如何在jwt中验证用户
How to validate the user in jwt
我有一个休息服务,它在数据库中存储来自用户的评论,我的架构是一个 angular 前端连接到负载平衡器服务器 (zuul),它连接到 auth 服务器以生成 jwt .
使用 jwt,前端生成请求到与 jwt 相同的 zuul 服务器,此 zuul 服务器验证 jwt,如果有效,将连接到另一个后端服务以存储评论。
存储评论的后端服务没有任何安全验证所有端点都可以访问,因为该微服务的路由不会暴露?这样做有什么风险吗?
由于没有 jwt 到达 "comment backend service" 我怎样才能得到实际发出请求的用户?我是否应该在 zuul 服务器中实施某种过滤器以从 jwt 令牌获取登录用户并将信息包含在发送到 "comment backend service" 的请求中?如果可能的话,关于如何实施它有什么想法吗?
谢谢
问候
默认情况下,Zuul 将 Authorization header 视为敏感 header 并且不会将其传递到下游。所以你需要做的第一件事就是更新 Zuul 配置。阅读文档 here.
之后,在您的每个下游服务中,您需要添加从 Authorization header 读取 JWT 令牌的能力,并提取用户名等相关信息
我有一个休息服务,它在数据库中存储来自用户的评论,我的架构是一个 angular 前端连接到负载平衡器服务器 (zuul),它连接到 auth 服务器以生成 jwt . 使用 jwt,前端生成请求到与 jwt 相同的 zuul 服务器,此 zuul 服务器验证 jwt,如果有效,将连接到另一个后端服务以存储评论。
存储评论的后端服务没有任何安全验证所有端点都可以访问,因为该微服务的路由不会暴露?这样做有什么风险吗?
由于没有 jwt 到达 "comment backend service" 我怎样才能得到实际发出请求的用户?我是否应该在 zuul 服务器中实施某种过滤器以从 jwt 令牌获取登录用户并将信息包含在发送到 "comment backend service" 的请求中?如果可能的话,关于如何实施它有什么想法吗?
谢谢 问候
默认情况下,Zuul 将 Authorization header 视为敏感 header 并且不会将其传递到下游。所以你需要做的第一件事就是更新 Zuul 配置。阅读文档 here.
之后,在您的每个下游服务中,您需要添加从 Authorization header 读取 JWT 令牌的能力,并提取用户名等相关信息