我创建了一个小型vertx身份验证服务器,该服务器使用公钥/私钥对JWT令牌进行签名/生成。
PrivateKey privateKey = CertUtil.getPrivateKey("config/private_key.der");
PublicKey publicKey = CertUtil.getPublicKey("config/public_key.der");
// Create a JWT Auth Provider
JWTAuth jwt = JWTAuth.create(vertx, new JWTAuthOptions()
.setPubSecKeys(List.of(new PubSecKeyOptions()
.setAlgorithm("RS256")
.setPublicKey(Base64.getEncoder().encodeToString(publicKey.getEncoded()))
.setSecretKey(Base64.getEncoder().encodeToString(privateKey.getEncoded())))));
// protect the API
router.route("/api/*").handler(JWTAuthHandler.create(jwt, "/api/new-token"));
// this route is excluded from the auth handler
router.get("/api/new-token").handler(ctx -> this.generateAndSendToken(ctx, jwt));
// this is the secret API
router.get("/api/protected").handler(ctx -> {
ctx.response().putHeader("Content-Type", "text/plain");
ctx.response().end("a secret you should keep for yourself...");
});
vertx.createHttpServer().requestHandler(router).listen(8080);
现在,当我从客户端访问/ api / new-token时,我从上面的身份验证服务器重新获得了JWT令牌的签名。但是我有一些未解决的问题:
答案 0 :(得分:0)
为什么不将此任务委派给KeyCloak开放源代码身份和访问管理。它将身份验证添加到您的应用,并以最小的麻烦确保服务的安全。
我们已将其用于我们的项目,并且效果很好!
要使用Vert.x插入它,您可以按照以下教程: