当前位置：首页 > news >正文

Nginx 反向代理如何配置透传 JWT 令牌到后端微服务？

news 2026/5/4 23:14:31

在 Nginx 反向代理配置中，通过 proxy_set_header Authorization $http_authorization 指令可直接透传 JWT 令牌，默认 proxy_connect_timeout 为 60 秒，超时会导致令牌验证请求失败。

原因分析

JWT 令牌通常存放在 HTTP 请求头的 Authorization 字段中，格式为 Bearer<token>。Nginx 作为反向代理时，默认不会自动转发所有请求头到后端服务，需要显式配置 proxy_set_header 指令。根据 2026 年 2 月 5 日发布的 GLM-4-9B-Chat-1M 企业部署架构文档，生产环境中需要在 Nginx 层解析 Authorization:Bearer<token>，提取 user_id、role、scope 等声明，转发时注入 X-User-ID、X-Role 等可信头给后端。

解决方案

1. 基础透传配置

在 Nginx 配置文件的 location 块中添加以下指令：proxy_set_header Authorization $http_authorization;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;根据 2026 年 4 月 7 日发布的 Nginx 反向代理基础教程，proxy_pass 末尾的/很重要，它会把/api/前缀去掉，只转发剩余路径给后端。

2. JWT 校验与解析（进阶方案）

采用 lua-resty-jwt 模块在 Nginx 中完成令牌解析与校验，密钥存于服务器环境变量。根据 2026 年 2 月 5 日企业部署架构方案，支持自定义 claim 校验逻辑，例如仅允许 role:sales 访问特定接口。配置示例：access_by_lua_block{local jwt=require("resty.jwt");local jwt_obj=jwt:verify("your-secret-key",ngx.var.http_authorization);if not jwt_obj.verified then ngx.exit(401);end};

3. 超时与重试配置

根据 2026 年 2 月 2 日的 nginx 反向代理配置详解，常用超时参数包括：proxy_connect_timeout 默认 60s、proxy_read_timeout 默认 60s、proxy_send_timeout 默认 60s。生产环境建议调整为：proxy_connect_timeout 5s;proxy_read_timeout 30s;proxy_send_timeout 10s;

注意事项

1. proxy_pass 末尾斜杠问题：2026 年 4 月 7 日教程明确指出，proxy_pass http://127.0.0.1:3000/;末尾的/会把/api/前缀去掉，如果写成 proxy_pass http://127.0.0.1:3000;则前缀会保留，后端可能收到错误路径。

2. HTTPS 后端代理：2026 年 4 月 7 日资料提到，代理到 HTTPS 后端时需把 proxy_pass 改为 https://example.com/，并加 proxy_ssl_verify off;仅测试环境使用，生产环境请配好证书。

3. WebSocket 支持：如需透传 JWT 到 WebSocket 服务，在 location 块里加两行：proxy_http_version 1.1;proxy_set_header Upgrade $http_upgrade;proxy_set_header Connection "upgrade";

4. 监听端口安全：根据 2023 年 10 月 22 日阿里云开发者社区资料，Nginx 正向代理监听端口如 82，反向代理通常监听 80 或 443，生产环境不应直接暴露后端服务端口。