如何解决API 网关/代理配置中 API 访问令牌的 NGINX 服务调用
我有一个 nginx 网关,配置为一个 API 网关反向代理到使用 nginx Javascript mod (njs) 的 Google Cloud API
我的 default.conf 如下所示:
js_include conf.d/oauth2.js; # Location of JavaScript code
js_set $gToken getGoogleAccessToken;
server {
listen 80;
server_name test.apigateway.com;
location / {
proxy_set_header Authorization $gToken;
proxy_pass https://GoogleApithatRequiresAuthentcationURL;
}
location /_oauth_google {
internal;
proxy_method GET;
proxy_set_header Authorization "";
proxy_pass http://localhost:19006/get-token;
}
我的 oath2.js njs (Javascript) 看起来像这样:
function getGoogleAccessToken(r) {
r.subrequest('/_oauth_google',function(reply) {
if (reply.status == 200) {
var response = JSON.parse(reply.responseBody);
if (response.access_token !== undefined) {
r.log(response.access_token)
return("Bearer " + response.access_token); // Token is valid,return token
} else {
r.return(401); // Token is invalid,return forbidden code
}
} else {
r.return(401); // Unexpected response,return 'auth required'
}
}
)
}
在 http://localhost:19006/get-token 有一个配套的令牌服务,它铸造 RS-SHA256 JWT(见下面的代码),并管理和返回 Google 访问令牌。此服务正常运行。
代码在调试模式下几乎可以根据 NGINX 日志文件运行。尽管 r.log(response.access_token) 已写入调试日志,但当代理调用 Google API 时,$gToken 的值似乎为 null 或空。
日志似乎说对 js_set $gToken getGoogleAccessToken; 的调用没有阻塞,因此
proxy_pass https://GoogleApithatRequiresAuthentcationURL 在设置 $gToken 之前执行。 js_set 的文档表明该变量应该在第一次访问时设置,以便在调用 proxy_set_header Authorization $gToken 时;调用 https://GoogleApithatRequiresAuthentcationURL
任何关于如何使这项工作的想法将不胜感激。没有任何真正好的 nginx 方法可以代理到需要令牌的 API。
以下是管理 NGINX 代理的 Google 令牌的 google 令牌服务的工作代码,但这可以适用于其他令牌服务:
const jsrsasign = require('jsrsasign');
const fs = require('fs');
const axios = require('axios');
const express = require('express');
const port = process.env.PORT || 19006;
const app = express();
const NodeCache = require( "node-cache" );
const myCache = new NodeCache();
var querystring = require('querystring');
app.get('/get-g-token',async (req,res) => {
var gToken = myCache.get("gToken");
if (gToken === undefined) {
const sJWT = getJWT();
try{
const resp = await getGoogleToken(sJWT);
console.log(resp.data);
myCache.set( "gToken",resp.data,3550 )
res.status = resp.status;
res.send(resp.data);
}
catch(err){
console.log(err);
res.status = 500;
res.send(err.message);
}
}
res.status = 200;
res.send(gToken);
});
function getJWT(){
var kid = "yourgooogleprivatekeyid";
var header = {
"alg": "RS256","kid": kid,"typ": "JWT",};
var data = {
exp: Math.round(new Date().getTime() / 1000) + 3600,iat: Math.round(new Date().getTime() / 1000),iss: "service-account@project.iam.gserviceaccount.com",aud: "https://oauth2.googleapis.com/token",scope: "https://www.googleapis.com/auth/cloud-platform",};
var secret = fs.readFileSync('location-of-service-account.pem');
console.log(secret.toString());
console.log(header);
console.log(data);
var sPayload = JSON.stringify(data);
var sJWT = jsrsasign.KJUR.jws.JWS.sign("RS256",header,sPayload,secret.toString());
console.log(sJWT);
return sJWT;
}
async function getGoogleToken(sJWT) {
try {
let config = {
headers: {
"Content-Type": "application/x-www-form-urlencoded",}
}
const data = {
grant_type: 'urn:ietf:params:oauth:grant-type:jwt-bearer',assertion: sJWT
}
return axios.post('https://oauth2.googleapis.com/token',querystring.stringify(data),config)
} catch (err) {
return err;
}
}
app.listen(port,() => {
console.log(`Listening on port ${port}`);
});
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。