在LLM微服务架构中,安全访问控制是保障系统稳定运行的关键环节。本文将分享一个基于JWT Token的微服务访问控制实践方案。
核心思路
通过在API网关层统一验证JWT Token,实现服务间的认证与授权,避免每个微服务重复实现认证逻辑。
实施步骤
- JWT Token生成(Gateway层)
import jwt
from datetime import datetime, timedelta
def generate_token(user_id, role):
payload = {
'user_id': user_id,
'role': role,
'exp': datetime.utcnow() + timedelta(hours=24)
}
return jwt.encode(payload, 'secret_key', algorithm='HS256')
- Token验证中间件(微服务层)
from flask import request, jsonify
import jwt
def verify_token(f):
def wrapper(*args, **kwargs):
token = request.headers.get('Authorization')
if not token:
return jsonify({'error': 'Missing token'}), 401
try:
payload = jwt.decode(token, 'secret_key', algorithms=['HS256'])
# 验证用户权限
if payload['role'] not in ['admin', 'user']:
return jsonify({'error': 'Insufficient permissions'}), 403
except jwt.ExpiredSignatureError:
return jsonify({'error': 'Token expired'}), 401
return f(*args, **kwargs)
return wrapper
部署建议
- 在Kubernetes中通过ConfigMap管理密钥
- 使用Prometheus监控认证成功率
- 定期轮换JWT密钥
该方案已在多个LLM微服务场景中验证,可有效防止未授权访问,同时保持良好的性能表现。
讨论