Module ngx_http_auth_jwt_module

• Example Configuration
• Directives
  • auth_jwt
  • auth_jwt_claim_set
  • auth_jwt_header_set
  • auth_jwt_key_file
  • auth_jwt_key_request
  • auth_jwt_leeway
• Embedded Variables
  

ngx_http_auth_jwt_module模块(1.11.3)通过使用指定的密钥验证提供的JSON Web 令牌(JWT)来实现客户端授权。 JWT 声明必须以JSON Web 签名(JWS)结构进行编码。该模块可用于OpenID Connect身份验证。

该模块可以通过satisfy指令与其他访问模块(例如ngx_http_access_module，ngx_http_auth_basic_module和ngx_http_auth_request_module)组合。

该模块支持以下加密algorithms：

• HS256，HS384，HS512

• RS256，RS384，RS512

• ES256，ES384，ES512

• EdDSA(Ed25519 和 Ed448 签名)(1.15.7)

在 1.13.7 版之前，仅支持 HS256，RS256，ES256 算法。

Example Configuration

location / {
    auth_jwt          "closed site";
    auth_jwt_key_file conf/keys.json;
}

Directives

启用 JSON Web 令牌验证。指定的string用作realm。参数值可以包含变量。

可选的token参数指定一个包含 JSON Web 令牌的变量。默认情况下，JWT 以Bearer Token的形式在“ Authorization”Headers 中传递。 JWT 也可以作为 cookie 或查询字符串的一部分传递：

auth_jwt "closed site" token=$cookie_auth_token;

特殊值off取消了从先前配置级别继承的auth_jwt指令的效果。

该指令出现在 1.11.10 版本中。

将variable设置为由键名标识的 JWT 声明参数。名称匹配从 JSON 树的顶层开始。对于数组，该变量保留以逗号分隔的数组元素列表。

auth_jwt_claim_set $email info e-mail;
auth_jwt_claim_set $job info "job title";

该指令出现在 1.11.10 版本中。

将variable设置为由键名标识的 JOSEHeaders 参数。名称匹配从 JSON 树的顶层开始。对于数组，该变量保留以逗号分隔的数组元素列表。

以JSON Web 密钥集格式指定file以验证 JWT 签名。参数值可以包含变量。

该指令出现在 1.15.6 版中。

允许从子请求中检索JSON Web 密钥集文件以验证 JWT 签名，并设置将子请求发送到的 URI。为避免验证开销，建议缓存密钥文件：

proxy_cache_path /data/nginx/cache levels=1 keys_zone=foo:10m;

server {
    ...

    location / {
        auth_jwt             "closed site";
        auth_jwt_key_request /jwks_uri;
    }

    location = /jwks_uri {
        internal;
        proxy_cache foo;
        proxy_pass  http://idp.example.com/keys;
    }
}

该指令出现在版本 1.13.10 中。

设置最大允许余量，以在验证exp和nbf JWT 声明时补偿时钟偏斜。

Embedded Variables

ngx_http_auth_jwt_module模块支持嵌入式变量：

$jwt_header_ name

• 返回指定的JOSE header的值

$jwt_claim_ name

• 返回指定的JWT claim的值

对于嵌套的声明和包含点(“.”)的声明，无法评估变量的值；应该使用auth_jwt_claim_set指令。