微服务统一认证方案Spring Cloud OAuth2+JWT

已于 2022-11-08 17:34:21 修改
阅读量3.2k 收藏 12
点赞数
分类专栏: java # SpringCloud 文章标签: 微服务 spring cloud java
于 2022-11-07 15:52:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ginnnnnnn/article/details/127732538
版权

前言

首先我们来明确一下什么叫"认证"

        "认证"就是验证用户的合法身份,比如输入用户名和密码,系统会在后台验证用户名和密码的正确性,通过后才能够进行后续操作,访问受保护的资源。

一、微服务架构下的统一认证场景

        分布式系统下面由一系列微服务构成,每个微服务都提供着用户所需要的资源,而这些资源都是受保护的,也就是说每一个微服务都会有认证需求。

        如果我们在每一个服务中都实现一套认证逻辑的话代码就会非常冗余,而且访问不同的服务都需要重复登录验证这样很不友好,这时候就需要统一认证。

        考虑分布式系统共享性的特点,可以由一个独立的认证服务处理系统认证的请求,不同服务间的资源调用只需要一次认证,就是我们常说的sso(单点登录),而分布式环境下的统一认证也是和sso的场景是一样的。

        统一认证往往是一种颁发令牌的方式,用户第一次请求过来要求用户到认证服务进行登录验证,认证通过之后会颁发一个令牌,这个令牌就好比一个通行证,每次来请求后台的这些为服务资源的时候都带着这个令牌,然后验证这个令牌是否有效,如果有效就放行。

如下图:

二、微服务架构下的统一认证思路

1.基于Session的认证方式

        在分布式的环境下,基于Session的认证会出现一个问题,每一个应用服务都需要再Session中储存用户身份信息,通过负载均衡将本地的请求分配到另一个应用服务需要将Session信息带过去,否则会重新认证。我们是用Session、Session粘贴等方案。

        但Session方案也有缺点,在日益复杂的互联网环境和系统架构下是存在一些问题的。

        比如使用Session就会涉及到SessionId,而SessionId是储存在Cookie中的,现在的客户端形式都非常丰富,有PC端、移动端等, PC端浏览器对Cookie的支持比较OK,但是移动端对Cookie的支持就不好了,此时就无法再用Session方案来实现统一认证了。

2.基于token的认证方式(主流)

        基于token的认证方式,服务端不用存储认证数据,因为登录成功后用户的数据会放到Session中,易维护扩展性强,客户端可以把token存放在任意地方,并且可以实现web和app的统一认证机制。

        但是token方式的缺点也很明显,token由于自身包含信息还有一些用户信息,因此一般数据量较大,而且每次请求都会传递token,因此比较占用带宽。另外,token的签名验证操作也会给cpu带来额外的处理负担。

三、OAuth2开放授权协议/标准

1.OAuth2介绍

        OAuth(开放授权)是一个开放协议/标准,允许用户授权第三方应用访问他们储存在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。

结合"使用QQ登录拉钩"这一场景拆分理解这句话就是:

用户:我们自己

第三方应用:拉勾网

另外的服务提供者:QQ

OAuth2是OAuth协议的延续版本,但不向后兼容OAuth1,即完全废止了OAuth1。

2.OAuth2协议角色和流程

XX网站如果要开发QQ登录这个功能的话,那么XX网是需要提前到QQ平台登记的。

1)XX网登记到---->QQ平台

2)QQ平台会颁发一些参数给XX网,后续上线进行授权登录的时候(弹出的QQ登录的授权页面)需要携带这些参数

client_id:客户端id(QQ最终相当于一个认证授权服务器,XX网就相当于一个客户端,所以会给一个客户端id),相当于账号。

secret:相当于密码。

资源拥有者(Resource Owner):可以理解为用户自己

客户端(Client):我们想登录的XX网站或应用

认证服务器(Authorization Server):可以理解为微信或者QQ

资源服务器(Resource Server):可以理解为微信或者QQ

3.什么情况下需要使用OAuth2?

        第三方授权登录的场景:比如我们经常登录一些网站或者应用的时候,可以选择使用第三方授权登录的方式,比如:微信授权登录、QQ授权登录等,这是典型的OAuth2的使用场景。

        单点登录的场景:如果项目中有很多的微服务或者公司内部有很多服务,可以专门做一个认证中心(充当认证平台角色),所有的服务都要到这个认证中心做认证,只做一次登录,就可以在多个授权范围内的服务中自由串行。

4.OAuth2的颁发Token授权方式

1)授权码(authorization code)

2)密码式(password)

3)隐藏式(implicit)

4.客户端凭证(client credentials)

授权码模式使用到了回调地址,是最复杂的授权方式,微博、微信、QQ等第三方登录就是这种模式。我们重点来了解接口对接中常用的password密码模式(提供用户名+密码换取token)。

四、Spring Cloud OAuth2+JWT实现

1.Spring Cloud OAuth2介绍

        Spring Cloud OAuth2是Spring Cloud体系对OAuth2协议的实现,可以用来做多个微服务的统一认证(验证身份合法性)授权(验证权限)。通过向OAuth2服务(统一认证授权服务)发送某个类型的grant_type进行集中认证和授权,从而获得access_token(访问令牌),而这个token是受其他微服务信任的。

注意:使用OAuth2解决问题的本质是,引入了一个认证授权层,认证授权层连接了资源的拥有者,在授权层里面,资源的拥有者可以给第三方应用授权去访问我们的某些受保护资源。

2.Spring Cloud OAuth2构建微服务统一认证服务思路

注意:在我们统一认证的场景中,Resoure Server其实就是我们的各种受保护的微服务,微服务中的各种API访问接口就是资源,发起http请求的浏览器就是Client客户端(对应为第三方应用)

总结

学习使人emo....

Ginnnnnnn
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
SpringCloud Alibaba微服务实战十三 - Oauth2(1),面试必问知识点
2301_82243078的博客
04-13 424
为了保证服务的安全性,往往都会在接口调用时做权限校验。在分布式架构中我们会把复杂的业务拆成多个微服务,这样不得不在所有服务中都实现这样的权限校验逻辑,这样就会有很多代码和功能冗余。所以在微服务架构中一般会独立出一个单独的认证授权服务,供其他所有服务调用。在SpringCloud体系中,我们只对网关层开放外网访问权限,其他后端微服务做网络隔离,所有外部请求必须要通过网关才能访问到后端服务。在网关层对请求进行转发时先校验用户权限,判断用户是否有权限访问。
搭建微服务统一认证授权服务,鉴权客户端大致流程(基于无状态)
BurukeYou
02-11 6476
1.简介 基于无状态令牌(jwt)的认证方案,服务端无需保存用户登陆状态 基于spring security框架 + oauth2协议 搭建 基于spring cloud nacos,服务调用使用RestTemplate 前置知识: jwt (也就是这里用到的token) 就是一大串加密的字符串,用户的登陆状态都保存在里面,但这种字符串里面的数据不能被修改,一但修改校验一定会出错....
Spring Cloud Security:Oauth2结合JWT使用
最新发布
smart_an的专栏
04-18 622
JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。
Spring Cloud Oauth2 JWT
kkkyyyoo的博客
01-28 624
SpringSecurityOauth2实现类Oauth2并分为了两大模块,认证授权服务和资源服务。认证授权服务一般负责认证逻辑和加载用户的权限以及认证成功后为用户颁发令牌,资源服务器一般值我们提供的微服务,在资源服务器中需要对用户的令牌做检查(是否通过了认证且是否拥有访问该服务的权限)。所以我们会去创建一个认证授权的微服务,用户登录做认证和加载用户的权限。 1.导入依赖,开启启动类,配置yml文件 <dependencies> <!--微服务基础依赖-->
SpringSecurity整合JWT+Oauth2认证
qq_29294165的博客
10-11 1499
没写完,推荐下面的博客。
7000 字 | 32 图 | 手摸手 Spring Cloud Gateway + JWT 实现登录认证
程序员高级码农的博客
01-24 1360
虽然本篇是讲实战内容的,但是里面又涉及了很多原理性内容,比如网关、JWT 的原理。结合实战讲解,相信大家对如何使用 Spring Cloud Gateway + JWT 实现登录认证有了充分的理解。
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发...
liugh-parent:SpringBoot+SpringCloud Oauth2+JWT+MybatisPlus实现Restful快速开发后端脚手架
05-24
bx-cloud#注意由于升级到了SpringCloud认证授权改为SpringSecurity Oauth2.0,需要SpringBoot+JWT+Shiro+MybatisPlus单项目架构的,请切换至分支github网速如果不好,请使用网盘地址:链接: 提取码:ah39前端(vue ...
springcloud-gateway-oauth2:这是一个SpringCloud gateway +oauht2.0+jwt 实现微服务认证和授权
05-11
1.springcloud-gateway-oauth2 这是一个SpringCloud gateway +oauht2.0+jwt 实现微服务认证和授权 (记得修改 redis连接 和jdbc连接) 2.安装naocs 3.测试 1.访问认证服务: 2. 访问资源服务: 3. 用户的信息
详解用JWTSpringCloud进行认证和鉴权
08-26
主要介绍了详解用JWTSpringCloud进行认证和鉴权,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springcloud整合oauth2和jwt
04-09
springcloud整合oauth2和jwt实现权限认证,整合mybaits
Oauth2+Jwt实现单点登录
qq_57756904的博客
08-24 2395
SON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为 JSON 对象。此信息可以验证和信任,因为它是数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
OAuth2结合JWT
Curtisjia的博客
11-01 2550
OAuth2结合JWT 无状态登录 什么是有状态 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 session,然后下次请求,用户携带 cookie 值来(这一步有浏览器自动完成),我们就能识别到对应 session,从而找到用户的信息。这种方式目前来看最方便,但是也有一些缺陷,如下: 服
SpringCloud Gateway + Jwt + Oauth2 实现网关的鉴权操作,真是绝了!
程序员闪充宝
08-13 6169
大家好,我是宝哥!一、背景随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务中处理。二、需求1、在网关层完成url层面的鉴权操作。所有的OPTION请求都放行。所有不存在请求,直接都拒绝访问。user-provider服务的findAllUse...
微服务商城系统(十) Spring Security Oauth2 + JWT 用户认证
weixin_41750142的博客
04-01 1825
文章目录一、用户认证分析1、认证 与 授权2、单点登录3、第三方账号登录4、第三方认证 一、用户认证分析      上面流程图 描述了用户要操作的各个微服务,用户查看个人信息 需要访问 用户微服务,下单 需要访问 订单微服务,秒杀抢购商品 需要访问 秒杀微服务。每个服务都需要认证用户的身份,身份认证成功后,需要识别用户的角色,然后授权访问对应的功能,比如管理员 和 普通用户的权限对应的功能 是不一样的。      1、认证
OAuth2+JWT 实现权限验证
程序员爱酸奶
09-18 2915
前言 文章内容输出来源:拉勾教育Java高薪训练营; 微服务架构下统⼀认证思路主要有两种形式: 1、基于 Session 的认证⽅式在分布式的环境下,基于 session 的认证会出现⼀个问题,每个应⽤服务都需要在session中存储⽤户身份信息,通过负载均衡将本地的请求分配到另⼀个应⽤服务需要将 session 信息带过去,否则会重新认证。我们可以使⽤ Session 共享、Session 黏贴等⽅案。Session ⽅案也有缺点,⽐如基于 cookie ,移动端不能有效使⽤等 2、基于 token 的认
springcloud gateway + jwt + oauth2
04-30
SpringCloud是一个基于Spring Boot的开源微服务框架。SpringCloud Gateway是SpringCloud生态中的一个组件,提供了一种基于路由的API网关解决方案JWT是JSON WEB Token的缩写,是一种用于身份认证和授权的开放标准。OAuth2是一种授权框架,用于向用户授权第三方应用访问他们的资源。 在微服务架构中,每个服务都是独立的,网关作为服务的入口,可以实现对外的请求过滤和路由。SpringCloud Gateway使用HttpClient进行内部请求的调度和路由。同时,它还提供了一些高阶的路由和过滤功能,如重定向、URL重写、限流、熔断、重试等。 JWT是一种轻量级的认证方案,通过在HTTP请求中添加一个JSON WEB Token,实现对用户进行身份认证和授权。JWT的使用极大地简化了认证过程,前后端可以通过JWT判断用户的身份和权限。 OAuth2为开发者提供了一种授权框架,可以授权第三方应用获取用户访问他们的资源。OAuth2支持多种授权类型,如授权码模式、密码模式、客户端模式和隐式模式。使用OAuth2,可以更好地保护用户的隐私和安全。 综上所述,SpringCloud Gateway、JWTOAuth2都是现代化的解决方案,对于设计和开发微服务架构的应用程序来说,它们都是必不可少的组件。有了它们,开发人员可以更好的搭建分布式架构,确保数据安全性、隐私安全性和服务的可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值