微服务网关与用户身份识别,JWT+Spring Security进行网关安全认证

于 2024-03-21 23:37:09 发布
阅读量419 收藏 3
点赞数 4
分类专栏: 2024年程序员面试 文章标签: 微服务 spring 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75604580/article/details/136924120
版权
本文介绍了如何使用JWT和Spring Security进行微服务网关的用户身份识别。首先详细阐述了JWT的声明类型,包括公有声明和私有声明,并展示了如何在Java中创建JWT令牌。接着,文章讲解了JWT与Spring Security结合的认证处理流程,包括自定义凭证类、认证提供者、过滤器和HTTP安全配置。通过这个过程,展示了如何构建一个公共的用户认证模块,确保用户认证的安全性和有效性。
摘要由CSDN通过智能技术生成

}

在编码前的JWT中,payload部分JSON中的属性被称为JWT的声明。JWT的声明分为两类:

(1)公有的声明(如iat)。

(2)私有的声明(自定义的JSON属性)。

公有的声明也就是JWT标准中注册的声明,主要为以下JSON属性:

(1)iss:签发人。

(2)sub:主题。

(3)aud:用户。

(4)iat:JWT的签发时间。

(5)exp:JWT的过期时间,这个过期时间必须要大于签发时间。

(6)nbf:定义在什么时间之前该JWT是不可用的。

私有的声明是除了公有声明之外的自定义JSON字段,私有的声明可以添加任何信息,一般添加用户的相关信息或其他业务需要的必要信息。下面的JSON例子中的uid、user_name、nick_name等都是私有声明。

{

“uid”: “123…”,

“sub”: “session id”,

“user_name”: “admin”,

“nick_name”: “管理员”,

“exp”: 1579317358,

“iat”: 1578453358

}

下面是一个向JWT令牌添加私有声明的实例,代码如下:

package com.crazymaker.demo.auth;

//省略import

@Slf4j

public class JwtDemo

{

/**

*测试私有声明

*/

@Test

public void testJWTWithClaim()

{

try

{

String subject = “session id”;

String salt = “user password”;

/**

*签名的加密算法

*/

Algorithm algorithm = Algorithm.HMAC256(salt);

//签发时间

long start = System.currentTimeMillis() - 60000;

//过期时间,在签发时间的基础上加上一个有效时长

Date end = new Date(start + SessionConstants.SESSION_TIME_OUT *1000);

/**

*JWT建造者

*/

JWTCreator.Builder builder = JWT.create();

/**

*增加私有声明

*/

builder.withClaim(“uid”, “123…”);

builder.withClaim(“user_name”, “admin”);

builder.withClaim(“nick_name”,“管理员”);

/**

*获取编码后的JWT令牌

*/

String token =builder

.withSubject(subject)

.withIssuedAt(new Date(start))

.withExpiresAt(end)

.sign(algorithm);

log.info(“token=” + token);

//以.分隔,这里需要转义

String[] parts = token.split(“\.” );

String payloadJson;

/**

*解码payload

*/

payloadJson = StringUtils.newStringUtf8

(Base64.decodeBase64(parts[1]));

log.info(“parts[1]=” + payloadJson);

//输出demo为:parts[1]=

//{“uid”:“123…”,“sub”:“session id”,“user_name”:“admin”,

“nick_name”:“管理员”,“exp”:1579317358,“iat”:1578453358}

} catch (Exception e)

{

e.printStackTrace();

}

}

}

由于JWT的payload声明(JSON属性)是可以解码的,属于明文信息,因此不建议添加敏感信息。

JWT+Spring Security认证处理流程

==========================

实际开发中如何使用JWT进行用户认证呢?疯狂创客圈的crazy-springcloud开发脚手架将JWT令牌和Spring Security相结合,设计了一个公共的、比较方便复用的用户认证模块base-auth。一般来说,在Zuul网关或者微服务提供者进行用户认证时导入这个公共的base-auth模块即可。

这里还是按照6.4.2节中请求认证处理流程的5个步骤介绍base-auth模块中JWT令牌的认证处理流程。

首先看第一步:定制一个凭证/令牌类,封装用户信息和JWT认证信息。

package com.crazymaker.springcloud.base.security.token;

//省略import

p

最低0.47元/天 解锁文章
程序员8000
关注
专栏目录
微服务网关用户身份识别JWT+Spring Security进行网关安全认证(1)
m0_60607245的博客
03-14 930
机会是留给有准备的人,大家在求职之前应该要明确自己的态度,熟悉求职流程,做好充分的准备,把一些可预见的事情做好。对于应届毕业生来说,校招更适合你们,因为绝大部分都不会有工作经验,企业也不会有工作经验的需求。同时,你也不需要伪造高大上的实战经验,以此让自己的简历能够脱颖而出,反倒会让面试官有所怀疑。你在大学时期应该明确自己的发展方向,如果你在大一就确定你以后想成为Java工程师,那就不要花太多的时间去学习其他的技术语言,高数之类的,不如好好想着如何夯实Java基础。请转发本文支持一下。
springBoot + SpringSecurity + JWT(适用微服务
09-26
springBoot + SpringSecurity + JWT(适用微服务
SpringSecurity - JWT Token微服务认证方案 SSO
TrustNature
11-15 569
微服务权限认证方案:SpringBoot + SpringSecurity + JWT 如果系统的模块众多,每个模块都需要进行授权认证,所以我们选择基于Token的形式进行授权与认证用户根据用户名密码认证成功,然后获取当前用户角色的一系列权限值,并以用户名为Key,权限列表为Value的形式存入redis缓存,根据用户名相关信息生成token返回,浏览器将token记录到cookie,每...
基于SpringSecurity+JWT微服务鉴权解决方案
zquwei的博客
05-05 1163
基于SpringSecurity+JWT微服务鉴权解决方案 背景 公司一旧项目权鉴改造 达到目的 任意一端登录(web、app、h5)后可以携带对应的token 来请求访问后台服务资源。 #### 传统认证流程: 互联网服务离不开用户认证。一般流程是下面这样: 用户向服务器发送用户名和密码 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等 服务器向用户返回一个 session_id,写入用户的 Cookie。 用户随后的每一次请求,都会通过 Cookie,将 s
shiro授权和认证(二)
weixin_46403305的博客
10-28 283
1、盐散列次数以及散列关系 public static void main(String[] args){ // Md5Hash md5Hash = new Md5Hash("abc"); // // System.out.println("散列后的结果:"+md5Hash); //为什么要加盐? 给这个密码再添加一层保障 //为了让密码更加安全 更加不容易被破解 Md5Hash md5Hash1 = ne
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 5402
SpringSecurity+JWT快速入门
SpringBoot2.3集成Spring Security(二) JWT认证
我是你妹她哥的博客
06-21 1901
思路:登录认证获取token提供一个controller,将controller的地址加到spring Security 的config不做权限控制,访问该controller,将用户名和密码的判断交给spring Security 的userDetailService处理,根据处理的返回结果决定是否生成对应的token值。。具体是怎么找到这个入口的,详情可以看步骤三。接口认证token值加入JWT生成的工具类Spring Security 提供多种认证方式,但我们需要熟悉的是。
微服务多模块)Springboot+Security+Redis+JWT 仅需一招
white_mvlog的博客
10-29 4139
小编在开发阶段发现,在现在众多文章的教程里,虽然有许许多多的Springboot+Security+Redis+JWT,但是那些教程基本的运行环境都在单个项目单个模块进行开发和测试的,这使得小编在实际的开发过程,不能Ctrl+C and Ctrl+V直接完全解决这个登录认证的事情。故有这篇文章.....
Spring-SecurityJWT 前后端分离
竹林幽深
01-13 732
https://mp.weixin.qq.com/s/h6hLe9d2yNXvxG_DpcSPxg
Spring Cloud & Alibaba 实战 | 总结篇】Spring Cloud Gateway + Spring Security OAuth2 + JWT 实现微服务统一认证授权和鉴权,
竹林幽深
10-08 5660
https://blog.51cto.com/u_12386660/4903587
【分布式微服务专题】SpringSecurity快速入门
qq_32681589的博客
01-01 2045
系列上一篇文章:《官方介绍:Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于 Spring 的应用程序。Spring Security 是一个框架,侧重于为 Java 应用程序提供身份验证和授权。与所有 Spring 项目一样,Spring 安全性的真正强大之处,在于它很容易扩展以满足定制需求Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
Spring Security 结合 JWT使用
最新发布
0
03-14 1719
Spring Security的原理主要基于的概念。在Web应用程序,每个请求都会通过一系列的过滤器,Spring Security就是在这个过程介入并进行安全相关的操作。Spring Security的核心原理可以概括为以下几点:1. 认证(Authentication):认证是验证用户身份的过程。用户提供用户名和密码,通过Spring Security认证过程进行验证。认证可以使用内置的用户名密码验证、LDAP、数据库验证或自定义验证等。
SpringCloud系列:14.微服务管理和监控系统Spring Boot Admin
Simple_Yangger的博客
06-09 1160
一、Spring Boot Admin Spring Boot Admin 是一个管理和监控Spring Boot 应用程序的开源软件,项目github地:https://github.com/codecentric/spring-boot-admin。 Spring Boot Admin 是一个针对spring-boot的actuator接口进行UI美化封装的监控工具,UI部分使用Angul...
SpringSecurity+JWT实现前后端分离认证和授权 第二部分:测试+流程分析
Eriksen的博客
07-18 1204
SpringSecurity+JWT
RSA加密实践
Extra_warrior的博客
10-19 824
最近做了一个小应用, 需要将发送的报文采用RSA, BASE64, MD5加密。写下这篇文章, 方便自己以后查看,同时也能与各位Java开发的同行交流。 ------------------------------------------------------------------ 1. RSA加密 import java.security.spec.RSAPublicKeySpec.
SpringCloud微服务安全调用实现(SpringSecurity+Oauth2+Jwt
热门推荐
q438944209的博客
04-04 4万+
【Java高级课程推荐-全部免费】 http://www.maj...
springboot整合spring security+oauth2+jwt搭建认证服务器,网关,微服务之间权限认
11-21
总之,通过Spring Boot整合Spring Security、OAuth2和JWT,我们可以构建一个完善的认证服务器、网关微服务之间的权限认证系统,从而实现系统的安全可靠和权限灵活控制。这将有助于我们构建高效、安全微服务架构...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值