0 JWT是什么
JWT(JSON Web Token)是一种开放标准,它以一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。
其认证原理是,客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。
0.1 JWT的结构
一个JWT是一个字符串,其由Header(头部)、Payload(负载)和Signature(签名)三个部分组成,中间以.号分隔,其格式为Header.Payload.Signature。
Header
Header本质是一个JSON对象
Payload
JWT的第二组成部分被称作载荷,其本质也是一个JSON对象,用来存放认证所需的一些额外声明,其包含有一种类型:标准中注册的声明(registered),公共的声明(public), 和私有的声明(private claims),其中公有声明和私有声明可自定义字段。标准中注册的声明 (建议但不强制使用)
Signature
JWT的第三组成部分是签名,它是对前面两个部分的签名。比如,如果JWT中Header指定的算法是 MAC SHA256,那么Signature为,其中secret加解密使用的密钥
1 JWT用作接口鉴权
由于JWT的天然无状态,在JWT生成的一刻,其过期时间就已经注定了,并且不可更改,所以,如果要对JWT实现token续签的话,一般的做法是额外生成一个refreshToken用于获取新token,refreshToken需存储于服务端,其过期时间可以比JWT的过期时间要稍长。
在Spring Cloud微服务框架下,要实现接口的鉴权,最好的方式就是通过Spring Cloud Gateway网关服务来完成。网关提供了统一服务的访问接口,客户端在调用服务时,须先经过网关,网关进行权限的校验,对非法请求进行过滤后再进行请求的转发,以此来完成鉴权。
接下来,我们通过在网关中使用JWT实现一个简单的鉴权服务。
其授权基本流程:
1 用户提交账号密码,服务生成token和refreshToken并返回,其中refreshToken设置过期时间,并关联用户身份和当前的token;
2 用户请求服