的JWT有效性检查?

HAProxy配置文件如下:

global
    maxconn 256

defaults
    mode http
    timeout connect 5000ms
    timeout client 50000ms
    timeout server 50000ms

frontend http-in
    bind *:80
    mode http

    # Returns true when one of the headers contains one of the strings either isolated or delimited by dots. This is used to perform domain name matching.
    acl host_dev hdr_dom(host) -i dev
    acl host_prod hdr_dom(host) -i prod

    acl jwtPresent req.cook(JWT) -m found

    use_backend prod_domain if jwtPresent host_prod
    use_backend dev_domain if jwtPresent host_dev

    default_backend prod_domain

backend prod_domain
    balance roundrobin
    server prodDomain1 "${MARATHON_LB_PROD_1}" maxconn 32 check
    server prodDomain2 "${MARATHON_LB_PROD_2}" maxconn 32 check

backend dev_domain
    balance roundrobin
    server devDomain1 "${MARATHON_LB_DEV_1}" maxconn 32 check
    server devDomain2 "${MARATHON_LB_DEV_2}" maxconn 32 check
Run Code Online (Sandbox Code Playgroud)

cor*_*ord 5

HAProxy 可以充当 API 网关并根据公钥验证 JWT 令牌。他们撰写了一篇博文并提供了示例代码来向您展示如何操作。

该帖子在这里:https://www.haproxy.com/blog/using-haproxy-as-an-api-gateway-part-2-authentication/

示例lua代码在这里:https://github.com/haproxytech/haproxy-lua-jwt

Ste*_*2a1 0

据我所知,HAProxy 不具备执行验证 JWT 逻辑的功能。相反,我在 Lua 中实现了一个脚本,供 haproxy.cfg 调用以执行验证:

global
    maxconn 256
    lua-load /choose_backend.lua

defaults
    mode http
    timeout connect 5000ms
    timeout client 50000ms
    timeout server 50000ms

frontend http-in
    bind *:80

    http-request set-header X-SSL-Client-DN             %{+Q}[ssl_c_s_dn]


    http-request set-var(txn.backend_name) lua.backend_select()
    use_backend %[var(txn.backend_name)]

backend prod_domain
    balance roundrobin
    server prodDomain1 "${MARATHON_LB_PROD_1}" maxconn 32 check
    server prodDomain2 "${MARATHON_LB_PROD_2}" maxconn 32 check

backend dev_domain
    balance roundrobin
    server devDomain1 "${MARATHON_LB_DEV_1}" maxconn 32 check
    server devDomain2 "${MARATHON_LB_DEV_2}" maxconn 32 check
Run Code Online (Sandbox Code Playgroud)

  • 能分享一下lua脚本吗? (4认同)

归档时间:

查看次数:

3298 次

最近记录:

6 年,7 月 前
相关归档
基于OAuth和基于令牌的身份验证之间有什么区别? 54
Spring Security with oidc:刷新令牌 12
使用 React hooks、.NET Core Web API 和 SQL Server 实现身份验证和授权 9
为什么jwt.io无法解码google JWT token 7
Spring JWT - 添加自定义声明 6
“未知的身份验证策略”“jwt” 5
我们可以使用 ID Token 作为访问令牌吗? 5
JwtModule.registerAsync 在 NestJS 中不起作用 4
如何从控制器获取 jwt 令牌(用户已登录) 2
HAProxy 中的 Proxy_pass 等价物 2
难疑归档
如何异步上传文件? 2841
如何测试空的JavaScript对象? 2730
如何检查字符串是否包含Bash中的子字符串 2332
如何在Git中获取当前分支名称? 2321
.NET中的decimal,float和double之间的区别? 2015
常规演员与static_cast与dynamic_cast 1661
查看未发布的Git提交 1649
抽象函数和虚函数有什么区别? 1526
检查Bash shell脚本中是否存在输入参数 1223
如何通过对象中的属性对List <T>进行排序 1146