Spring Cloud Gateway 实现Token校验

已于 2023-08-16 11:02:03 修改
阅读量9.8k 收藏 52
点赞数 7
文章标签: jwt oauth 网关 gateway
于 2020-07-16 17:53:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaojunma/article/details/107388930
版权

在我看来,在某些场景下,网关就像是一个公共方法,把项目中的都要用到的一些功能提出来,抽象成一个服务。比如,我们可以在业务网关上做日志收集、Token校验等等,当然这么理解很狭隘,因为网关的能力远不止如此,但是不妨碍我们更好地理解它。下面的例子演示了,如何在网关校验Token,并提取用户信息放到Header中传给下游业务系统。

1. 生成Token

用户登录成功以后,生成token,此后的所有请求都带着token。网关负责校验token,并将用户信息放入请求Header,以便下游系统可以方便的获取用户信息。

为了方便演示,本例中涉及三个工程

公共项目:commons-jwt

认证服务:auth-service

网关服务:gateway-service

1.1. Token生成与校验工具类

因为生成token在认证服务中,token校验在网关服务中,因此,我把这一部分写在了公共项目commons-jwt中

pom.xml

<dependencies>
    <dependency>
        <groupId>com.auth0</groupId>
        <artifactId>java-jwt</artifactId>
        <version>3.10.0</version>
    </dependency>
    <dependency>
        <groupId>org.apache.commons</groupId>
        <artifactId>commons-lang3</artifactId>
        <version>3.9</version>
    </dependency>
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>fastjson</artifactId>
        <version>1.2.66</version>
    </dependency>
</dependencies>

JWTUtil.java

public class JWTUtil {


    private static final String USER_INFO_KEY = "username";

    /**
     * 生成Token
     * @param issuser    签发者
     * @param username   用户标识(唯一)
     * @param secretKey  签名算法以及密匙
     * @param tokenExpireTime 过期时间
     * @return
     */
    public static String generateToken(String issuser, String username, String secretKey, long tokenExpireTime) {
        Algorithm algorithm = Algorithm.HMAC256(secretKey);

        Date now = new Date();

        Date expireTime = new Date(now.getTime() + tokenExpireTime);

        String token = JWT.create()
                .withIssuer(issuser)
                .withIssuedAt(now)
                .withExpiresAt(expireTime)
                .withClaim(USER_INFO_KEY, username)
                .sign(algorithm);

        return token;
    }

    /**
     * 校验Token
     * @param issuser   签发者
     * @param token     访问秘钥
     * @param secretKey 签名算法以及密匙
     * @return
     */
    public static void verifyToken(String issuser, String token, String secretKey) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(secretKey);
            JWTVerifier jwtVerifier = JWT.require(algorithm).withIssuer(issuser).build();
            jwtVerifier.verify(token);
        } catch (JWTDecodeException jwtDecodeException) {
            throw new TokenAuthenticationException(ResponseCodeEnum.TOKEN_INVALID.getCode(), ResponseCodeEnum.TOKEN_INVALID.getMessage());
        } catch (SignatureVerificationException signatureVerificationException) {
            throw new TokenAuthenticationException(ResponseCodeEnum.TOKEN_SIGNATURE_INVALID.getCode(), ResponseCodeEnum.TOKEN_SIGNATURE_INVALID.getMessage());
        } catch (TokenExpiredException tokenExpiredException) {
            throw new TokenAuthenticationException(ResponseCodeEnum.TOKEN_EXPIRED.getCode(), ResponseCodeEnum.TOKEN_INVALID.getMessage());
        } catch (Exception ex) {
            throw new TokenAuthenticationException(ResponseCodeEnum.UNKNOWN_ERROR.getCode(), ResponseCodeEnum.UNKNOWN_ERROR.getMessage()
最低0.47元/天 解锁文章
chaojunma
关注
  • 7
    点赞
  • 52
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
springcloudgateway+security vue token
08-02
启动redis 启动nacos 配置文件 设置 reids nacos地址端口 默认本地 分布式 网关gateway security
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
SpringCloud集成微服务API网关Gateway(详解)
最新发布
Tao_unafraid的博客
06-06 1428
本篇博客介绍了如何使用SpringCloud Gateway集成统一网关,探讨了网关的作用以及技术实现方式。从搭建网关服务、路由断言工厂、路由过滤器到全局过滤器,逐步深入讲解了实现原理和配置方法。此外,还详细讨论了跨域问题及解决方案,以CORS为例展示了如何在网关中进行跨域处理。通过本文,读者可以全面了解SpringCloud Gateway的基本原理和使用方法,以及如何解决常见的跨域问题。
【分享项目】给你看看我们公司的登录认证是怎么做的?!(SpringBoot+Shiro+Token+Redis)...
qq_18244417的博客
09-08 5708
背景交代以前项目中权限认证没有使用安全框架,都是在自定义filter中判断是否登录以及用户是否有操作权限的。最近开了新项目,搭架子时,想到使用安全框架来解决认证问题,spring sec...
26.gateway的IP 认证拦截,gatewaytoken验证 流程图(springcloud
weixin_59334478的博客
11-15 2976
一般把token放在请求头里面,请求头里面是key-value结构,key统一设置成Authorization value统一设置成 bearer token。1.拿到请求的url。5.在redis中校验
JAVA开发(token过期续期)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-13 4510
在使用token进行登录的过程中,如果token过期了,需要重新输入用户名和密码登录,这种体验肯定是不好的,因为如果一直在使用系统,系统应该一直能够保持登录状态,而不是用着用着就突然退出系统重新登录。
关于token无痛刷新的两个方案
Yugoup的博客
04-25 2258
目录方案一方案二 方案一 思路: 后端需要返回一个token过期的时间,在请求发起前拦截每个请求,判断token的有效时间是否已经过期,如果已过期,则暂时将请求挂起,先刷新token后再继续请求。 前期思考: 返回过期时间是为了判断是否过期的,但是如果服务器时间和系统时间不一致呢? 如果同时发起多个请求时怎么办? 实现: 因为是在请求前进行拦截,所以这里用axios的axios.interceptors.request.use()方法 首先,关于服务器时间和系统时间不一致的问题,我的解决方法是:
GateWay网关自定义过滤器实现token校验完成统一鉴权
weixin_44894196的博客
03-02 2182
GateWay网关自定义过滤器实现token校验完成统一鉴权
spring cloud gateway实现token校验
SuperBins的博客
09-18 4015
需求: 对访问网关的请求进行token校验,只有当token校验通过时,才转发到后端服务,否则直接返回401 本文适用场景: token存放在redis中, key为用户的uid 开始 依赖的pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0....
使用gateway网关实现分布式系统的token校验
m0_55554710的博客
08-18 1934
在分布式系统中使用gateway网关实现一个对所有请求进行统一token校验的监听器
SpringCloud(八):API网关整合OAuth2认证授权服务
03-27
SpringCloud(八):API网关整合OAuth2认证授权服务。
Spring Cloud Gateway使用Token验证详解
08-26
主要介绍了Spring Cloud Gateway使用Token验证详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Cloud Feign统一设置验证token实现方法解析
08-18
Spring Cloud Feign统一设置验证token实现方法解析 Spring Cloud Feign是一个基于Netflix的Feign组件,提供了一个简洁的方式来构建RESTful风格的微服务接口。Feign组件提供了一个统一的接口调用方式,使得微服务...
springcloud-gateway-master.zip
03-03
gateway网关的微服务,其中包含鉴权,jwttoken登录、可以设置白名单、配置单接口熔断的时间以及全局微服务调用熔断降级的时间、网关限流(设置了还未尝试)、过滤以及重试(需要自己去补充)、在网关中配置静态...
Spring项目中使用Jwt完成Token验证
服务员的博客
10-24 4591
一、什么是JWT?为什么使用JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 随着技术的发展,分布式web应用的普及,通过se.
Spring--解决拦截器中注入Bean失败的问题
IT利刃出鞘的博客
06-17 2900
说明 本文用示例介绍如何解决拦截器中注入Bean失败的问题。 场景 Token拦截器中需要用@Autowired注入JavaJwtUtil类,结果发现注入的JavaJwtUtil为Null。 原因 拦截器的配置类是以new JwtInterceptor的方式使用的,那么这个JwtInterceptor不受Spring管理。因此,里边@Autowired注入JavaJwtUtil是不会注入进去的。.........
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 7901
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证。
SpringCloud整合Sa-Token登录认证+Gateway网关拦截
yangjiaaiLM的博客
09-07 9860
SpringCloud整合Sa-Token登录认证+Gateway网关拦截,注解拦截配置教程
springcloudgateway token
07-15
Spring Cloud Gateway是一个轻量级的网关框架,它可以作为微服务架构中的入口,实现代理和路由功能。在进行身份验证和授权时,可以使用Token进行安全验证。 Token是一种令牌,通常由后端服务颁发给客户端,用于验证客户端的身份和权限。在Spring Cloud Gateway中使用Token可以通过以下方式实现: 1. 首先,客户端在请求头中携带Token,可以使用常见的认证方案,如Bearer Token。在路由的配置文件中,可以通过添加过滤器来获取请求头中的Token,并进行验证。 2. 在网关层,可以编写自定义的GlobalFilter过滤器,在请求到达后执行Token的验证逻辑。可以通过解析Token的信息,比如用户名、角色等,来进行用户身份验证和授权操作。 3. 在网关层,还可以使用Spring Security进行身份验证和授权。Spring Security提供了丰富的特性,如基于角色的访问控制、加密解密等。可以通过配置Spring Security的过滤器链来实现Token验证的功能。 使用Token进行安全验证的好处是,可以将验证逻辑移到网关层,使后端服务更加专注于业务逻辑的实现Token的使用可以提供更高的灵活性和安全性,保护后端服务免受未经授权的访问。 总之,Spring Cloud Gateway可以通过添加过滤器、编写GlobalFilter过滤器或使用Spring Security来实现Token的安全验证。这样可以保护后端服务,确保只有经过身份验证和授权的客户端能够访问服务。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值