jBASE RESTful API的JWT认证

Question

我们正在设计一个前端应用程序，它将通过jBASE API调用RESTful服务器。API是从名为jBASE的jAgent组件创建的。

1. jAgent是否支持创建和验证JWT？
2. 如果没有，那么处理角应用程序的身份验证/授权的最佳方法是什么？
3. 如果我们需要使用JWT，是否必须为此使用身份验证中间件应用程序(.NET Core或node.js)？

Answer 1

问得好！目前jAgent中没有处理程序，我们的建议是实现这一点，并通过其他应用程序(如HAproxy或孔子 )来实现web服务器/API网关技术。

jAgent功能的扩展包括这样的功能，这是我们仍在考虑的事情，但请记住，jBASE的强大之处在于它与主机操作系统的本地交互。由于没有虚拟OS层，所以可以更容易地插入和播放现成的东西来填补额外的功能，这给您带来了自己的工具的灵活性。

总结如下：

1. 现在不行
2. 使用现成的包作为API网关
3. 取决于您选择的包

它将jAgent降级到API层的管理，因为它存在于PICK/jBASE端，而现成的包则管理您的API安全层。

还有一个注意事项--我注意到您包含了一个指向托管在jBASE上的旧HelpJuice文档的链接。值得一提的是，我们已经将这些文档迁移到docs.zumasys.com。您会发现这些文档有更多的最新版本，也完全是开源的--迁移的一部分包括迁移到GitHub回购，在那里我们很乐意接受社区贡献。

作为参考，您提到的文章可在https://docs.zumasys.com/jbase/connectivity/jagent/introduction-to-jagent-rest-services/上查阅。

更新：

我们的一位工程师有一个程序，它将使用openssl为您生成令牌，您可以在https://github.com/patrickp/wjwt上找到它。

您需要在机器上和路径上安装openssl。 WJWT.TEST程序显示了使用情况。重要的部分是SECRET.KEY，它是您用来签署有效载荷的内部KEY。 当用户首次进行身份验证时，可以使用SIGN创建令牌。索赔是您希望保存/存储的任何项/字段。不要将敏感数据放在这里，因为任何人都可以看到它。概念是我们用我们的钥匙签这个，把它还给客户。在以后的调用中，客户端发送令牌，然后我们提取它，并调用VERIFY函数，该函数基本上重新标识有效负载并验证签名匹配。这将验证未对有效负载进行操作。 活动，如到期，您将构建到您的代码。 长期来看，我们计划使用这个库，并将代码重构到具有更多功能的MVDB Toolkit库中。这个库是我们免费提供给jBASE客户的。