为HTTP触发器配置JWT认证鉴权

使用说明

• 可以使用任何方式来生成和分发JWT，函数计算负责通过触发器配置的Public JWKS来认证JWT。

• 支持不含kid的JWK。

• 支持为一个触发器配置多个JWK。

• 支持从header、Query参数（GET）、表单参数（POST）和cookie中读取Token。

• 支持将claims作为header、Query参数（GET）、表单参数（POST）和cookie转发给函数。

JWT认证流程

前提条件

• 已创建服务。具体操作，请参见创建服务。

• 已创建HTTP函数。具体操作，请参见创建函数。

操作步骤

1. 登录函数计算控制台，在左侧导航栏，单击服务及函数。
2. 在顶部菜单栏，选择地域，然后在服务列表页面，单击目标服务。
3. 在函数管理页面，单击目标函数名称，然后在函数详情页面，单击触发器管理（URL）页签。

4. 在触发器管理（URL）页签，单击HTTP触发器操作列的编辑按钮。

5. 在编辑触发器面板，设置以下配置项，然后单击确定。

   1. 认证方式选择为JWT 认证。

      

   2. 配置JWKS。

      为HTTP触发器配置JWT鉴权，首先需要提供一个有效的JWKS（JSON Web Key Set）。您可以自行生成JWKS，或者搜索JSON Web Key Generator寻找在线可用的生成工具，例如mkjwk.org。如果您已经有pem格式的密钥，可以借助工具（例如jwx），将其转换为JWKS格式。

      JWKS示例如下。

      {
          "keys": [
              {
                  "alg": "RS256",
                  "e": "AQAB",
                  "kty": "RSA",
                  "n": "u1LWgoomekdOMfB1lEe96OHehd4XRNCbZRm96RqwOYTTc28Sc_U5wKV2umDzolfoI682ct2BNnRRahYgZPhbOCzHYM6i8sRXjz9Ghx3QHw9zrYACtArwQxrTFiejbfzDPGdPrMQg7T8wjtLtkSyDmCzeXpbIdwmxuLyt_ahLfHelr94kEksMDa42V4Fi5bMW4cCLjlEKzBEHGmFdT8UbLPCvpgsM84JK63e5ifdeI9NdadbC8ZMiR--dFCujT7AgRRyMzxgdn2l-nZJ2ZaYzbLUtAW5_U2kfRVkDNa8d1g__2V5zjU6nfLJ1S2MoXMgRgDPeHpEehZVu2kNaSFvDUQ",
                  "use": "sig"
              }
          ]
      }

      函数计算支持为一个HTTP触发器配置一组JWT（JWKS），在JWKS中寻找与token中的kid相同的JWK公钥，并使用这个公钥对token进行签名校验。一个触发器的JWKS最多只允许一个JWK的kid不存在或者为空字符串。

      目前函数计算的JWT支持如下算法。

      签名算法	alg取值
      RSASSA-PKCS1-V1_5	RS256，RS384，RS512
      RSASSA-PSS	PS256，PS384，PS512
      Elliptic Curve (ECDSA)	ES256，ES384，ES512
      HMAC	HS256，HS384，HS512
      EdDSA	EdDSA

      重要

      • HMAC签名算法为对称加密，安全性相对较低，建议使用安全性更高的非对称加密算法。

      • 使用非对称加密算法时，出于安全考虑，您的JWT中只需要包含公钥信息即可，不建议包含私钥信息。

   3. 在JWT Token 配置配置项中，选择token所在位置和token的名称。

      token位置支持Header、Cookie、Query参数（GET）和表单参数（POST）。如果token位置选择为Header，则还需为其指定前缀，函数计算在获取Token时，会删除此前缀。

   4. 在JWT Claim 转换配置项中，选择透传给函数的参数所在位置、参数原始名称和参数透传给函数之后的名称。

      映射参数位置支持Header、Cookie、Query参数（GET）和表单参数（POST）。

   5. 设置请求匹配模式。

      • 匹配全部：所有HTTP请求都需要进行JWT校验。

      • 白名单模式：请求路径白名单中设置的Path的HTTP请求不需要JWT校验，其他请求需要JWT校验。

      • 黑名单模式：请求路径黑名单中设置的Path的HTTP请求需要JWT校验，其他请求不需要JWT校验。

      白名单模式和黑名单模式支持以下两种匹配模式。

      • 精确匹配

        请求的路径和设置的路径完全一致才可以匹配。例如，设置请求路径黑名单为/a，则来自路径/a的请求需要JWT校验，来自路径/a/的请求无需校验。

      • 模糊匹配

        支持使用通配符（*）设置路径，且通配符（*）只能放到路径的最后。例如，设置请求路径黑名单为/login/*，则来自路径前缀为/login/（例如/login/a、/login/b/c/d）的请求均需要JWT校验。

结果验证

在调测工具（本文以Postman工具为例）中，根据HTTP触发器的JWT配置，填写访问地址、Token等，验证是否可以正常访问触发器。如下图所示。

• ①为获取的触发器的公网访问地址。您可以在目标函数的触发器管理（URL）页签查看。

• ②为JWT Token 配置中设置的参数名称和Token。Token示例如下。

  eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiSm9uIFNub3ciLCJhZG1pbiI6dHJ1ZSwiZXhwIjo0ODI5NTk3NjQxfQ.eRcobbpjAd3OSMxcWbmbicOTLjO2vuLR9F2QZMK4rz1JqfSRHgwQVqNxcfOIO9ckDMNlF_3jtdfCfvXfka-phJZpHmnaQJxmnOA8zA3R4wF4GUQdz5zkt74cK9jLAXpokwrviz2ROehwxTCwa0naRd_N9eFhvTRnP3u7L0xn3ll4iOf8Q4jS0mVLpjyTa5WiBkN5xi9hkFxd__p98Pah_Yf0hVQ2ldGSyTtAMmdM1Bvzad-kdZ_wW0jcctIla9bLnOo-Enr14EsGvziMh_QTZ3HQtJuToSKZ11xkNgaz7an5de6PuF5ISXQzxigpFVIkG765aEDVtEnFkMO0xyPGLg

• ③为Claim透传给函数后的名称。

配合自定义域名使用JWT鉴权

如上图所示，自定义域名位于HTTP触发器之前，用户的请求会先经过自定义域名的处理，然后才会被HTTP触发器处理，JWT认证鉴权是位于HTTP触发器上的逻辑。下文介绍自定义域名如何使用JWT认证鉴权。

普通自定义域名

如果为自定义域名配置了路由，未配置重写策略，那么到达HTTP请求中的Path就是自定义域名请求的Path。

如果用户请求URL为/fc-jwt/auth/aliyun，则HTTP触发器会对请求进行校验，因为到达HTTP触发器的请求的Path与设置的请求路径黑名单匹配。

结合自定义域名的重写功能

如果为自定义域名配置了路由，且配置了重写策略，那么到达HTTP请求中的Path为自定义域名重写后的Path。关于自定义域名的重写功能，请参见配置重写策略（公测中）。

如果用户请求URL为/fc-jwt/auth/aliyun，则重写后的URL为/auth/aliyun。关于通配符重写规则，请参见通配符重写。此时，HTTP触发器不会对请求进行校验，因为到达HTTP触发器的请求的Path为/auth/aliyun，与设置的请求路径黑名单不匹配。

如果将触发器请求路径黑名单配置为/auth/*，那么HTTP触发器会对URL为/fc-jwt/auth/aliyun的请求进行JWT校验。

常见问题

为什么触发器开启JWT鉴权之后，访问函数提示：invalid or expired jwt？

为什么触发器开启JWT鉴权之后，访问函数提示：the jwt token is missing？

该提示说明函数计算无法根据JWT Token配置找到Token，请检查请求中是否携带了Token、Token的位置或Token的名称是否正确。

开启JWT认证后，是否会产生额外的费用？

不会产生额外的费用。函数计算默认提供的网关相关的功能计费都是在函数调用次数中进行收费，所以不管您是否开启JWT认证，都不会产生额外的费用。