如何在jwt中验证用户

Question

我有一个rest服务，它存储来自数据库中用户的评论，我的体系结构是一个角的前端，它连接到一个负载均衡器服务器(zuul)，它连接到一个auth服务器来生成jwt。使用jwt，前端生成对同一个zuul服务器和jwt的请求，这个zuul服务器验证jwt，如果有效将连接到另一个后端服务来存储注释。

存储注释的后端服务没有任何安全验证，所有端点都是可访问的，因为这个微服务的路由不会被公开？这有什么风险吗？

由于没有jwt到达“注释后端服务”，我如何才能让实际发出请求的用户？我是否应该在zuul服务器中实现某种过滤器，以便从jwt令牌获取日志用户，并将信息包含在发送到“注释后端服务”的请求中？如果这是可能的话，对如何实现它有什么想法吗？

谢谢问候

Answer 1

默认情况下，Zuul认为Authorization头是一个敏感的标头，它不会向下游传递它。因此，您需要做的第一件事是更新Zuul配置。阅读文档这里。

之后，在每个下游服务中，您需要添加从Authorization头读取JWT令牌并提取相关信息(如用户名等)的功能。