微服务授权服务Oauth2 + JWT

最新推荐文章于 2024-07-23 16:36:07 发布
最新推荐文章于 2024-07-23 16:36:07 发布
阅读量609 收藏 1
点赞数
文章标签: spring jwt oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XiaMen_BuYu/article/details/103724203
版权
本文介绍了如何使用Spring Cloud Oauth2和JWT实现微服务的统一授权服务。通过分析JWT的基本原理和角色,提出了在资源服务中验证Token的有效性的优化方案。文中还详细展示了关键代码,包括AuthorizationServerConfig和ResourceServerConfig的配置,以及讨论了源码中OAuth2AuthenticationProcessingFilter和不同TokenStore的工作机制。
摘要由CSDN通过智能技术生成

该博客所有的文章都是自己的学习记录,方便后续复习,达到快速回顾知识点的作用。

本文章参考资料如下:

文章目录

  • 需求描述
  • 基础知识
  • 个人理解
  • 关键代码
  • 源码解析

需求描述

企业会员系统(以下简称:EMS)采用微服务思路来搭建,所以会存在多个子系统的情况。每个子系统都涉及用户权限问题,每个子系统都实现一套权限明显不可能,所以需要实现统一登陆和统一权限控制。

通过查阅资料以及项目成员头脑风暴得出结论:使用Spring Clound Oauth2来实现。

基础知识

JWT

全称:Json Web Token.由三部分组成。分别是header(头信息),payload(有效载荷)以及Signature(签名)。

角色介绍

资源所有者

Owner:掌握资源信息的角色。

客户端

Client:系统客户端,例如手机浏览器。

授权服务

AuthorizationServer:提供授权服务。

资源服务

ResourceServer:提供资源服务。

个人理解

初步理解

在这里插入图片描述

如果按这种思路来实现,存在弊端:资源服务每次都需要验证Token是否有效。

优化方案

在这里插入图片描述

优点:避免每次都通过授权服务来验证Token的有效性;可以通过清除Redis上的Token,来达到清除用户登录信息效果。

关键代码

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

    ......
    
    <dependencies>
        .......
        
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-oauth2</artifactId>
        </dependency>
        
        ......
        
        <!-- mysql的jar包 -->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

        <!-- redis -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

        <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt -->
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>
    </dependencies>
</project>

最低0.47元/天 解锁文章
瑾析编程
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
OAuth2与 JWT 做认证授权服务(四)
weixin_44400390的博客
07-31 863
OAuth2与 JWT 做认证授权服务 为了保证服务对外的安全性,往往都会在服务接口采用权限校验机制,为了防止客户端在发起请求中途被篡改数据等安全方面的考虑,还会有一些签名校验的机制。 在分布式微服务架构的系统中,我们把原本复杂的系统业务拆分成了若干个独立的微服务应用,我们不得不在每个微服务中都实现这样一套校验逻辑,这样就会有很多的代码和功能冗余,随着服务的扩大和业务需求的复杂度不断变化,修改校验...
OAuth2:使用JWT令牌
Leon_Jinhai_Sun的博客
07-31 706
OAuth2:使用JWT令牌
微服务安全——OAuth2.1详解、授权码模式、SpringAuthorizationServer实战、SSO单点登录、Gateway整合OAuth2
最新发布
qq_44027353的博客
07-23 2538
Spring Authorization Server 是一个框架,它提供了 和 规范以及其他相关规范的实现。它建立在 Spring Security 之上,为构建 OpenID Connect 1.0 身份提供者和 OAuth2 授权服务器产品提供了一个安全、轻量级和可定制的基础。说白了,Spring Authorization Server 就是一个认证(授权服务器。官方主页:https://spring.io/projects/spring-authorization-server因为随着网络和
微服务架构 | 7.2 构建使用 JWT 令牌存储的 OAuth2 安全认证
多氯环己烷的博客
02-03 520
JWTOAuth2 令牌提供规范标准,并且可以自定义 JWT 令牌;
授权中心(JWT)
Mojard的博客
05-20 1424
0.学习目标 1.无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展
权限管理SpringSecurity Oauth2整合JWT实战总结(三)
FlyingFish868的博客
03-26 1051
1、JWT 1.1、基本的认证机制 1) HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放RESTful API时,尽量避免采用HTTP Basic Auth。 2) Cookie Auth Cookie认证机制就是为
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring Security是Spring框架的一个模块,专门...
微服务统一认证方案Spring Cloud OAuth2+JWT
Ginnnnnnn的博客
11-07 3447
微服务统一认证方案
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
微服务统⼀认证⽅案 Spring Cloud OAuth2 + JWT
小城我家
08-28 580
微服务架构下统⼀认证思路 基于Session的认证⽅式 在分布式的环境下,基于session的认证会出现⼀个问题,每个应⽤服务都需要在session中存储⽤ 户身份信息,通过负载均衡将本地的请求分配到另⼀个应⽤服务需要将session信息带过去,否则 会重新认证。我们可以使⽤Session共享、 Session黏贴等⽅案。 Session⽅案也有缺点,⽐如基于cookie,移动端不能有效使⽤等 基于token的认证⽅式 基于token的认证⽅式,服务端不⽤存储认证数据,易维护扩展性强, 客户端可以把toke
九.SpringCloud+Security+Oauth2实现微服务授权 - Oauth2&JWT的认识
墨家巨子@俏如来
10-24 2303
1.Oauth2概述 OAUTH协议为用户资源授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源授权,因此OAUTH是安全的,oAuth是Open Authorization的简写,目前的版本是2.0版。 2.Oauth2的认证流程 这里以Oauth2授权码模式为例 这里以云打印案例举例,张三想要通过云打印平台打印QQ空间的照片,传统的流程是张三把QQ账号交给
GO微服务实战第二十六节 如何设计基于 OAuth2 和 JWT 的认证与授权服务体系
fegus的博客
08-24 802
在上一课时中,我们介绍了在微服务架构中存在的一些必要性和挑战,并介绍了 3 种主流的统一认证与授权方案,包括 OAuth2、分布式 Session 和 JWT。在本课时,我们将基于 OAuth2 和 JWT 设计一个认证与授权服务,让其。微服务架构的演进使得服务体系变得分散,如果让每个微服务独立管理自身的用户信息容易造成信息隔离,阻碍应用的发展,因此将分散的认证和授权进行统一管理显得尤为必要。
springCloud微服务系列——单点登录OAuth2+JWT
guduyishuai的博客
04-29 2万+
    研究了好久的springCloud微服务架构,在这里整理总结一下,做个梳理和备忘。    这次总结的是微服务之间的认证。最近实现了一个基于spring security的适合单体应用和分布式应用,适合app和浏览器的一套自用鉴权框架。算是对spring security有了点比较深入的认识了,这里说一下通过OAuth2+JWT来解决微服务之间的鉴权问题。    这里不会涉及到细节问题,关于...
SpringCloud微服务间安全调用实现(SpringSecurity+Oauth2+Jwt
热门推荐
q438944209的博客
04-04 4万+
【Java中高级课程推荐-全部免费】 http://www.maj...
浅析单点登录(重点讲解OAuth2+JWT
m0_49499183的博客
01-14 3003
一、登录的常见方式 1、单一服务器模式 使用session对象实现。 在登录成功后,把用户数据放到session里面 session.setAttribute("user", user); 当需要判断是否登录时,就从session里面取数据,如果可以获取到,就是已经登录了。 session.getAttribute("user"); 早期单一服务器(例如只有一台Tomcat)常用这种用户认证模式。 ...
微服务统一认证方案 Spring Cloud OAuth2 + JWT
小松de博客
01-06 1651
目录1. 微服务架构下统⼀认证介绍2. 微服务架构下统⼀认证思路2.1 基于 session 的认证⽅式2.2 基于 token 的认证⽅式3. OAuth2 开放授权协议 / 标准3.1 OAuth2 相关介绍3.2 OAuth2 协议⻆⾊和流程3.3 什么情况下需要使⽤ OAuth23.4 OAuth2 颁发 Token授权⽅式4. Spring Cloud OAuth2 + JWT 的实现4.1 Spring Cloud OAuth2 介绍4.2 Spring Cloud OAuth2 构建微服
springCloud微服务系列——OAuth2+JWT模式下的【资源服务器】获得【自定义信息】
guduyishuai的博客
06-30 8000
       回过头来说一下资源服务器的问题点吧,这里OAuth2+JWT用的是spring security,具体怎么用spring security搭建资源服务器我就不说了。这里要讨论的问题是这样的,我们希望在spring mvc中,直接通过如下的形式获得登录用户信息@GetMapping("/me") public Authentication me(OAuth2Authentication...
springboot整合spring security+oauth2+jwt搭建认证服务器,网关,微服务之间权限认
11-21
Spring Boot是一个用于构建独立的、生产级别的基于Spring的应用程序的框架,而Spring Security是Spring的一个强大的安全框架,用于身份验证和授权OAuth2是一种用于授权的开放标准,JWT是一种用于在用户和服务器之间传递安全信息的开放标准。这些技术的整合可以帮助我们构建一个完善的认证服务器,网关和微服务之间的权限认证系统。 首先,我们可以使用Spring Boot整合Spring Security来构建认证服务器。通过Spring Security提供的各种认证和授权功能,我们可以实现用户的身份验证和授权管理。然后,结合OAuth2的开放标准,我们可以实现用户的授权码、密码、客户端凭证和刷新令牌等授权方式,从而提高系统的安全性和灵活性。 接着,我们可以利用Spring Boot搭建网关来统一管理微服务之间的访问权限。通过网关,我们可以对各个微服务进行统一的权限验证和访问控制,从而实现统一的安全管理和监控。 最后,我们可以在微服务中集成JWT来实现基于令牌的安全验证。JWT可以帮助我们在客户端和服务器之间传递安全信息,并通过签名和加密保障信息的安全性。 总之,通过Spring Boot整合Spring Security、OAuth2和JWT,我们可以构建一个完善的认证服务器、网关和微服务之间的权限认证系统,从而实现系统的安全可靠和权限灵活控制。这将有助于我们构建高效、安全的微服务架构,并为用户提供更加可靠的服务
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

瑾析编程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值