OAuth2.0实战,使用JWT令牌认证

最新推荐文章于 2024-06-07 15:47:40 发布
最新推荐文章于 2024-06-07 15:47:40 发布
阅读量5.1k 收藏 21
点赞数 2
文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/best_luxi/article/details/121960777
版权

点击“终码一生”,关注,置顶公众号

每日技术干货,第一时间送达!

今天这篇文章介绍一下OAuth2.0如何集成JWT颁发令牌,这也是目前企业中主流的令牌形式。

文章目录如下:

图片

什么是JWT?

OAuth2.0体系中令牌分为两类,分别是透明令牌、不透明令牌。

不透明令牌则是令牌本身不存储任何信息,比如一串UUID,上篇文章中使用的InMemoryTokenStore就类似这种。

因此资源服务拿到这个令牌必须调调用认证授权服务的接口进行令牌的校验,高并发的情况下延迟很高,性能很低,正如上篇文章中资源服务器中配置的校验,如下:

图片

透明令牌本身就存储这部分用户信息,比如JWT,资源服务可以调用自身的服务对该令牌进行校验解析,不必调用认证服务的接口去校验令牌。

JWT相信大家都有了解,分为三部分,分别是头部、载荷、签名,如下:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJhdWQiOlsicmVzMSJdLCJ1c2VyX25hbWUiOiJ1c2VyIiwic2NvcGUiOlsiYWxsIl0sImV4cCI6MTYzODYwNTcxOCwiYXV0aG9yaXRpZXMiOlsiUk9MRV91c2VyIl0sImp0aSI6ImRkNTVkMjEzLThkMDYtNGY4MC1iMGRmLTdkN2E0YWE2MmZlOSIsImNsaWVudF9pZCI6Im15anN6bCJ9.
koup5-wzGfcSVnaaNfILwAgw2VaTLvRgq2JVnIHYe_Q

头部定义了JWT基本信息,如类型和签名算法。

载荷包含了一些基本信息(签发时间、过期时间.....),另外还可以添加一些自定义的信息,比如用户的部分信息。

签名部分将前两个字符串用 . 连接后,使用头部定义的加密算法,利用密钥进行签名,并将签名信息附在最后。

OAuth2.0认证授权服务搭建

OAuth2.0分为认证授权中心、资源服务,认证中心用于颁发令牌,资源服务解析令牌并且提供资源。

1、案例架构

新建oauth2-auth-server-jwt模块,沿用上篇文章妹子始终没搞懂OAuth2.0,今天整合Spring Cloud Security 一次说明白!的代码,在其之上做些修改,目录如下:

图片

2、令牌配置

令牌相关的配置都放在了AccessTokenConfig这个配置类中,代码如下:

图片

1、 JwtAccessTokenConverter

令牌增强类,用于JWT令牌和OAuth身份进行转换

2、TokenStore

令牌的存储策略,这里使用的是JwtTokenStore,使用JWT的令牌生成方式,其实还有以下两个比较常用的方式:

  • RedisTokenStore:将令牌存储到Redis中,此种方式相对于内存方式来说性能更好

  • JdbcTokenStore:将令牌存储到数据库中,需要新建从对应的表,有兴趣的可以尝试

3、SIGN_KEY

JWT签名的秘钥,这里使用的是对称加密,资源服务中也要使用相同的秘钥进行校验和解析JWT令牌。

注意:实际工作中还是要使用非对称加密的方式,比较安全,这种方式后续文章介绍。

3、令牌管理服务的配置

这个放在了AuthorizationServerConfig这个配置类中,代码如下:

图片

使用的是DefaultTokenServices这个实现类,其中可以配置令牌相关的内容,比如access_token、refresh_token的过期时间,默认时间分别为12小时、30天。

最重要的一行代码当然是设置令牌增强,使用JWT方式生产令牌,如下:

services.setTokenEnhancer(jwtAccessTokenConverter);

4、令牌访问端点添加tokenServices

在AuthorizationServerEndpointsConfigurer中添加这个令牌服务,代码如下:

图片

好了,至此认证中心的JWT令牌生成方式配置完成了.........

案例源码已经上传GitHub,关注公众号:码猿技术专栏,回复关键词 9529 获取!

OAuth2.0资源服务搭建

资源服务搭建非常简单了,配置一个JWT令牌校验服务即可。

1、案例架构

新建一个oauth2-auth-resource-jwt模块,目录如下:

图片

2、令牌配置

直接复用授权服务的AccessTokenConfig,由于资源服务需要校验解析JWT令牌,因此直接复用即可,代码如下:

图片

注意:这里的JWT加密的秘钥一定要和认证中心的一样。

3、配置令牌服务

生成的ResourceServerTokenServices对象,其中使用JWT令牌增强,如下:

图片

4、资源ID和令牌校验服务配置

将资源id和令牌服务配置到ResourceServerSecurityConfigurer中,代码如下:

图片

由于使用了JWT这种透明令牌,令牌本身携带着部分用户信息,因此不需要通过远程调用认证中心的接口校验令牌。

案例源码已经上传GitHub,关注公众号:码猿技术专栏,回复关键词 9529 获取!

测试

下面通过获取令牌、调用资源进行测试逻辑是否走通。

1、使用密码模式获取令牌

POSTMAN请求如下:

图片

可以看到已经成功返回了JWT令牌。

2、携带令牌调用资源服务

直接拿着获取的access_token调用资源服务的接口,请求如下:

图片

好了,JWT令牌测试成功............

源码追踪

源码中最重要的部分当然是获取令牌、校验令牌这两个流程了,小陈某下面详细说说。

1、获取令牌

获取令牌就比较简简单了,当然从接口 /oauth/token入手了,这个接口在TokenEndpoint#postAccessToken()方法中,如下图:

图片

这个方法中有两个关键步骤,如下:

1、根据clientId加载客户端信息

这一步是从根据客户端传入的clientId获取客户端的详细信息,代码如下:

ClientDetails authenticatedClient = getClientDetailsService().loadClientByClientId(clientId);

这里的ClientDetailsService有两类,如下:

  • InMemoryClientDetailsService:客户端配置存储在内存中,本篇文章所使用的便是这个

  • JdbcClientDetailsService:客户端配置存储在数据库中,后续文章介绍。

2、生成OAuth2AccessToken返回客户端

OAuth2AccessToken是封装的返回对象,/oauth/token这个接口的作用就是将令牌封装到OAuth2AccessToken返回,代码如下:

OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);

getTokenGranter():获取授权类型,比如密码类型、授权码类型

grant():这个方法则是真正的业务方法,其中调用DefaultTokenServices#createAccessToken() 方法生成令牌。

DefaultTokenServices这个还记得吗,令牌服务,在AuthorizationServerConfig配置文件配置的,如下:

图片

createAccessToken()方法内部真正的业务方法其实是JwtAccessTokenConverter#enhance(),内部生成JWT令牌,封装进入OAuth2AccessToken对象返回,方法如下:

图片

JwtAccessTokenConverter这个还记得吗?令牌增强类,在AccessTokenConfig这个配置文件中配置的,如下:

图片

主流程图如下:

图片

2、校验令牌

校验令牌的更加简单了,入口就在OAuth2AuthenticationProcessingFilter这个过滤器,内部会调用OAuth2AuthenticationManager中的authenticate()方法进行验证令牌。

校验主流程如下:

图片

自己debug跟着源码试试吧...

终码一生
关注
  • 2
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SpringCloud | 三、Spring Security OAuth2+JWT授权服务[Finchley版]
GiraffePeng的博客
08-01 1391
OAuth2.0是一套授权体系的开放标准,定义了四大角色: * 资源拥有者,也就是用户,由用于授予三方应用权限 * 客户端,也就是三方应用程序,在访问用户资源之前需要用户授权 * 资源提供者,或者说资源服务器,提供资源,需要实现Token和ClientID的校验,以及做好相应的权限控制 * 授权服务器,验证用户身份,为客户端颁发Token,并且维护管理ClientID、Token以及用户
Spring Security OAuth2.0
06-19
JWT是一种轻量级的身份验证机制,Spring Security OAuth2.0 可以与JWT结合,生成和验证包含用户信息和过期时间的令牌,减少服务器间的通信成本。 **7. 扩展性** Spring Security OAuth2.0 具有良好的扩展性,可以与...
Oauth2.0+JWT
klcss的博客
04-13 128
授权服务器:用于对资源拥有者的身份进行认证,对访问资源进行授权。客户端如果想要访问资源的话需要 资源拥有者 通过向 授权服务器 授权后才可以访问。OAuth 2.0 :OAuth2被称为授权框架(或规范框架),其主要目的是允许第三方网站或应用程序访问资源。资源服务器:存储资源的服务器,客户端最终需要通过资源服务器来获取资源。客户端:本身不存储资源,需要通过资源拥有者去请求资源服务器的资源。资源拥有者:通常可以理解为用户。
OAuth2结合JWT
Curtisjia的博客
11-01 2573
OAuth2结合JWT 无状态登录 什么是有状态 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 session,然后下次请求,用户携带 cookie 值来(这一步有浏览器自动完成),我们就能识别到对应 session,从而找到用户的信息。这种方式目前来看最方便,但是也有一些缺陷,如下: 服
JwtAccessConverter&JwtTokenStore&jdbc建表结构
最新发布
pscool的博客
06-07 378
可参考:https://www.cnblogs.com/hellxz/p/12044340.html。下载对应的openssl版本,只需要一直点下一步即可,安装完毕后,将它的bin目录配置到环境变量。在my-auth.jks同目录下,执行命令导出公钥,需要输入口令:123456。使用jwt(非对称加密)
Oauth2系列9:JWT令牌各种实现
weigeshikebi的博客
10-07 1673
Oauth2系列1:初识Oauth2Oauth2系列2:授权码模式Oauth2系列3:接入前准备Oauth2系列4:密码模式Oauth2系列5:客户端凭据模式Oauth2系列6:隐式模式Oauth2系列7:授权码和访问令牌的颁发流程是怎样实现的?Oauth2系列8:何谓JWT令牌
oauth2.0--基础--04--搭建JWT
zhou920786312的博客
11-01 868
1、介绍 框架:spring sercurity+oauth2.0+JWT 需要完成下面的内容 oauth2.0–基础–03–简单搭建认证服务器,资源服务器 2、JWT 2.1、JWT 概念 JSON Web Token 一种简介的、自包含的协议格式 用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。 JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。 2.2、优点 jwt基于json,非常方便解析 可以在令牌中自定义丰富的内容,易扩展 通过非对称
Spring Security+JWT+OAuth2实现同一账号重复登录时第一次登陆成功的强制下线(包括多平台使用同一个登陆系统的)
m0_53559551的博客
07-08 3462
引言 我们后台项目是用Spring Security+JWT+OAuth2做的安全框架,现在有个需求就是同一账号重复登录时第一次登陆成功的强制下线。尝试了很多方法无果,当时真的是被弄得焦头烂额了。最后功夫不负有心人,最后找到了解决方案,下面跟大家分享下。 单平台 具体实现方案就是重写DefaultTokenServices的createAccessToken方法(下发token的方法) 虽说是重写但是我们新建了一个SingleTokenServices类,将DefaultTokenServices中的方法复
Advanced API Security OAuth 2.0 And Beyond-Apress
03-22
3. **JWT(JSON Web Tokens)与OAuth 2.0的结合**:JWT是用于在各方之间安全传输信息的开放标准,通常与OAuth 2.0一起使用,以实现轻量级的身份验证和授权。书会解释JWT的工作原理,以及如何在API中有效地使用它们。...
spring oauth2.0
04-30
标题 "spring oauth2.0" 指的是Spring Security OAuth2框架,这是一个广泛使用Java库,用于实现OAuth2协议,该协议主要用于授权第三方应用访问用户资源。OAuth2允许用户在不泄露自己的凭据(如用户名和密码)的...
akm-project-parent.zip
02-16
总结,本指南旨在帮助开发者理解并掌握Spring Security、OAuth2.0JWT和Dubbo的集成应用,通过理论知识与实战案例的结合,提升开发效率和系统的安全性。通过深入学习和实践,你可以构建出更加健壮、安全的企业级...
OAuth.2.in.Action.pdf
04-03
接着,书中详细阐述了OAuth 2.0的安全性考虑,包括如何防止CSRF攻击、如何处理刷新令牌、以及如何使用JWT(JSON Web Tokens)进行安全的身份验证和授权。此外,还讨论了授权范围的概念,允许用户指定客户端可以访问...
清晰明了的使用Spring Security+JWT实现接口授权
MyKelly_2013
06-26 775
      在系统中将自己的API接口给相关系统调用是很平常的事,根据需求给不同的接口划分一定的权限级别也正常不过,所以我们一般会对所调用接口做一个授权动作,相当于是一个登录操作,只能登录了系统才可以进行后续的接口调用。目前比较流行的方案有几种: 用户名和密码鉴权,使用Session保存用户鉴权结果。 使用OAuth进行鉴权(其实OAuth也是一种基于Token的鉴权,只是没有规定Token的生成方式) 自行采用Token进行鉴权  
JWT生成token的四种处理方式
qq_43611893的博客
08-12 3553
JWT生成token的三种处理方式基本思路1.0实现2.0实现3.0实现4.0实现最终实现后端前端(VUE) 基本思路 access_token 过期设置为15分钟 前端发起请求,后端验证access_token是否过期;如果过期,前端发起refresh_token请求,后端设置已再次授权标记为true,请求成功 前端发起请求,后端验证再次授权标记,如果已经再次授权,则拒绝refresh_token的请求,请求成功 如果前端每隔72小时,必须重新登录,后端检查用户最后一次登录日期,如超过72小时,则拒绝刷
Spring Oauth2+JWT后端自动刷新Access_token
程序员小乐
08-26 2826
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文Sometimes it's not the person yo...
AccessToken和JwtToken使用经验
xzlAwin的博客
04-01 1463
AccessToken和JwtToken使用经验 AccessToken 优点:刷新令牌后,上一个令牌失效 缺点:不支持加密传输数据 JwtToken 优点:支持加密传输数据 缺点:刷新令牌后,之前的令牌不会失效 建议: 1.如果你想废弃之前的令牌,建议使用AccessToken 2.如果你想传输普通数据,不建议传输敏感数据,推荐使用JwtToken 3.如果你即想传输数据,又想手动控制令牌失效,建议使用redis存储令牌白名单,手动控制失效,这样做可能违背token无状态设计原理来换取token绝对
后端利用accessToken与refreshToken无感刷新
没有翅膀的我们,只是随便认为不能飞而已
06-15 5330
项目初衷 以jwt(由header,payload和signature组成)为例,用户登录成功,后端返回accessToken。前端保存,请求接口携带,一切都是水到渠成的 可是在acessToken失效时,你正好请求一次接口,接口就挂了,可能你就跳到登录页了,用户体验也不好。我们希望虽然过期了,但是页面偷偷地刷新,不影响当前接口运行。如果你的方案是把accessToken的有效期设置地久一点,比如100年。你真的是个机智Boy,那设置jwt的意义何在。 方案 accessToken和refreshToken
轻松学会使用JWT,让你的OAuth2.0实现更加安全高效!
wuli1024的博客
12-07 1098
JSON Web Token(JWT)是一个开放标准(RFC 7519),定义了一种紧凑、自包含的方式,作为JSON对象在各方之间安全地传输信息,结构化封装的方式生成token。结构化后的token可被赋予丰富含义,这是与无意义的随机字符串形式token的最大区别。既然授权服务颁发令牌,受保护资源服务就要验证令牌。而受保护资源调用授权服务提供的检验令牌的服务的这种校验令牌方式就叫令牌内检。OAuth 2.0 的核心是授权服务,没有令牌就没有OAuth,令牌表示授权后的结果。
oauth2.0+jwt 源码探究之旅
weixin_30746117的博客
06-19 375
oauth2.0协议是一种对外开放式协议,主要用于第三方登录授权。 例如:在豆瓣官网点击用qq登录 以及微信的授权都是基于oauth2.0协议做的。 oauth2.0认证流程 (A)用户打开客户端,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权(一般是Code),向认证服务器申请令牌TOKEN。 (D)认证服务器对客户端进行...
oauth2.0如何验验证 jwttoken
08-23
OAuth2.0中,验证JWT Token的方式可以通过配置RemoteTokenServices来实现。当资源服务与授权服务不在同一处时,资源服务可以通过远程请求授权服务来验证JWT Token的有效性。这种方式可以避免资源服务直接解析和验证Token带来的性能压力。 具体实现步骤如下: 1. 在资源服务的配置文件中,配置RemoteTokenServices,设置授权服务的URL、ClientId和ClientSecret等信息。 2. 当资源服务收到请求时,从请求Header中获取JWT Token。 3. 调用RemoteTokenServices的方法,将JWT Token传递给授权服务进行验证。 4. 授权服务验证JWT Token的有效性,并返回验证结果给资源服务。如果Token有效,则资源服务可以继续处理请求;如果Token无效,则资源服务可以拒绝请求或者重新进行身份认证。 通过以上步骤,资源服务可以通过远程请求授权服务来验证JWT Token的有效性,从而确保接收到的Token是合法的。这种方式可以提高系统的性能,尤其在访问量较大时能够减轻资源服务的负担。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [OAuth2.0实战 使用JWT令牌认证](https://blog.csdn.net/Pastxu/article/details/124538331)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [OAuth2.0 - 使用JWT替换Token 及 JWT内容增强](https://blog.csdn.net/qq_43692950/article/details/122525414)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

终码一生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值