案例代码在:https://github.com/stuchangan/springboot-study/tree/master/jwt
1、无状态登录
1.1 什么是有状态?
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如Tomcat中的Session。例如登录:用户登录后,我们把用户的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session,然后下次请求,用户携带cookie值来(这一步有浏览器自动完成),我们就能识别到对应session,从而找到用户的信息。这种方式目前来看最方便,但是也有一些缺陷,如下:
-
服务端保存大量数据,增加服务端压力
-
服务端保存用户状态,不支持集群化部署
1.2 什么是无状态
微服务集群中的每个服务,对外提供的都使用RESTful风格的接口。而RESTful风格的一个最重要的规范就是:服务的无状态性,即:
-
服务端不保存任何客户端请求者信息
-
客户端的每次请求必须具备自描述信息,通过这些信息识别客户端身份
那么这种无状态性有哪些好处呢?
-
客户端请求不依赖服务端的信息,多次请求不需要必须访问到同一台服务器
-
服务端的集群和状态对客户端透明
-
服务端可以任意的迁移和伸缩(可以方便的进行集群化部署)
-
减小服务端存储压力
1.3.如何实现无状态
无状态登录的流程:
-
首先客户端发送账户名/密码到服务端进行认证
-
认证通过后,服务端将用户信息加密并且编码成一个token,返回给客户端
-
以后客户端每次发送请求,都需要携带认证的token
-
服务端对客户端发送来的token进行解密,判断是否有效,并且获取用户登录信息
1.4 JWT
1.4.1 简介
JWT,全称是Json Web Token, 是一种JSON风格的轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权:
1.4.2 JWT数据格式
JWT包含三部分数据:
-
Header:头部,通常头部有两部分信息:
-
声明类型,这里是JWT
-
加密算法,自定义
我们会对头部进行Base64Url编码(可解码),得到第一部分数据。
-
-
Payload:载荷,就是有效数据,在官方文档中(RFC7519),这里给了7个示例信息:
-
iss (issuer):表示签发人
-
exp (expiration time):表示token过期时间
-
sub (subject):主题
-
aud (audience):受众
-
nbf (Not Before):生效时间
-
iat (Issued At):签发时间
-
jti (JWT ID):编号
这部分也会采用Base64Url编码,得到第二部分数据。
-
-
Signature:签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的的密钥secret(密钥保存在服务端,不能泄露给客户端),通过Header中配置的加密算法生成。用于验证整个数据完整和可靠性。
生成的数据格式如下:
这里的数据通过 . 隔开成了三部分,
eyJhbGciOiJIUzUxMiJ9.
eyJhdXRob3JpdGllcyI6IlJPTEVfdXNlciwiLCJzdWIiOiJoZWxsbyIsImV4cCI6MTU5NDYxMDExOX0.
P36M5zwhqxZn_6MQdp3FKLh_XsCKRVPmMTrU4KD8n1KY_4-4IFPvNlxegt7D3qE4HbwKAwwnrUT6Mcg6KcNQaw
案例:
2.1 环境搭建
首先导入依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--导入jwt依赖 适用于java程序的jwt依赖-->
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>然后在项目中创建一个简单的 User 对象实现 UserDetails 接口,如下:
public class User implements UserDetails {
private String username;
private String password;
private List<GrantedAuthority> authorities;
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return authorities;
}
@Override
public String getPassword() {
return password;
}
@Override
public String getUsername() {
return username;
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
public void setUsername(String username) {
this.username = username;
}
public void setPassword(String password) {
this.password = password;
}
public void setAuthorities(List<GrantedAuthority> authorities) {
this.authorities = authorities;
}
}创建一个controller 留作测试备用:
@RestController
public class HelloController {
@GetMapping("/hello")
public String hello(){
return "hello jwt";
}
@GetMapping("/admin")
public String admin(){
return "hello admin jwt";
}
}两个接口分别对应不同的角色,设计是 /hello 接口可以被具有 user 角色的用户访问,而 /admin接口则可以被具有 admin 角色的用户访问。
2.2 JWT 过滤器配置
接下来提供两个和 JWT 相关的过滤器配置:
-
一个是用户登录的过滤器,在用户的登录的过滤器中校验用户是否登录成功,如果登录成功,则生成一个token返回给客户端,登录失败则给前端一个登录失败的提示。
-
第二个过滤器则是当其他请求发送来,校验token的过滤器,如果校验成功,就让请求继续执行。
这两个过滤器,我们分别来看,先看第一个:
public class JwtLoginFilter extends AbstractAuthenticationProcessingFilter {
public JwtLoginFilter(String defaultFilterProcessesUrl, AuthenticationManager authenticationManager) {
super(new AntPathRequestMatcher(defaultFilterProcessesUrl));
setAuthenticationManager(authenticationManager);
}
@Override
public Authentication attemptAuthentication(HttpServletRequest req, HttpServletResponse resp) throws AuthenticationException, IOException, ServletException {
//将用户传的json数据转为user对象
User user = new ObjectMapper().readValue(req.getInputStream(),User.class);
return getAuthenticationManager().authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(),user.getPassword()));
}
@Override
protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
Collection<? extends GrantedAuthority> authorities = authResult.getAuthorities();
StringBuffer sb = new StringBuffer();
for (GrantedAuthority authority : authorities) {
sb.append(authority.getAuthority()).append(",");
}
String jwt = Jwts.builder()
.claim("authorities", sb)
.setSubject(authResult.getName())
.setExpiration(new Date(System.currentTimeMillis() + 60 * 60 * 1000))//设置过期时间
.signWith(SignatureAlgorithm.HS512, "root@123")//设置加密方式,以及key
.compact();
//设置登录成功后返回的信息
Map<String,String> map = new HashMap<>();
map.put("token",jwt);
map.put("msg","登录成功");
response.setContentType("application/json;charset=utf-8");
PrintWriter writer = response.getWriter();
writer.write(new ObjectMapper().writeValueAsString(map));
writer.flush();
writer.close();
}
@Override
protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
Map<String,String> map = new HashMap<>();
map.put("msg","登录失败");
response.setContentType("application/json;charset=utf-8");
PrintWriter writer = response.getWriter();
writer.write(new ObjectMapper().writeValueAsString(map));
writer.flush();
writer.close();
}
}关于这个类:
-
自定义 JwtLoginFilter 继承自 AbstractAuthenticationProcessingFilter,并实现其中的三个默认方法。
-
attemptAuthentication方法中,我们从登录参数中提取出用户名密码,然后调用AuthenticationManager.authenticate()方法去进行自动校验。
-
第二步如果校验成功,就会来到successfulAuthentication回调中,在successfulAuthentication方法中,将用户角色遍历然后用一个
,连接起来,然后再利用Jwts去生成token,按照代码的顺序,生成过程一共配置了四个参数,分别是用户角色、主题、过期时间以及加密算法和密钥,然后将生成的token写出到客户端。 -
第二步如果校验失败就会来到unsuccessfulAuthentication方法中,在这个方法中返回一个错误提示给客户端即可。
第二个token校验的过滤器:
public class JwtFilter extends GenericFilterBean {
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) servletRequest;
//从请求头中获取token
String jwtToken = req.getHeader("authorization");
Jws<Claims> jws = Jwts.parser().setSigningKey("root@123")
.parseClaimsJws(jwtToken.replace("Bearer", ""));
Claims claims = jws.getBody();
String username = claims.getSubject();
//获取角色
List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList((String) claims.get("authorities"));
UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username,"",authorities);
SecurityContextHolder.getContext().setAuthentication(token);
filterChain.doFilter(servletRequest,servletResponse);
}
}关于这个过滤器:
-
首先从请求头中提取出 authorization 字段,这个字段对应的value就是用户的token。
-
将提取出来的token字符串转换为一个Claims对象,再从Claims对象中提取出当前用户名和用户角色,创建一个UsernamePasswordAuthenticationToken放到当前的Context中,然后执行过滤链使请求继续执行下去。
2.3 Spring Security 配置
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
PasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//设置默认用户名密码,在内存中加载
auth.inMemoryAuthentication()
.withUser("root").password("$2a$10$6Ug6x/8WETqNYmQ/1s.wDe3qyAj9D.HvnSsjY2FCjDxvfIhbWXoCm")
.roles("admin")
.and()
.withUser("hello").password("$2a$10$M1c9z1ZQj7dHVTQfvRAHhepnMAge7ZgRQn9VGfi9ifTJtNK7fpaPG")
.roles("user");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
//开启认证,
http.authorizeRequests()
.antMatchers("/hello")
.hasRole("user")
.antMatchers("/admin")
.hasRole("admin")
.antMatchers(HttpMethod.POST,"/login")
//表示哪些请求可以直接放行
.permitAll()
.anyRequest().authenticated()
.and()
.addFilterBefore(new JwtLoginFilter("/login",authenticationManager()),
UsernamePasswordAuthenticationFilter.class)
.addFilterBefore(new JwtFilter(),UsernamePasswordAuthenticationFilter.class)
.csrf().disable();
}
}-
首先创建一个密码加密的Bean,这里的密码是预先生成的为(123)
-
这里并未连接数据库,直接在内存中配置了两个用户,两个用户具备不同的角色。
-
配置路径规则时,
/hello接口必须要具备 user 角色才能访问,/admin接口必须要具备 admin 角色才能访问,POST 请求并且是/login接口则可以直接通过,其他接口必须认证后才能访问。 -
最后配置上两个自定义的过滤器并且关闭掉csrf保护。
2.4 测试
在postman中进行测试:
发送post请求,请求体重使用json格式传递参数,请求成功后返回token
这里对返回token进行base64解密,
一共有三部分,通过一个 . 隔开,我们可以对第一个 . 之前的字符串进行解码,即Header,如下:
再对两个 . 之间的字符解码,即 payload: 内容包括角色、请求路径、过期时间
下面拿着返回的token去访问接口:
这里要注意认证的方式以及请求体类型
访问成功,返回对应的结果。
扫一扫
404
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
