JWT 认证 + API Gateway 实战

认证架构

Client → API Gateway → 验证 JWT → 放行/拒绝 → 后端服务

Agent 负责 Token 签发和管理，API Gateway 负责验证。

步骤 1：选择签名算法

算法	安全性	适用场景
HS256	中	单服务内部
RS256	高	微服务/多服务
ES256	高	性能敏感场景

推荐 RS256：公钥可分发，私钥集中管理。

步骤 2：生成密钥对

# RSA 2048
openssl genrsa -out private.pem 2048
openssl rsa -in private.pem -pubout -out public.pem

步骤 3：安装并配置

clawhub install jwt-auth
export JWT_PRIVATE_KEY_PATH=./private.pem
export JWT_PUBLIC_KEY_PATH=./public.pem
export JWT_ALGORITHM=RS256
export JWT_ISSUER=my-api
export JWT_EXPIRES_IN=24h

步骤 4：签发 Token

给用户 ID 456 生成一个 JWT，角色设为 admin，24 小时有效

Agent 会返回类似：

eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiI0NTYiLCJyb2xlIjoiYWRtaW4iLCJpc3MiOiJteS1hcGkiLCJleHAiOjE3NjEyMzQ1Njd9.xxx

步骤 5：验证 Token

验证这个 JWT 是否有效，解析 Claims

步骤 6：刷新机制

{
  "task": "检查用户 456 的 Token，如果还有 1 小时过期，签发新 Token 返回"
}

步骤 7：Token 黑名单

用 Redis 存储已注销的 Token：

# 注销时写入
redis SET jwt:blacklist:<jti> 1 EX <剩余秒数>

# 验证时检查
redis GET jwt:blacklist:<jti>

安全清单

• 私钥不提交到 Git
• Token 过期时间不超过 24 小时
• Refresh Token 存 HttpOnly Cookie
• 敏感操作要求二次验证
• 密钥定期轮换