[新产品/新功能] Azure Application Gateway 现已公开预览 JWT 验证功能

**发布时间:** 2025-11-18 **厂商:** Azure **类型:** Updates ---  [新产品/新功能] Azure Application Gateway 现已公开预览 JWT 验证功能   # 产品功能分析 ## 新功能/新产品概述 Azure 宣布其 **Azure Application Gateway** 服务新增 **JSON Web Token (JWT)** 验证功能的公开预览版。该功能允许在网络流量到达后端应用或 API 之前，直接在应用网关层执行身份验证和令牌验证。其核心工作原理是在网关的请求处理管道中嵌入一个 **JWT** 验证引擎。当客户端请求到达时，网关会提取请求头中的 **JWT**，并根据预设策略对其进行一系列验证，包括签名、颁发者、受众和有效期。只有通过验证的请求才会被转发到后端服务，无效请求则在边缘被直接拒绝（返回 401/403 错误），从而将认证逻辑从后端服务中剥离。此功能的目标用户是使用微服务或 API 架构的开发与运维团队。它将 **Azure Application Gateway** 从一个传统的负载均衡器和 WAF 产品，提升为一个功能更全面的 **API 网关**，旨在简化现代分布式应用的认证管理和安全防护。 ## 关键客户价值 - **强化边界安全，减少攻击面** - 在网络边缘阻断缺少令牌或令牌无效的请求，确保只有经过身份验证的、可信的流量才能访问后端服务。这避免了将未授权的流量暴露给内部应用，从根本上提升了系统的安全基线。 - 与在每个微服务中实现认证逻辑相比，这种集中式网关验证模式提供了一个统一的安全入口，避免了因各服务实现不一致而产生的安全漏洞。 - **卸载认证负载，提升应用性能与可扩展性** - 将 **JWT** 签名验证等计算密集型任务从后端微服务或 Web 应用中卸载到专用的网关基础设施上。这可以显著降低后端服务的 CPU 负载，使其能够专注于处理核心业务逻辑，从而提高响应速度和整体系统的吞吐能力。 - 在高并发场景下，这种性能优势尤为明显，因为网关作为高度优化的网络组件，处理认证任务的效率远高于通用应用服务器。 - **简化运维，实现策略集中管理** - 允许跨多个应用程序和路由规则，以声明式的方式集中配置和应用一致的身份验证策略。这极大地简化了运维复杂性，减少了在不同服务中重复编写和维护认证代码的工作量。 - 对于微服务架构而言，这种集中化管理能力至关重要，它确保了所有服务遵循统一的认证标准，降低了配置错误和策略漂移的风险。 ## 关键技术洞察 - 该功能深度集成了对 **JWT** 标准声明的验证能力，保障了认证流程的严谨性。 - **颁发者 (iss) 验证**：确保令牌由受信任的身份提供商（IdP）签发。 - **受众 (aud) 匹配**：验证令牌是否是为当前应用（由客户端 ID 或自定义应用 ID URI 标识）所签发，防止令牌重放攻击。 - **有效期 (exp) 强制执行**：拒绝已过期的令牌，确保会话的有效性。 - 核心技术亮点在于支持使用 **JWKS (JSON Web Key Set)** 进行签名验证。 - 这是一种开放标准，允许网关通过一个公开的 URL (JWKS endpoint) 动态获取身份提供商的公钥集。网关可以利用这些公钥来验证传入 **JWT** 的签名，而无需在网关配置中手动存储或更新公钥。 - 这种机制简化了密钥轮换等安全操作，提升了系统的灵活性和安全性。网关通常会缓存获取到的公钥，以在保证安全性的同时，最大限度地减少因频繁请求公钥而带来的性能开销。   # 公开预览：Azure Application Gateway 支持 JWT 验证 **发布时间:** 2025-11-18 **厂商:** Azure **类型:** 功能更新 --- 宣布推出 Azure Application Gateway 的 JSON Web 令牌 (JSON Web Token, JWT) 验证功能预览版。该功能允许在流量到达后端应用程序或 API 之前，直接在应用网关层进行身份验证和令牌验证。 ### 为何重要 - **边界防护：** 在网络边缘拦截缺少或无效令牌的请求 (返回 401/403 错误)，确保只有受信任的流量才能访问您的服务。 - **提升性能：** 将令牌验证从您的微服务 (microservices) 或 Web 应用中卸载，从而提高可扩展性和响应时间。 - **简化运维：** 跨多个应用程序和路由集中应用一致的身份验证策略。 ### 预览版包含的功能 - **颁发者 (iss) 验证** - **受众 (aud) 匹配** - 支持客户端 ID (Client ID) 和/或自定义的应用 ID URI (App ID URIs)。 - **过期时间 (exp) 强制验证** - **使用 JWKS 进行签名验证** [了解更多](https://learn.microsoft.com/en-us/azure/application-gateway/json-web-token-overview)