Envoy 的 Jwt 验证失败

我有一个 Laravel(Lumen) 登录 API，它使用 HS256 生成 JWT。然后我将不记名令牌发送到 Envoy Gateway 并从 Envoy 获取

JWT验证失败

在官方 JWT 解码网站上，我可以成功解码并验证我的不记名令牌。在这里我生成我的 JWT：

{
    $payload = [
        'iss' => config('app.name'),                  // Issuer vom Token
        'sub' => strval($user->ID),                       // Subject vom Token
        'username' => $user->username,
        'iat' => time() - 500,                            // Time when JWT was issued.
        'exp' => time() + config('jwt.ttl'),         // Expiration time
        'alg' => 'HS256',
        'kid' => 'ek4Z9ouLmGnCoezntDXMxUwmjzNTBqptKNkfaqc6Ew8'
    ];
    $secretKey = 'helloworld'; //my base64url

    $jwtEnc = JWT::encode($payload, $secretKey, $payload['alg'], $payload['kid']);

    return $jwtEnc;
}

这是我的 Envoy 配置：

static_resources:
  listeners:
    - name: listener_0
      address:
        socket_address:
          address: 0.0.0.0
          port_value: 10000
      filter_chains:
        - filters:
            - name: envoy.filters.network.http_connection_manager
              typed_config:
                '@type': 'type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager'
                stat_prefix: edge
                http_filters:
                  - name: envoy.filters.http.jwt_authn
                    typed_config:
                      "@type": type.googleapis.com/envoy.extensions.filters.http.jwt_authn.v3.JwtAuthentication
                      providers:
                        provider1:
                          issuer: 'Lumen'
                          forward: true
                          local_jwks:
                            inline_string: '{"keys": [{"kty": "oct", "use": "sig", "kid": "ek4Z9ouLmGnCoezntDXMxUwmjzNTBqptKNkfaqc6Ew8", "k": "helloworld", "alg": "HS256"}]}' //'k' is here base64url
                      rules:
                        - match:
                            prefix: "/list"
                          requires:
                            provider_name: "provider1"
                  - name: envoy.filters.http.router
                route_config:
                  virtual_hosts:
                    - name: all_domains
                      domains: [ "*" ]
                      routes:
                        - match:
                            prefix: "/api"
                          route:
                            cluster: loginapi
  clusters:
    - name: loginapi
      connect_timeout: 5s
      load_assignment:
        cluster_name: loginapi
        endpoints:
          - lb_endpoints:
              - endpoint:
                  address:
                    socket_address:
                      address: 0.0.0.0
                      port_value: 8080

该令牌使用对称算法 (HS256) 进行签名和验证。
对称密钥的关键参数以以下形式提供JSON 网络密钥 in the local_jwksEnvoy 配置中的参数。参数“k”中的键值本身应该以 Base64Url 格式存储：

“k”（密钥值）参数包含对称（或其他单值）密钥的值。它表示为包含键值的八位字节序列的 base64url 编码。

(see RFC7518 第 6.4.1 节)

这里使用 Base64Url 编码是为了能够使用二进制密钥（即每个字节可以具有从 0 到 255 的整个范围内的任何值的密钥）进行签名。

当密钥用于签名和验证时，必须将其解码为其（可能）二进制形式。

为了坚持使用简单的示例键“helloworld”（当然，仅用于说明，而不是真正的键），该键必须存储为"k":"aGVsbG93b3JsZA"（“helloworld”的base64url形式）在配置中的内联jwk中 以未编码形式“helloworld”使用来签署令牌。接收端也使用base64url解码后的k值来验证签名。

Summary:

• 创建一个二进制密钥并对其进行 base64url 编码
• 将编码后的密钥存储在“k”参数中local_jwksEnvoy 配置中的参数
• 解码“k”的值以将其用作验证或签署令牌的密钥