#在CentOS7环境中,实现使用openresty配置文件,达到jwt指定用户userid不能访问的效果。
首先,你需要安装 OpenResty 和 JWT 组件:
- 安装 OpenResty
参考 OpenResty 的官方安装文档,在终端执行如下命令:
$ sudo yum install yum-utils
$ sudo yum-config-manager --add-repo https://openresty.org/package/centos/openresty.repo
$ sudo yum install openresty
- 安装 LuaRocks 和 JWT
$ sudo yum install epel-release -y
$ sudo yum install lua-nginx* -y
$ sudo yum install curl -y
$ sudo yum install wget -y
$ sudo yum localinstall https://luarocks.org/releases/luarocks-3.5.0.tar.gz
$ sudo luarocks install lua-resty-jwt
接下来,你可以在 OpenResty 配置文件中实现需求:文章来源:https://www.toymoban.com/news/detail-486439.html
- 在 nginx.conf 文件中,添加
http
块:
http {
...
}
- 在
http
块中添加以下内容:
# 在 server 块中定义变量
lua_shared_dict jwt_dict 10m;
init_by_lua_block {
local jwt = require "resty.jwt"
local jwt_secret = "your-jwt-secret"
-- 将 jwt 验证结果保存到共享内存中
function save_jwt_result(jwt_result)
local dict = ngx.shared.jwt_dict
local key = ngx.var.http_authorization
local expires = 60 * 60 -- 设置过期时间为一小时
if jwt_result.valid then
dict:set(key, jwt_result.payload, expires)
else
dict:set(key, 0, expires)
end
end
-- 验证 jwt
function validate_jwt()
local auth_header = ngx.var.http_authorization
if not auth_header then
ngx.exit(401)
end
local jwt_token = string.match(auth_header, "^Bearer%s+(.+)$")
if not jwt_token then
ngx.exit(401)
end
local jwt_obj = jwt:verify(jwt_secret, jwt_token)
save_jwt_result(jwt_obj)
if not jwt_obj.valid then
ngx.exit(401)
end
end
}
# 定义 server 块
server {
listen 7000;
server_name localhost;
# 声明 location 块,匹配 /api/ 开头的请求
location ^~ /api/ {
# 验证 jwt
access_by_lua_block {
validate_jwt()
-- 查询 PostgreSQL 数据库,获取 accountblack 表
-- 如果用户 userid 被加入了黑名单,返回 403 状态码,否则继续执行
local pgsql = require("resty.postgres")
local pg = pgsql:new()
pg:set_timeout(1000)
-- 连接 PostgreSQL 数据库
local ok, err = pg:connect{
host = "your-postgres-db-host",
port = 5432,
database = "your-postgres-db-name",
user = "your-postgres-db-username",
password = "your-postgres-db-password"
}
if not ok then
ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR)
end
-- 查询用户是否在黑名单中
local account_black_sql = string.format("SELECT accountid FROM accountblack WHERE userid = %s", ngx.var.jwt_payload.sub)
local account_black_result, err = pg:query(account_black_sql)
if not account_black_result then
ngx.log(ngx.ERR, "Failed to query accountblack: ", err)
ngx.exit(ngx.HTTP_INTERNAL_SERVER_ERROR)
end
if account_black_result[1] ~= nil then
ngx_exit(ngx.HTTP_FORBIDDEN)
end
}
# 转发请求
proxy_pass http://172.16.01.6:8029/;
}
}
- 其中,
save_jwt_result(jwt_result)
函数用于将 jwt 验证结果存储到共享内存中,validate_jwt()
函数用于验证 jwt,access_by_lua_block
即 access 阶段执行的 Lua 代码块。在access_by_lua_block
中,我们查询 PostgreSQL 数据库,获取accountblack
表,如果用户 userid 在黑名单中,返回 403 状态码,否则继续执行,并将请求转发到http://172.16.01.6:8029/
。
当用户请求 /api/
接口时,将会首先执行 validate_jwt()
函数,验证 jwt 是否有效。如果 jwt 有效,我们将会查询 PostgreSQL 数据库,检查用户 userid 是否在黑名单表中。如果用户在黑名单中,请求将会被拒绝并返回 403 状态码;否则请求将会被转发到指定地址,并且在转发过程中会自动添加上验证后的 jwt 信息。文章来源地址https://www.toymoban.com/news/detail-486439.html
到了这里,关于在CentOS7环境中,实现使用openresty配置文件,达到jwt指定用户userid不能访问的效果的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!