SpringCloud Alibaba入门教程六——登录保持与JWT

最新推荐文章于 2024-07-27 11:22:11 发布
最新推荐文章于 2024-07-27 11:22:11 发布
阅读量637 收藏
点赞数
分类专栏: 笔记 微服务 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrSuper_cat/article/details/113816848
版权

登录保持与JWT

有状态 VS 无状态

有状态是后台session存储用户信息,每次前台如果从一个浏览器访问的同一个服务器,就会解析cookie携带的sessionID从而解析到用户实现登录状态。
无状态是后台不再使用session,而是使用一串编码过的字符串传递到前台,前台使用某种技术进行保存,每次会话都要携带token向后台发送请求 ,后台通过解析token分别身份(也可以将特定的身份保存在redis中),从而实现无状态的登录。
在这里插入图片描述

认证方案

  • 使用SpringCloud Security等框架
  • 使用网关、颁发、解密、认证,认证成功后微服务内部不再认证
  • 网关不认证,有专门的微服务进行token颁发、每个微服务在请求来到时都各自解析一遍token是否合法
  • 将token存放在指定的后台服务器中,每次请求来的时候验证,同最初使用session是一样的。适合于旧项目改造新项目使用。

访问控制模型

  • Access Control List (ACL)
  • Role-based access control (RBAC)
  • Attribute-based access control(ABAC)
  • Rule-based access control
  • Time-based access control

Role-based access control 用户 --(关联)-- 角色 --(关联)-- 权限

JWT

JWT操作工具类使用

AOP实现用户登录检查

笔者之前使用的是拦截器进行登录校验,因为SpringAOP是Spring比较重要的一环,所以这里再次使用SpringAOP进行登录校验。
引入spring-boot-starter-aop依赖,创建自定义注解创建一个切面使用其中的方法匹配注解并编写检查登录逻辑。

package com.itmuch.contentcenter.auth;

public @interface CheckLogin {
}


package com.itmuch.contentcenter.auth;

@Aspect
@Component
@RequiredArgsConstructor(onConstructor = @__(@Autowired))
public class AuthAspect {
    private final JwtOperator jwtOperator;

    @Around("@annotation(com.itmuch.contentcenter.auth.CheckLogin)")
    public Object checkLogin(ProceedingJoinPoint point) throws Throwable {
        checkToken();
        return point.proceed();
    }

    private void checkToken() {
        try {
            // 1. 从header里面获取token
            HttpServletRequest request = getHttpServletRequest();

            String token = request.getHeader("X-Token");

            // 2. 校验token是否合法&是否过期;如果不合法或已过期直接抛异常;如果合法放行
            Boolean isValid = jwtOperator.validateToken(token);
            if (!isValid) {
                throw new SecurityException("Token不合法!");
            }

            // 3. 如果校验成功,那么就将用户的信息设置到request的attribute里面
            Claims claims = jwtOperator.getClaimsFromToken(token);
            request.setAttribute("id", claims.get("id"));
            request.setAttribute("wxNickname", claims.get("wxNickname"));
            request.setAttribute("role", claims.get("role"));
        } catch (Throwable throwable) {
            throw new SecurityException("Token不合法");
        }
    }
   //获取request
    private HttpServletRequest getHttpServletRequest() {
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes attributes = (ServletRequestAttributes) requestAttributes;
        return attributes.getRequest();
    }

    @Around("@annotation(com.itmuch.contentcenter.auth.CheckAuthorization)")
    public Object checkAuthorization(ProceedingJoinPoint point) throws Throwable {
        try {
            // 1. 验证token是否合法;
            this.checkToken();
            // 2. 验证用户角色是否匹配
            HttpServletRequest request = getHttpServletRequest();
            String role = (String) request.getAttribute("role");

            MethodSignature signature = (MethodSignature) point.getSignature();
            Method method = signature.getMethod();
            CheckAuthorization annotation = method.getAnnotation(CheckAuthorization.class);

            String value = annotation.value();

            if (!Objects.equals(role, value)) {
                throw new SecurityException("用户无权访问!");
            }
        } catch (Throwable throwable) {
            throw new SecurityException("用户无权访问!", throwable);
        }
        return point.proceed();
    }
}

Feign实现token传递

  • @RequestHeader 在服务提供者以及Feign的调用方的Controller方法参数列表中中全部加上 @RequestHeader("token") String token
  • 使用RequestInterceptor
public class TokenRelayRequestIntecepor implements RequestInterceptor {
    @Override
    public void apply(RequestTemplate template) {
        // 1. 获取到token
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes attributes = (ServletRequestAttributes) requestAttributes;
        HttpServletRequest request = attributes.getRequest();
        String token = request.getHeader("X-Token");

        // 2. 将token传递
        if (StringUtils.isNotBlank(token)) {
            template.header("X-Token", token);
        }

    }
}

这个配置在2-9一节中有提到

requestInterceptor:
  - com.itmuch.contentcenter.feignclient.interceptor;

RestTemplate传递token

  • exchange()
@GetMapping("/tokenRelay/{userId}")
    public ResponseEntity<UserDTO> tokenRelay(@PathVariable Integer userId, HttpServletRequest request) {
        String token = request.getHeader("X-Token");
        HttpHeaders headers = new HttpHeaders();
        headers.add("X-Token", token);

        return this.restTemplate
            .exchange(
                "http://user-center/users/{userId}",
                HttpMethod.GET,
                new HttpEntity<>(headers),
                UserDTO.class,
                userId
            );
    }
  • 实现ClientHttpRequestInterceptor
    这个类是RestTemplate的拦截器,和Feign的差不多
public class TestRestTemplateTokenRelayInterceptor implements ClientHttpRequestInterceptor {
    @Override
    public ClientHttpResponse intercept(HttpRequest request, byte[] body, ClientHttpRequestExecution execution) throws IOException {
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes attributes = (ServletRequestAttributes) requestAttributes;
        HttpServletRequest httpRequest = attributes.getRequest();
        String token = httpRequest.getHeader("X-Token");

        HttpHeaders headers = request.getHeaders();
        headers.add("X-Token", token);

        // 保证请求继续执行
        return execution.execute(request, body);
    }
}

还需要创建RestTemplate的时候进行拦截器的设置

 @Bean
    @LoadBalanced
    @SentinelRestTemplate
    public RestTemplate restTemplate() {
        RestTemplate template = new RestTemplate();
        template.setInterceptors(
            Collections.singletonList(
                new TestRestTemplateTokenRelayInterceptor()
            )
        );
        return template;
    }

AOP实现权限校验

使用自定义注解以及AOP的方式实现,同上文的检查token差不多

//这里表示在运行期注入注解
@Retention(RetentionPolicy.RUNTIME)
public @interface CheckAuthorization {
    String value();
}


@PutMapping("/audit/{id}")
    @CheckAuthorization("admin")
    public Share auditById(@PathVariable Integer id, @RequestBody ShareAuditDTO auditDTO) {
        return this.shareService.auditById(id, auditDTO);
    }

 @Around("@annotation(com.itmuch.contentcenter.auth.CheckAuthorization)")
    public Object checkAuthorization(ProceedingJoinPoint point) throws Throwable {
        try {
            // 1. 验证token是否合法;
            this.checkToken();
            // 2. 验证用户角色是否匹配
            HttpServletRequest request = getHttpServletRequest();
            String role = (String) request.getAttribute("role");

            MethodSignature signature = (MethodSignature) point.getSignature();
            Method method = signature.getMethod();
            CheckAuthorization annotation = method.getAnnotation(CheckAuthorization.class);

            String value = annotation.value();

            if (!Objects.equals(role, value)) {
                throw new SecurityException("用户无权访问!");
            }
        } catch (Throwable throwable) {
            throw new SecurityException("用户无权访问!", throwable);
        }
        return point.proceed();
    }
MrSuper_cat
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Go语言开发Web应用实战——这本书介绍了如何用Golang开发Web应用,涵盖从基础概念到实践应用等内容
程序员光剑
07-29 1246
2019年是第四个十年科技革命的开端,也是Golang被广泛应用的一个年份。这几年,Golang的热度不断提升,在开源社区及企业内部也出现了一批拥抱Go的优秀人员。每当我听到有人宣传“Golang开发更快、更安全、更高效”,或者推荐“Go语言入门”时,都会觉得不可思议。Golang作为新一代的编程语言,非常适合用来开发复杂的分布式系统,但同时它也非常简单易懂,可以轻松地学习掌握。在本书中,你将从零开始构建一个完整的基于Golang+Vue.js+MySQL Web应用程序。
SpringCloud Alibaba搭建属于自己的微服务(二十七)~业务开发~jwt实现用户登录
theOldCaptain的博客
08-06 585
一.server-user服务中加入jwt的maven依赖和工具类. <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>2.2.0</version> </dependency> package com.ccm.server.user.util; import com
spring cloud alibaba开发笔记四(授权、鉴权中心微服务JWT
qq_41054749的博客
02-09 1051
收入提高
SpringcloudAlibaba详解---超详细
最新发布
qq_56438516的博客
07-27 4631
Nacos致力于帮助您发现,配置和管理微服务。它提供了一组简单有用的功能,使您能够实现动态服务发现,服务配置,服务元数据和流量管理。Nacos使构建,交付和管理微服务平台变得更容易,更快捷。它是通过微服务或云原生方法支持以服务为中心的现代应用程序体系结构的基础架构。说的通俗一些,就是承担了奈飞框架中的Eureka的功能,相当于注册中心,但比Eureka更加智能与便捷。
09-微服务版的单点登陆系统设计及实现(2105~2106)
雨田说码
08-25 2万+
文章目录简介背景分析单点登陆系统工程设计及创建创建父工程创建认证服务创建资源服务工程创建API网关工程创建客户端UI工程快速入门实践 简介 背景分析 传统的登录系统中,每个站点都实现了自己的专用登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。例如: 这样的系统,我们又称之为多点登陆系统。应用起来相对繁琐(每次访问资源服务都需要重新登陆认证和授权)。与此同时,系统代码的重复也比较高。由此单点登陆系统诞生。 单点登陆系统 单点登录,英文是 Single Sign On(缩写为 SSO)。即多个站
Spring Cloud Alibaba 实战(四)Oauth2篇【单点登录
大鹏
08-09 3025
1. Oauth2 简介 OAuth2 其实是一个关于授权的网络标准,它制定了设计思路和运行流程,利用这个标准我们其实是可以自己实现 OAuth2 的认证过程的。spring-cloud-starter-oauth2 ,其实是 Spring Cloud 按照 OAuth2 的标准并结合 spring-security 封装好的一个具体实现。 首先大家最熟悉的就是几乎每个人都用过的,比如用微信登录、用 QQ 登录、用微博登录、用 Google 账号登录、用 github 授权登录等等,这些都是典型的
微服务 基础服务搭建 Oauth2 Gateway sentinel Nacos JWT OpenFeign 授权登录案例 SpringCloudAlibaba
qq_50909707的博客
10-11 1281
可以看到次时我们通过网关去访问admin-service的login接口,admin-service此时做资源服务器,通过authorization-server进行授权登录。从代码中我们也不难看出,授权服务器拥有私钥可以对JWT token进行生成,而客户端志愿服务器仅有公钥对JWT token进行解密。授权服务器会给每个微服务在登录成功时授权对应的token,网关需要对这些请求进行判断已筛选出需要token验证的请求。--授权成功,颁发token-->admin-service-->响应。
JWT登陆--SpringCloud
qq_46098255的博客
03-11 176
JWTjwt 全称是 json web token。是由用户以用户名、密码登录,服务端验证后,会生成一个 token,返回给客户端,客户端在下次访问的过程中携带这个 token,服务端责每次验证这个token。
开发知识点-分布式微服务技术栈 SpringCloud
aming小老弟
10-19 2660
分布式架构的一种把服务进行 拆分springcloud 解决了 服务拆分过程中的 治理问题与单体应用 进行区分(单体架构 把业务所有功能集中开发,打成一个包部署)每个模块独立开发和部署(服务集群)服务之间互相调用出现分布式技术WebserviceESBHessionDubbo异步通信 消息队列(秒杀)敏捷开发思想高内聚低耦合微服务 + 持续集成。
Java 学习路线大全,再也不用迷路啦(持续更新)
腾讯全栈-ITCJF
10-14 2737
路线特点 最新,完整一条龙,从入门到入土(⭐ 表示推荐学习) 给出目标、学习建议、关键知识点、最优资源以及各类资源推荐(视频、书籍、文档、项目、工具等) 划分阶段、更有计划,且在最后给出持续学习的方向、探索 Java 程序员发展的无限可能 前言 首先呢,我们要了解 Java 的应用场景和就业方向,看看和自己的学习目的是否一致,目前,Java 的岗位需求多,是后台开发的主流编程语言,功能强大,还是很值得学习的。 阶段 1:Java 入门 目标 培养兴趣、快速上手 前期准备 准备好一款在线、随时随地
从技术小白到封神,掌握这些技术就差不多了
华农老林的博客
08-27 1054
基础篇 Java 菜鸟教程 Java SE 社区 JDK 8 中文手册 Java入门第一季 慕课网 Java入门第二季 慕课网 Java入门第三季 慕课网 马士兵 Java 基础教程 高淇 Java 300 集教程视频 小马哥一入Java深似海 Java核心技术36讲 极客时间 尚硅谷 NIO 视频 尚硅谷 Java8新特性视频教程 Java核心技术卷II(书籍) H...
JAVA架构师学习路线图(绝对详细)
M11223344555的博客
03-28 4200
JAVA架构师学习路线图(绝对详细) 性能调优 Jvm性能调优 JVM类加载机制详解 JVM内存模型 垃圾收集机制详解 十种垃圾收集器详解 JVM调优工具详解 GC日志详细分析 JVM调优实战 Mysql性能调优 SQL执行原理详解 索引底层剖析 执行计划与SQL优化 Mysql锁机制与事务隔离级别详解 Tomcat调优 整体认知Tomcat项目架构 生产环境配置 掌握Tomcat 线程模型背后原理 Nginx调优 Nginx快速掌握 熟练掌握Nginx核心配置 掌握Nginx负载算法配置 并发编程 操作系
SpringCloudAlibaba 综合项目实战工业级PaaS云平台第三课 用户登录授权认证安全和文件分布式存储
fegus的博客
09-22 2919
简介:分布式文件存储常见解决方案介绍目前业界比较多这个解决方案,这边就挑选几个介绍下MinIO是在 Apache License v2.0 下发布的对象存储服务器,学习成本低,安装运维简单,主流语言的客户端整合都有, 号称最强的对象存储文件服务器,且可以和容器化技术docker/k8s等结合,社区活跃但不够成熟,业界参考资料较少官网:https://docs.min.io/cn/FastDFS。
Spring Cloud Alibaba微服务实战十七 - JWT认证
smart_an的专栏
04-12 583
在 OAuth2 体系中认证通过后返回的令牌信息分为两大类:
Spring Cloud Alibaba微服务实战二十一 - JWT增强
smart_an的专栏
04-12 1014
*
SpringCloud Alibaba全套组件实战实现登陆服务较完整版
FHlang的博客
12-04 1629
这里写目录标题前言架构图前期部署项目结构新的依赖配置文件服务端网关主启动类代码编写服务端测试 前言 接着上一节进行完善,加入Sentinel、gareway、druid及一些nacos配置,需要看上一节的朋友可以点开这里。 架构图 前期部署 项目结构 新的依赖 服务端 <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>
SpringCloud Alibaba微服务实战二十一 - JWT增强
飘渺Jam的博客
11-19 1万+
今天内容主要是解决一位粉丝提的问题:如何在jwt中添加用户的额外信息并在资源服务器中获取这些数据。涉及的知识点有以下三个:如何在返回的jwt中添加自定义数据如何在jwt中添加用户的额外数...
SpringCloud-Alibaba微服务架构实战教程—23JWT认证中心和cookie跨域共享方案
空空说技术的博客
07-07 744
前言 参考地址:https://gitee.com/soap9299/Authenticate/blob/master/doc/9.%E5%8D%95%E7%82%B9%E7%99%BB%E5%BD%95%EF%BC%88jwt%EF%BC%89/%E5%8D%95%E7%82%B9%E7%99%BB%E5%BD%95%EF%BC%88jwt%EF%BC%89.md 登录鉴权 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:
SpringCloud利用网关拦截做Token验证(JWT方式)
热门推荐
My52Hz
10-11 3万+
SpringCloud利用网关拦截做Token验证(JWT方式) 2018年09月29日 15:51:50 19八9 阅读数:23更多 &lt;div class="tags-box space"&gt; &lt;span c...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值