使用JWT令牌保护你的推理服务接口
在大模型技术飞速发展的今天,越来越多的企业将训练好的语言模型、多模态模型部署为远程API服务,供前端应用或第三方系统调用。这种“模型即服务”(MaaS)的模式虽然提升了模型的复用性和可访问性,但也带来了新的安全挑战:如何防止未授权访问?如何避免恶意请求耗尽GPU资源?又该如何实现多租户之间的隔离与计费?
以ms-swift这类支持 600+ 纯文本大模型 和 300+ 多模态大模型 的全链路框架为例,其提供的 OpenAI 兼容接口 和 vLLM/SGLang/LmDeploy 推理加速引擎 极大地降低了部署门槛。但正因其开放性,若缺乏有效的身份认证机制,极易成为攻击目标——轻则导致服务过载,重则引发模型泄露或数据滥用。
此时,JSON Web Token(JWT)便成为一个理想的选择。它不仅轻量、标准、跨平台,还能在无状态架构中实现细粒度的权限控制,完美契合现代云原生推理服务的安全需求。
为什么是 JWT?从一个真实场景说起
设想你正在运营一个基于 ms-swift 搭建的智能客服平台,后端使用 LmDeploy 部署了 Qwen-72B 和 Qwen-VL 多模态模型。某天发现 GPU 利用率持续飙高,日志显示大量来自未知IP的/v1/chat/completions请求,且提问内容高度重复。进一步排查发现,有人通过扫描工具找到了你的API端点,并利用脚本无限调用,试图“白嫖”推理资源。
问题根源在于:接口没有身份验证。
传统的解决方案可能是加一层防火墙、限制IP白名单,或者用静态 API Key。但这些方式各有局限:
- 防火墙难以应对动态客户端;
- 白名单维护成本高,不适用于开放生态;
- 静态 API Key 一旦泄露,几乎无法撤销,且不具备时效性和上下文信息。
而 JWT 提供了一种更优雅的解法:每个请求都必须携带一个经过签名的令牌,服务端无需查库即可验证其合法性,并从中提取用户身份、权限范围和有效期等信息。这正是我们在构建可运营、可审计、可扩展的大模型服务平台时真正需要的能力。
JWT 是如何工作的?
JWT 并不是一个复杂的加密协议,而是一种结构化的声明传输格式(RFC 7519)。它的核心思想是“自包含 + 防篡改”:把所有必要的认证信息打包进一个字符串,并通过数字签名确保内容不被篡改。
一个典型的 JWT 看起来像这样:
xxxxx.yyyyy.zzzzz由三部分组成,用.分隔:
1.Header:描述算法和类型(如 HS256、RS256)
2.Payload:存放实际声明(claims),比如用户ID、角色、权限、过期时间
3.Signature:对前两部分进行签名的结果,防止伪造
整个流程可以分为三个阶段:
1. 认证签发
用户提交凭证(如 API Key 或账号密码)到/login接口,服务端校验通过后生成 JWT 并返回:
{ "sub": "user_123", "scopes": ["infer:text", "model:qwen:inference"], "role": "developer", "exp": 1719845600, "iat": 1719843800 }这个 Token 会被客户端保存,在后续请求中放入 HTTP 头:
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.xxxx.xxxx2. 请求携带
每次调用推理接口(如/v1/chat/completions)时,客户端自动附加该头字段。由于 JWT 是标准格式,任何语言编写的客户端都能轻松处理。
3. 服务端验证
推理服务接收到请求后,执行以下操作:
- 解码 Token 的 Header 和 Payload;
- 使用预设密钥(HMAC)或公钥(RSA/ECDSA)验证签名是否有效;
- 检查exp是否已过期,nbf是否尚未生效;
- 提取scopes判断是否有权访问目标模型。
只有全部验证通过,才允许执行推理任务;否则直接返回401 Unauthorized。
这一过程完全无状态——服务器不需要维护会话表,也不依赖外部存储,非常适合 Kubernetes 上运行的分布式推理集群。
相比传统方案,JWT 到底强在哪?
| 维度 | Session/Cookie | JWT |
|---|---|---|
| 存储位置 | 服务端(Redis/DB) | 客户端 |
| 扩展性 | 需共享 Session 存储 | 天然支持横向扩展 |
| 跨域支持 | CORS 配置复杂 | 原生兼容 |
| 移动端友好 | Cookie 管理困难 | Token 可存于内存或本地存储 |
| 性能影响 | 每次需查询 Session 表 | 仅一次签名验证 |
| 权限灵活性 | 固定会话属性 | 可动态注入 scope、team_id 等 |
尤其是在 ms-swift 的典型部署场景中——多个推理实例分布在不同节点,可能由 vLLM、SGLang 或 LmDeploy 驱动——如果采用 Session 机制,就必须引入 Redis 来同步状态,增加了系统复杂性和延迟风险。而 JWT 的无状态特性让每个服务节点都可以独立完成认证,真正做到“零耦合”。
快速集成:在 FastAPI 中保护推理接口
下面是一个基于 PyJWT 和 FastAPI 的完整示例,展示如何为 ms-swift 的推理服务添加 JWT 支持:
from fastapi import FastAPI, Depends, HTTPException, status from fastapi.security import OAuth2PasswordBearer import jwt from datetime import datetime, timedelta from typing import Dict app = FastAPI() oauth2_scheme = OAuth2PasswordBearer(tokenUrl="login") SECRET_KEY = "your-super-secret-jwt-key" # 必须从环境变量读取! ALGORITHM = "HS256" ACCESS_TOKEN_EXPIRE_MINUTES = 30 def create_access_token(data: dict) -> str: to_encode = data.copy() expire = datetime.utcnow() + timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES) to_encode.update({"exp": expire}) return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM) async def verify_token(token: str = Depends(oauth2_scheme)) -> Dict: try: payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM]) return payload except jwt.ExpiredSignatureError: raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Token has expired", headers={"WWW-Authenticate": "Bearer"}, ) except jwt.InvalidTokenError: raise HTTPException( status_code=status.HTTP_401_UNAUTHORIZED, detail="Invalid token", headers={"WWW-Authenticate": "Bearer"}, ) @app.post("/login") def login(username: str, password: str): if username == "admin" and password == "secret": token_data = { "sub": username, "scopes": ["infer:text", "infer:multimodal"], "role": "user" } token = create_access_token(token_data) return {"access_token": token, "token_type": "bearer"} else: raise HTTPException(status_code=400, detail="Invalid credentials") @app.post("/v1/chat/completions", dependencies=[Depends(verify_token)]) def chat_completions(request: dict): # 此处接入 vLLM 或 LmDeploy 实际推理逻辑 return {"result": "Generated response from model", "input": request}🔒关键注意事项:
-SECRET_KEY绝不能硬编码,应通过 KMS、Vault 或环境变量管理;
- 生产环境建议使用 RS256 等非对称算法,便于构建信任链;
- 所有通信必须启用 HTTPS,防止中间人劫持 Token;
- 不要在 Payload 中存放敏感信息(如手机号、身份证),Base64 编码可被轻易解码。
在 ms-swift 架构中的落地实践
在一个典型的 ms-swift 推理服务体系中,JWT 的集成路径如下:
[Client] ↓ (HTTPS + Bearer Token) [API Gateway / Ingress] ↓ [FastAPI 推理服务] ↓ [JWT Middleware] → 验证签名 & 提取 scopes ↓ [Model Runner: vLLM / SGLang / LmDeploy] ↓ [GPU Cluster (A10/A100/H100)]这套架构充分利用了 ms-swift 的两大优势:
1.OpenAI 接口兼容性:客户端无需改造,只需增加 Token 注入逻辑;
2.多引擎支持能力:无论底层是 vLLM 还是 LmDeploy,上层认证逻辑统一。
更重要的是,我们可以基于 JWT 实现一系列企业级功能:
✅ 多租户隔离
在 Token 中加入team_id或project字段,推理服务可根据该值路由至对应模型实例,实现“一人一模型”的沙箱机制。例如:
{ "sub": "team-a-user", "team_id": "team-a", "scopes": ["model:qwen-finetuned:inference"] }✅ 调用计量与计费
结合sub和iat字段记录每条请求的日志,可用于统计调用量、生成账单。配合 Prometheus + Grafana,还能实时监控各用户的请求频次,设置告警阈值。
✅ 权限分级控制
通过scopes实现 RBAC(基于角色的访问控制):
"scopes": [ "model:qwen:inference", "task:fine-tune:limited" ]服务端解析 scope 后,决定是否允许访问特定模型或执行微调任务。
✅ 安全加固策略
- 设置短有效期(建议 ≤1小时),降低泄露影响窗口;
- 使用 JWKS 动态分发公钥,支持密钥轮换;
- 在边缘网关层集中验证 JWT(如 Kong、Traefik 插件),减轻推理服务 CPU 开销;
- 对高频失败请求自动封禁 IP,防范暴力破解。
工程建议:不只是“能用”,更要“好用”
在实际项目中,我们发现很多团队虽然集成了 JWT,但仍存在安全隐患或性能瓶颈。以下是几个值得重视的最佳实践:
1. 优先使用非对称加密(RS256)
相比 HMAC-SHA256,RS256 更适合多服务协作场景:
- 认证服务持有私钥,负责签发 Token;
- 所有推理节点只持有公钥,只能验证不能伪造;
- 公钥可通过.well-known/jwks.json端点动态获取,便于自动化更新。
2. 引入缓存机制
JWT 验证涉及 RSA 解密运算,属于 CPU 密集型操作。对于高频请求场景,可考虑在 Nginx 或服务内部缓存已验证的 Token 解析结果(如使用 Redis),TTL 设置为剩余有效期,避免重复计算。
3. 结合反向代理前置验证
若希望对现有推理服务零代码改造,可在 Nginx 或 API 网关层添加 JWT 验证模块。例如使用 nginx-jwt 模块,验证通过后再转发请求:
location /v1/ { auth_jwt "JWT area"; auth_jwt_key_file /etc/nginx/jwks.json; proxy_pass http://upstream-inference; }这种方式尤其适合 legacy 服务迁移。
4. 日志审计不可少
每次请求应记录以下信息用于追溯:
- 客户端 IP
- Token 中的sub,iss,iat,exp
- 请求路径与模型名称
结合 ELK 或 Loki,可快速定位异常行为,如某个用户短时间内发起数千次请求。
写在最后:安全不是功能,而是底线
在 ms-swift 不断完善界面化训练推理、插件化拓展和EvalScope 评测体系的同时,我们必须意识到:工具越强大,暴露面也越大。开放 API 是推动 MaaS 落地的关键一步,但开放的前提是可控、可信、可审计。
JWT 并非银弹,但它提供了一个简洁而强大的基础——让我们能够在不牺牲性能和扩展性的前提下,建立起第一道安全防线。无论是防止资源滥用,还是实现多租户隔离与精细化计费,JWT 都已成为现代推理服务平台不可或缺的一环。
未来,随着更多企业将大模型纳入生产系统,这类轻量级、标准化的安全机制将愈发重要。而 ms-swift 若能将其深度集成至默认部署模板中,无疑将进一步提升开发者体验,助力构建更加稳健、可信赖的 AI 应用生态。
