第八章 SpringCloud Oauth2认证中心-基于JWT认证

最新推荐文章于 2024-05-20 10:19:53 发布
最新推荐文章于 2024-05-20 10:19:53 发布
阅读量2.6w 收藏 25
点赞数 2
分类专栏: Java 分布式架构 文章标签: spring springcloud java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CrazyCoder2010/article/details/78481346
版权
1.项目概要
这一章节的内容以第七章的代码为基础改造而成 https://github.com/kwang2003/springcloud-study-ch07.git
传统的web应用中,我们通常通过cookie+session机制来保证调用的安全,在没有认证的情况下自动重定向到登录页面或者调用失败页面,而现在整个架构编程微服务模式了,cookie和session机制已经不能很好的满足保护API的需求了,更多的情况下采用token的验证机制,JWT的本质也是一种token。
JWT:JSON Web Token,是JSON风格的轻量级授权和认证规范,可以实现无状态,分布式的web应用授权。JWT的内容由三部分组成,分别是Header,Payload,Signature,三个部分之间通过.分割,举例
xxxxx.yyyyyy.zzzzz
Header
头部Header一般由2个部分组成alg和typ,alg是加密算法,如HMAC或SHA256,typ是token类型,取值为jwt,一个Header的例子
{
"alg": "HS256",
"typ": "JWT"
}
然后对Header部分进行Base64编码,得到第一部分的值
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.{PAYLOAD}.{SIGNATURE}
Payload
内容部分Payload是JWT存储信息的主体,包含三类内容
  • 标准中注册的声明
  • 公共的声明
  • 私有的声明
标准中注册的声明
  • iss:jwt签发者
  • sub:jwt所面向的用户
  • aud:接收jwt的一方
  • exp:jwt的过期时间
  • nbf:定义在什么时间之前该jwt是不可用的
  • iat:jwt的签发时间
  • jti:jwt的唯一标识,主要用作一次性token,避免重放攻击
公共的声明:
可以存放任何信息,根据业务实际需要添加,如用户id,名称等,但不要存放敏感信息
私有的声明:
私有声是提供者和消费者所共同定义的声明,不建议存放敏感信息
举例:定义一个payload:
{ "sub": "1234567890", "name": "John Doe", "admin": true }对其进行Base64编码,得到第二部分
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.{SIGNATURE}
Signature
token的签名部分由三部分组成256签名
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);
var signature = HMACSHA256(encodedString, 'secret');
得到最终的token串
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
2.Oauth2-Server中生成JWT Token
a)通过keytool生成证书
keytool -genkeypair -alias kevin_key -keyalg RSA -keypass 123456 -keystore kevin_key.jks -storepass 123456

查看证书信息:
keytool -list -v -keystore kevin_key.jks -storepass 123456

查看公钥信息
keytool -list -rfc -keystore kevin_key.jks -storepass 123456

b)将生成的kevin_key.jks文件放到oauth2-server工程的srce/main/resources目录下

c)添加jwt相关jar包依赖
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-jwt</artifactId>
</dependency>
d)在OAuth2服务器端配置核心类AuthorizationServerConfiguration中增加jwt token相关配置

3.测试Oauth2服务
出现登录页面,输入用户名:admin 密码;123456

点击Submit按钮,进入用户授权确认页面

点击Approve,跳转到baidu页面,后面携带了code和state参数
根据code换取access_code,注意使用post方法
注意这个code要和上个步骤中获得的code保持一致

用户名输入client,密码是secret,点击确定,可以看到access_token已经是jwt格式的字符了

{"access_token":" eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1MTAxNzQ2MDYsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsiYWRtaW4iXSwianRpIjoiNTJhOGM5MTUtMTE2OS00YzU5LWI0MmEtZGY4ZDM0Y2QwZWU0IiwiY2xpZW50X2lkIjoiY2xpZW50Iiwic2NvcGUiOlsiYXBwIl19.GecJM-FHApwznyYl-D3IjB0TpjhdhUXfYv782kfS9vdT0VZsu2HN-MGb-N-6Hf0efZ_mmz54IahJaq3KTw251v4L2O5A1r_iMuUP7GXs_qPHAGn3K1b4l-mNnpJdH5hhS5zYIRqOX2a8DXyI4zD7g8BQL-9PiR3kj9k_z9nW8vY9l2_x5Kyoc-sehxxQ5uQHM3xu6DzOwBpbbER7U_NnUwmcz5nS9YyAexSDnBbZAVpQavL2s1yYQVMJ5Dreq2asXHFbeQHXu5UqVbbTFuOgAylbFJ9K-3nsGAKT9NbzqBPRovI3s_X9HgjrzJHAuojBMeK0QMbvYSbUg2HB7MNNJw","token_type":"bearer","expires_in":43199,"scope":"app","user_name":"admin","jti":"52a8c915-1169-4c59-b42a-df8d34cd0ee4"}
4.access_token信息解析
我们通过上个步骤得到的token信息是不可读的,但是因为header,body都是经过base64转码过的,因此我们可以通过Base64将其解码,spring cloud里也提供了jwt相关的工具类帮我们来反解析这个串
package com.pachiraframework.springcloud.oauth2.config;

import org.junit.Test;
import org.springframework.security.jwt.Jwt;
import org.springframework.security.jwt.JwtHelper;

public class JwtTest {
@Test
public void test() {
String token = " eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1MTAxNzQ2MDYsInVzZXJfbmFtZSI6ImFkbWluIiwiYXV0aG9yaXRpZXMiOlsiYWRtaW4iXSwianRpIjoiNTJhOGM5MTUtMTE2OS00YzU5LWI0MmEtZGY4ZDM0Y2QwZWU0IiwiY2xpZW50X2lkIjoiY2xpZW50Iiwic2NvcGUiOlsiYXBwIl19.GecJM-FHApwznyYl-D3IjB0TpjhdhUXfYv782kfS9vdT0VZsu2HN-MGb-N-6Hf0efZ_mmz54IahJaq3KTw251v4L2O5A1r_iMuUP7GXs_qPHAGn3K1b4l-mNnpJdH5hhS5zYIRqOX2a8DXyI4zD7g8BQL-9PiR3kj9k_z9nW8vY9l2_x5Kyoc-sehxxQ5uQHM3xu6DzOwBpbbER7U_NnUwmcz5nS9YyAexSDnBbZAVpQavL2s1yYQVMJ5Dreq2asXHFbeQHXu5UqVbbTFuOgAylbFJ9K-3nsGAKT9NbzqBPRovI3s_X9HgjrzJHAuojBMeK0QMbvYSbUg2HB7MNNJw";
Jwt jwt = JwtHelper.decode(token);
System.out.println(jwt.toString());
}
}

通过这个测试我们可以看出来,token中已经包含了当前用户的信息了,包括我们在accessTokenConvertor()方法中给token中添加的额外信息user_name
CrazyCoder2010
关注
  • 2
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
第八章 SpringCloud Oauth2认证中心-基于JWT认证.pdf
09-13
SpringCloud Oauth2认证中心基于JWT的实现是一个重要的安全机制,尤其在当今互联网环境中,微服务架构成为主流。本章内容主要围绕如何构建一个使用JWT(JSON Web Token)的Oauth2认证中心展开,旨在提供一种高效、无...
shell-jwt
qq_21442867的博客
12-05 1705
jwt
【网络安全】垂直越权漏洞与代码分析
m0_59598029的博客
01-16 1011
文章写完了之后,申请CVE有一些麻烦,不过好在还是申请到了ps 申请CVE前,已经提交了CNVD【一>所有资源获取
Spring Cloud】使用JWT技术实现登录功能
最新发布
hui_zai_的博客
05-20 945
使用JWT技术实现登录功能
jwt 私钥_基于JWT的token弱密钥爆破
weixin_39629679的博客
12-21 7378
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。直接根据token取出保存的用户信息,以及对token可用性校验,大大简化单点登录。JWT=header+payload+signature(以.相隔)例:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzYxMTk2NTYsInVzZXJuYW1lIjoiemRqIiwi...
基于Token的身份验证的过程
喵酱
05-06 9291
基于Token的身份验证的过程如下:客户端使用用户名跟密码请求登录服务端收到请求,去验证用户名与密码验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里客户端每次向服务端请求资源的时候需要带着服务端签发的 Token服务端收到请求,然后去验证客户端请求里面带着的 To...
JWT--Token(令牌)验证
热门推荐
jiangsheer的博客
03-13 1万+
什么是Token? 在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般我们所说的的token大多是指用于身份验证的token 为什么使用token? 我们需要每次都知道当前请求的人是谁,但是又不想每次都让他提交用户名和密码,这时就需要有一个等同于用户名密码也能够标识用户身份的东西,即—token. 基于Token的身份验证方法 客户端使用用户名和密码请求登录 服务端收到请求,...
第七章 SpringCloud OAuth2认证中心-搭建认证中心.pdf
09-13
本章节将深入探讨如何利用Spring Cloud OAuth2来搭建一个认证中心,为你的互联网应用程序提供安全保障。 OAuth2是一个开放标准,用于授权第三方应用访问用户在某一服务上的资源。它定义了四个角色:资源所有者...
第九章 SpringCloud Oauth2认证中心-Zuul网关上添加认证.pdf
09-13
这个教程将基于之前章节的代码,特别是第七章和第八章的内容,来添加OAuth2认证功能到Zuul网关,确保所有请求在被处理前都经过有效的身份验证。 首先,我们要了解项目的概要。这个项目是建立在Spring Cloud的基础之...
Spring Cloud OAuth2和JWT保护微服务.docx
01-12
本文详细介绍了 Spring Cloud OAuth2 和 JWT 保护微服务的实现方法,从 JWT 的结构、特点、认证流程到 auth-service 工程的构建等多方面进行阐述,为读者提供了一个完整的 Spring Cloud OAuth2 和 JWT 保护微服务的...
基于springCloud+RocketMQ+Sharding-jdbc+Elastic-job微服务万信金融项目.zip
02-02
基于springCloud+RocketMQ+Sharding-jdbc+Elastic-job微服务万信金融项目.zip ## 技术解决方案 1、微服务技术应用于P2P金融业务解决方案 2、接口规范SpringBoot+Swagger 3、持久层编码 MyBatis Plus 4、...
openssl 计算sha256
lyyslsw的专栏
09-04 5857
echo -n eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOiJwYnh3ZWIiLCJleHAiOjE1OTg5NTc2NTEsImlhdCI6MTU5ODk1NzY0MSwiaXNzIjoicGJ4 | openssl sha -sha256 -binary -hmac key12345678 | base64
JWT加密方式
PHPer的技术记录
08-06 4163
https://jwt.io/ $s =hash_hmac('sha256','eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJyZXNvdXJjZSI6IkJhbmxpc3QiLCJDYWxsZXJJRCI6IldlQ2hhdFVzZXIifQ','aaa',true); $ba=base64_encode($s); echo $ba; echo '&l...
cesium编程入门12学习:摄像机设置
coder
10-07 4458
Cesium.Ion.defaultAccessToken = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJqdGkiOiJjOWM3MzYxZS0xNDg5LTRhYzgtOTE3ZS1hMTgyNmFmNzY5ZDIiLCJpZCI6MTYwNTYsInNjb3BlcyI6WyJhc3IiLCJnYyJdLCJpYXQiOjE1Njk0NzMxMjl9.Q...
JWT身份验证原理简单讲解与nodejs简单实现
AKGWSB 's blog
08-14 8337
目录前言JWT简单介绍node中使用JWT安装jsonwebtoken包签发token验证token 前言 上一篇【基于token的持久化登录讲解及其实现】讲到token的机制,以及token的2大特性,即:只有服务器能够签发token,服务器可以验证token是否由自己签发。 可是上一篇博客编写的时候,对token的理解还不够深入,上一篇博客的token是最最最基本的token验证,而现在互联网应用的登录验证普遍使用JWT,即 JSON WEB TOKEN 的规范化验证,所以今天来学习一蛤,并且学习如何在
JWT原理详解
前端那些事@时光
09-27 3272
JWT原理详解 随着前后端分离的发展,以及数据中心的建立,越来越多的公司会创建一个中心服务器,服务于各种产品线。 而这些产品线上的产品,它们可能有着各种终端设备,包括但不仅限于浏览器、桌面应用、移动端应用、平板应用、甚至智能家居 实际上,不同的产品线通常有自己的服务器,产品内部的数据一般和自己的服务器交互。 但中心服务器仍然有必要存在,因为同一家公司的产品总是会存在共享的数据,比如用户数据 这些设备与中心服务器之间会进行http通信 一般来说,中心服务器至少承担着认证和授权的功能,例如登录:各种设备发
jwt认证流程和使用案例(session和token两种方式)
健康平安的活着的专栏
06-25 2901
传统session是保存在服务器内存中的,而JWT是保存在浏览器本地的,使用JWT的好处就是不占用服务器的内存
oauth授权码模式请求
蛐蛐的博客
11-28 3535
1.获取授权码 http://localhost:8080/oauth/authorize?client_id=shop&amp;redirect_uri=http://localhost:3000&amp;response_type=code&amp;scope=read GET /oauth/authorize?client_id=shop&amp;redirect_uri=http:...
Golang 实现JWT认证
neweastsun的专栏
05-04 1万+
Golang 实现JWT认证 认证是让应用知道给应用发送请求的人是他所说的那个人。JSON web token (JWT)是认证的一种方式,相比于基于Session认证,在系统中并不存储任何关于用户信息。 本文演示使用Golang实现基于JWT认证的示例应用。 1. JWT 1.1. JWT格式 假设用户user1尝试登录应用,成功后收到token信息如下: eyJhbGciOiJIUzI1NiI...
spring cloud oauth2认证
06-28
### 回答1: Spring Cloud OAuth2是一个基于Spring Cloud的OAuth2认证和授权框架。它提供了一组工具和库,用于构建安全的分布式系统。Spring Cloud OAuth2支持多种OAuth2授权流程,包括授权码模式、密码模式、客户端模式和简化模式。它还提供了一些可扩展的组件,如令牌存储、用户信息服务和授权服务器。使用Spring Cloud OAuth2,您可以轻松地将OAuth2认证和授权集成到您的应用程序中,从而实现更安全的分布式系统。 ### 回答2: Spring Cloud OAuth2认证是一种集成了OAuth2标准的身份验证框架,它可以用来保护和授权API访问,也可以用于单点登录和资源服务器保护。 与传统的身份验证方式相比,Spring Cloud OAuth2认证的主要优势在于其更为灵活的授权方式,可以支持不同的授权流程,例如授权码、简化流程和密码凭据流程。此外,Spring Cloud OAuth2认证还提供了可定制化的身份验证流程和接口,开发人员可以根据业务需求对其进行定制。 在使用Spring Cloud OAuth2认证时,需要先配置授权服务器,包括定义客户端类型、授权模式等。接着,在客户端应用程序中会添加安全配置,以确保请求可以被身份验证和授权。最后,当用户请求受保护的API时,Spring Cloud OAuth2认证将使用令牌管理器验证用户身份和访问权限,并允许或拒绝请求。 总的来说,Spring Cloud OAuth2认证为开发人员提供了一种安全、灵活和可定制的身份验证和授权框架,可以帮助企业保护他们的API和资源服务器,同时也可以提高用户体验和安全性。 ### 回答3: Spring Cloud OAuth2是基于OAuth2协议的分布式认证和授权框架。OAuth2协议是一种在客户端与服务端之间进行授权委托的协议,它通过令牌(Token)的方式将授权信息传递给客户端或第三方服务。 Spring Cloud OAuth2提供了一系列组件,包括OAuth2认证服务,资源服务器以及客户端工具,为企业微服务架构提供了安全可靠的认证和授权机制。下面分别介绍OAuth2认证服务、资源服务器以及客户端工具的功能和作用。 1. OAuth2认证服务: OAuth2认证服务是指用于管理令牌(Token)的服务。在Spring Cloud OAuth2中,认证服务可以基于内存存储令牌,也可以基于数据库存储令牌。认证服务主要负责令牌的颁发以及令牌的刷新和撤销。 2. 资源服务器: 资源服务器是指受保护的服务提供方,它需要对请求者的身份进行认证和授权才能够提供服务。Spring Cloud OAuth2提供了一套成熟的资源服务管理机制,通过oauth2-resource注解来声明当前服务是资源服务。 3. 客户端工具: 客户端工具是指用于进行OAuth2认证和授权的工具,可以是Web应用,也可以是移动应用。在Spring Cloud OAuth2中,客户端工具可以通过注解的方式来进行OAuth2认证和授权,简化了客户端代码实现过程。 通过Spring Cloud OAuth2框架的应用,我们可以实现企业级的分布式认证和授权,规范了服务之间的安全通信,助力于微服务架构的安全发展。同时也提供了多种服务集成方案,如内存存储和数据库存储等,方便开发者根据实际需求选择合适的方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值