登入认证--grafana,nacos,jellyfin的token获取及其授权认证规则(附代码)

最新推荐文章于 2024-05-21 11:21:12 发布
最新推荐文章于 2024-05-21 11:21:12 发布
阅读量2.7k 收藏 7
点赞数 2
文章标签: grafana java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wizard_s/article/details/129193750
版权

自研项目集成开源软件 nacos,grafana,jellyfin

最近在做登录认证,除了项目中所用的jwt,还调研了开源软件,服务注册发现nacos,可视化grafana,音频jellyfin,因为本人是java程序员,对于nacos(java实现的),基本上就是了解下源代码就解决了,token部分本文也做了简单的记录。而grafan虽然是go写的,但是仔细去看它的配置文件会发现,其配置文件 grafana.ini 提供了 " Auth JWT ", 意味着我们不需要去完全明白go项目就可以摸清它的token生成和认证规则。对于jellyfin,作者试图去拉取了源码,也读了C#代码,它的AccessToken就是一串GUID。下面将分别记录各个开源项目获取其token的过程和结果 。

Nacos2.2.0

nacos是基于java maven 项目构建,github:https://github.com/alibaba/nacos
登录的逻辑接口是:com.alibaba.nacos.plugin.auth.impl.controller.UserController
当用户登录匹配用户名和密码成功后,nacos会返回给前端一个JWT token,实现的底层代码在
com.alibaba.nacos.plugin.auth.impl.JwtTokenManager#createToken
实现规则:配置文件中的
nacos.core.auth.plugin.nacos.token.secret.key 作为jwt的签名密钥
nacos.core.auth.plugin.nacos.token.expire.seconds 作为token的失效时间
加密算法是:SignatureAlgorithm.HS256
sub:nacos的用户名,
将 JwtTokenManager 直接拿过来稍作修改,作为一个jwt 的工具类也是极好的。

假设已经获取到了nacos的token,怎么测试呢?
启动nacos->访问 localhost:8848/nacos->f12->application(或者中文‘应用’)->local storage(‘本地存储空间’)->
双击密钥输入框,输入:token
双击值输入框,输入:{“accessToken”:“eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJhZG1pbiIsImV4cCI6MTY3NzA4MDg3Mn0.cBF67mhkJUVwcx4SZ0z1iaVIrbmj8I8IXBmyggwuZsc”,“tokenTtl”:10,“globalAdmin”:true,“username”:“jack”}
,作为测试,只需要将 accessToekn替换为通过认证规则获取到的接口即可,保存刷新网页即可发现,nacos已经自动登录。至此说明,token有效。


import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtParser;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.io.Decoders;
import io.jsonwebtoken.io.DecodingException;
import io.jsonwebtoken.security.Keys;
import org.apache.commons.codec.binary.Base64;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

import java.nio.charset.StandardCharsets;
import java.util.Date;
import java.util.HashMap;

/**
 * JWT token manager.
 * @author slc
 */
@Component
public class JwtTokenManager {
    private static final String AUTHORITIES_KEY = "auth";
    /**
     * secret key.
     */
    @Value("${token.jwt.secretKey}")
    private String secretKey;

    /**
     * kid  and  k   for grafana
     */
    private String kid = "2391ecd4-3c16-4a54-9083-2269f556b5da";
    private String k = "Y4_Om2Jh-AW_5j6Jc87AffSgskxFWpSFXrFMC9Ju2GQ";
    /**
     * secret key byte array.
     */
    private byte[] secretKeyBytes;
    /**
     * Token validity time(seconds).
     */
    @Value("${token.jwt.tokenValidityInSeconds}")
    private long tokenValidityInSeconds;
    private JwtParser jwtParser;

    /**
     * init tokenValidityInSeconds and secretKey properties.
     */
    public String getSecretKey() {
        return secretKey;
    }

    /**
     * Create token.
     *
     * @param userName auth info
     * @return token
     */
    public String createToken(String userName) {
        long now = System.currentTimeMillis();
        Date validity;
        validity = new Date(now + this.getTokenValidityInSeconds() * 1000L);
        Claims claims = Jwts.claims().setSubject(userName);
        return Jwts.builder().setClaims(claims).setExpiration(validity)
                .signWith(Keys.hmacShaKeyFor(this.getSecretKeyBytes()), SignatureAlgorithm.HS256).compact();
    }

    /**
     * for grafana
     *
     * @param userName
     * @return
     */
    public String createGrafanaToken(String userName) {
        long now = System.currentTimeMillis();
        Date validity = new Date(now + this.getTokenValidityInSeconds() * 1000L);
        Claims claims = Jwts.claims().setSubject(userName);
        HashMap<String, Object> map = new HashMap<>();
        map.put("kid", kid);
        map.put("typ", "JWT");
        return Jwts.builder().setHeader(map).setClaims(claims).setExpiration(validity)
                .signWith(Keys.hmacShaKeyFor(Base64.decodeBase64(k)), SignatureAlgorithm.HS256).compact();
    }


    /**
     * validate token.
     *
     * @param token token
     */
    public void validateToken(String token) {
        if (jwtParser == null) {
            jwtParser = Jwts.parserBuilder().setSigningKey(this.getSecretKeyBytes()).build();
        }
        jwtParser.parseClaimsJws(token);
    }

    public byte[] getSecretKeyBytes() {
        if (secretKeyBytes == null) {
            try {
                secretKeyBytes = Decoders.BASE64.decode(secretKey);
            } catch (DecodingException e) {
                secretKeyBytes = secretKey.getBytes(StandardCharsets.UTF_8);
            }

        }
        return secretKeyBytes;
    }

    public long getTokenValidityInSeconds() {
        return tokenValidityInSeconds;
    }
}

grafana9.3.2

直接进入配置文件:grafana.ini,如果是windows操作系统,需要copy sample.ini ,更名 custom.ini
当对custom.ini做修改的时候,配置生效。
进入.ini配置文件,搜索:Auth JWT
[auth.jwt]
enabled = true
header_name = jwtToken
;email_claim = sub
username_claim = sub
;jwk_set_url =
jwk_set_file = E:/grafana-9.3.2/json/jwks.json
cache_ttl = 60m
;expect_claims = {“aud”: [“foo”, “bar”]}
;key_file = /path/to/key/file
;role_attribute_path =
;role_attribute_strict = false
;auto_sign_up = false
;url_login = false
;allow_assign_grafana_admin = false

第一次配置可以直接照抄。
; 是注释符号,我这里就解释下放开注释的几行配置。
enabled = true 开启 jwt 认证
header_name = jwtToken 请求头信息带着key为 jwtToken的键值对信息,value即为token。也说明grafan的token认证 是从头信息中获取到token的
username_claim = sub:jwt 的payload 中的sub字段的value值 就是 登录的用户名
jwk_set_file = E:/grafana-9.3.2/json/jwks.json:jwk 就是一个密钥,类似于nacos中的nacos.core.auth.plugin.nacos.token.secret.key ,这里它是一个json文件,我本地的配置如下:
{
“keys”: [{
“kty”: “oct”,
“kid”: “2391ecd4-3c16-4a54-9083-2269f556b5da”,
“k”: “Y4_Om2Jh-AW_5j6Jc87AffSgskxFWpSFXrFMC9Ju2GQ”,
“alg”: “HS256”
}]
}
,当然我们也可以从网站获取,只不过格式要参照上面的。获取的网址:https://8gwifi.org/jwkfunctions.jsp
,然后我们就可以在https://jwt.io/ 生成jwt token了
注意事项:
HERADER中要配置 “kid”: “2391ecd4-3c16-4a54-9083-2269f556b5da”,否则认证会报错,作者也是看了grafana许多报错日志才把这个坑填上。
“k”: “Y4_Om2Jh-AW_5j6Jc87AffSgskxFWpSFXrFMC9Ju2GQ” 是签名密钥,这个填在VERIFY SIGNATURE部分,并且把 secret base64 encoded 勾选起来。
secret base64 encoded:意思是指该密钥是经过base64加密后生成的密钥,即原密钥->base64加密=现密钥k:Y4_Om2Jh-AW_5j6Jc87AffSgskxFWpSFXrFMC9Ju2GQ
PAYLOAD部分只需要配置之一个sub,用户名一定要是grafana中存在的一个。
防止读者走弯路,我这里直接:
在这里插入图片描述
然后复制左边的token就可以进行测试了。
测试工具:postman
GET http://localhost:3001/?orgId=1
header中添加 jwtToken :${token值}
如果该 token有效,返回200,否则 401,并且返回 invalid jwt。
作者曾多次去grafana日志中查看,拿着错误日志信息到源码中找代码(因为go语言对java开发者来说并不友好)。

代码参考上面nacos部分

jellyfin

jellyfin 是基于C# 语言编写的一个媒体管理软件,作者也github下载过源码:https://github.com/jellyfin/jellyfin
其token认证的接口是:UserController /Users/AuthenticateByName
顺着代码可以摸索到 其token在 class Device 中有定义,
AccessToken = Guid.NewGuid().ToString(“N”, CultureInfo.InvariantCulture);
可见,其token 只是一串全局唯一的字符串,保存在*.db文件中。下次访问资源的时候带上用户id和token 比对校验。
那么对于这样的生成规则作者思考要么我也生成一个GUID放进 jellyfin的db文件中,但是转念一想,一片茫然。作者果断采取最笨最有效的方式,java接口 resetTemplate 模拟http请求登录接口,将返回的token值封装。
url :http://localhost:8096//Users/AuthenticateByName
请求体参数:
requestMap.put(“Username”, “admin”);
requestMap.put(“Pw”, “admin”);
踩坑点:源码中读到 header 中要有 X-Emby-Authorization 的值,可以将作者的值完全拷贝MediaBrowser Client=“Jellyfin Web”, Device=“Chrome”, DeviceId=“TW96aWxsYS81LjAgKFdpbmRvd3MgTlQgMTAuMDsgV2luNjQ7IHg2NCkgQXBwbGVXZWJLaXQvNTM3LjM2IChLSFRNTCwgbGlrZSBHZWNrbykgQ2hyb21lLzEwOC4wLjAuMCBTYWZhcmkvNTM3LjM2fDE2NzY5NDU3MzA4Mzk1”, Version=“10.8.9”

此处由于是封装http请求,不再多述。

import com.alibaba.fastjson.JSONObject;
import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.http.*;
import org.springframework.web.client.RestTemplate;
import java.util.LinkedHashMap;
import java.util.Map;

public class RestTemplateDemo {
    public static void main(String[] args) throws JsonProcessingException {

        String requestUrl = "/Users/AuthenticateByName";
        String url = "http://localhost:8096" + requestUrl;

        RestTemplate restTemplate = new RestTemplate();

        HttpHeaders headers = new HttpHeaders();
        MediaType type = MediaType.parseMediaType("application/json; charset=UTF-8");
        headers.setContentType(type);

        headers.add("X-Emby-Authorization", "MediaBrowser Client=\"Jellyfin Web\", Device=\"Chrome\", DeviceId=\"TW96aWxsYS81LjAgKFdpbmRvd3MgTlQgMTAuMDsgV2luNjQ7IHg2NCkgQXBwbGVXZWJLaXQvNTM3LjM2IChLSFRNTCwgbGlrZSBHZWNrbykgQ2hyb21lLzEwOC4wLjAuMCBTYWZhcmkvNTM3LjM2fDE2NzY5NDU3MzA4Mzk1\", Version=\"10.8.9\"");
        JSONObject requestMap = new JSONObject();
        requestMap.put("Username", "admin");
        requestMap.put("Pw", "admin");

        HttpEntity<JSONObject> entity = new HttpEntity<>(requestMap, headers);

        ObjectMapper objectMapper = new ObjectMapper();
        try {
            String similarJSON = objectMapper.writeValueAsString(requestMap);
            System.out.println(similarJSON);
        } catch (Exception e) {
            e.printStackTrace();
        }
        //使用JSONObject,不需要创建实体类VO来接受返参,缺点是别人不知道里面有哪些字段,即不知道有那些key
        JSONObject body = restTemplate.postForObject(url, entity, JSONObject.class);
        String accessToken = (String) body.get("AccessToken");
        Map<String, String> user = (LinkedHashMap<String, String>) body.get("User");
        String id = user.get("Id");
        System.out.println(accessToken);
        System.out.println(id);
    }
}

至此,对于上述开源软件token的学习就到这了,有不足的地方欢迎读者指正。

Ericheng.su
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
xxl-job2.3.0集成nacos配置,注册中心
05-11
xxl-job2.3.0任务调度中心集成nacos配置,注册中心,xxl-job是一款开源的分布式任务调度框架
grafana使用JWT
xc_zhb的博客
03-26 1020
项目背景:由于grafana的dashboard界面需要内嵌到自己的项目iframe中,而iframe又不能携带请求头这些进行登录访问,如果设置匿名登录就会造成无需密码就可以查看,对甲方来说这是一个严重漏洞,我就查阅了官方文档得出可以使用jwt进行url拼接token进行访问,由于官方文档具体流程不是很清晰,只讲述了配置,所以我这里记录一次从头到尾的实现jwt登录的操作。
第一次启动nacos启动注意事项
ygq_zj的博客
03-08 3041
nacos安装报错org.springframework.beans.factory.UnsatisfiedDependencyException: Error creating bean with name 'user': Unsatisfied dependency expressed through field 'jwtTokenManager'
Nacos漏洞总结复现
最新发布
Innocence_0的博客
05-21 1080
Nacos中发现影响Nacos
启动nacos/ 开启用户认证
yiXin_Chen的博客
01-20 4555
nacos 安装包的bin目录下 , 在地址栏输入cmd,输入以下命令启动 启动单个 : startup.cmd -m standalone 按集群启动: startup.cmd 访问管理界面: ip:8848/nacos 用户名与密码都是 : nacos 开启用户认证: 1. 打开配置文件: conf/application.properties 2. 修改: nacos.core.auth.enabled=true 3. 在项目的配置文件中添加用户名和密码 ...
解决“nacos默认secret.key配置不当权限绕过漏洞“
一只没有脚的鸟
01-10 3508
nacos 2.x及以下版本会有一个nacos默认secret.key配置不当权限绕过漏洞,等级为高危。形成原因是nacos的配置文件中存在这么一个secret.key会被他人利用进行提权从而达到系统受控的目的。对于这个漏洞大家需要第一时间进行排查,如果有相似情况,可根据本文进行修复。
springCloud-nacos简单使用(单机版)
weixin_39665200的博客
06-13 1339
发现此jar包nacos只更新到了2022年,所以总结就是nacos客户端对springboot的支持只到了2.x版本,所以如果是使用了springboot3.x版本的小伙伴,还是老老实实用springCloud吧,看下图可以看出,nacos对于springCloud的支持一直到了2023年。可以看到,我在配置中心只配置了server.port,那么修改这个属性的值为8070,再在本地telnet8070端口,是不通的。nacos.core.auth.server.identity.key : 登录名。
【Spring Cloud Alibaba】2.服务注册与发现(Nacos安装)
猫巳的博客
03-23 3737
我们要搭建一个`Spring Cloud Alibaba`项目就绕不开`Nacos`,阿里巴巴提供的`Nacos`组件,可以提供服务注册与发现和分布式配置服务,拥有着淘宝双十一十几年的流量经验,还是非常的可靠的。
nacos-server-2.0.3 nacos-server-2.0.3 nacos-server-2.0.3
04-08
nacos-server-2.0.3
nacos-server-1.4.1(Nacos安装指南)
08-16
Nacos Server 1.4.1是Nacos的一个版本,提供了许多强大的功能来帮助开发者构建和管理微服务架构。 这份资源包括了Nacos Server 1.4.1的安装文件以及安装指南。通过阅读这份资源,您将了解到Nacos的主要功能,以及...
nacos-nginx-template:通过Nacos让Nginx拥有服务发现能力
05-08
nacos-nginx-template 简介 本项目以Agent的形式让Nginx实现对Nacos的服务发现. 快速启动 下载二进制包 点击此处下载: 配置config.toml 配置文件使用进行配置 demo : {nacos-nginx-template.home}/conf/config.toml....
最新nacos-server-2.2.0下载
12-29
5. **安全性升级**:可能提升了安全认证授权机制,加强了数据保护。 6. **文档完善**:官方文档会更详细地介绍2.2.0版本的新特性和使用方法,帮助开发者更好地理解和使用新版本。 **三、Windows安装** 在...
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
热门推荐
Microhoo_苏福的博客
05-16 1万+
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
Nacos提权漏洞修复
weixin_44065695的博客
03-26 2773
Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。若您Nacos未修改 secret.key,则攻击者可利用默认secret.key生成JWT Token,从而造成权限绕过访问到相关API接口。Nacos 官方于 2023年3月2日发布 2.2.0.1 版本。
Nacos使用简记
weixin_46515691的博客
11-09 661
Nacos使用简记
nacos登陆鉴权
tlqwanttolearnit的博客
06-01 5196
开启鉴权之后,可以自定义用于生成JWT令牌的密钥,默认为空。自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。在2.2.0.1版本后,社区发布版本将移除以文档如下值作为默认值,需要自行填充,否则无法启动节点。密钥需要保持节点间一致,长时间不一致可能导致403 invalid token错误。
nacos2.2.1搭建
Brady74的博客
05-27 2375
账号密码:nacos/nacos启动成功。
nacos安装之后开启鉴权之后重启不来,起来之后报错密码错误,报错处理详细步骤
weixin_45290734的博客
06-02 4463
在这个网址:https://www.sojson.com/base64.html 随便输入一个32位的字符串,点击生成Base64,获取到Ba。这里的地址需要填上你的数据库地址,并创建nacos库,在conf目录下有一个sql文件,导入进去,会创建表和用户,用户密码是加密的。se64 粘贴到nacos.core.auth.plugin.nacos.token.secret.key=开启nacos账号密码登录,首先要修改配置。重启nacos服务,就可以登录了。
spring-cloud-alibaba-dependencies是否包含nacos
06-11
是的,`spring-cloud-alibaba-dependencies`中包含了`nacos`相关的依赖。具体来说,`spring-cloud-alibaba-dependencies`中定义了`nacos-client`和`nacos-discovery-spring-cloud-starter`这两个依赖的版本号。其中,`nacos-client`是`nacos`客户端的依赖,用于与`nacos`服务端进行通信;`nacos-discovery-spring-cloud-starter`是`nacos`的服务发现组件,在Spring Cloud项目中可以使用它来实现服务的注册和发现。 在使用`nacos`作为服务注册中心和配置中心时,可以直接引入`spring-cloud-starter-alibaba-nacos-discovery`和`spring-cloud-starter-alibaba-nacos-config`这两个Starter来使用`nacos`的服务发现和配置中心功能。这两个Starter会自动引入`nacos-client`和`nacos-discovery-spring-cloud-starter`等依赖。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值