Spring Cloud Gateway 实现Token校验

已于 2023-08-16 11:02:03 修改
阅读量1w 收藏 52
点赞数 7
文章标签: jwt oauth 网关 gateway
于 2020-07-16 17:53:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaojunma/article/details/107388930
版权
本文介绍了如何在Spring Cloud Gateway中实现Token的生成与校验,通过在网关层进行Token验证,确保请求的安全性。详细步骤包括:1. 用户登录成功后生成JWT Token;2. 使用公共项目中的工具类进行Token的生成与校验;3. 在认证服务中生成Token;4. 在网关服务中实现GlobalFilter进行Token校验。文中还提供了相关代码示例和配置说明。
摘要由CSDN通过智能技术生成

在我看来,在某些场景下,网关就像是一个公共方法,把项目中的都要用到的一些功能提出来,抽象成一个服务。比如,我们可以在业务网关上做日志收集、Token校验等等,当然这么理解很狭隘,因为网关的能力远不止如此,但是不妨碍我们更好地理解它。下面的例子演示了,如何在网关校验Token,并提取用户信息放到Header中传给下游业务系统。

1. 生成Token

用户登录成功以后,生成token,此后的所有请求都带着token。网关负责校验token,并将用户信息放入请求Header,以便下游系统可以方便的获取用户信息。

为了方便演示,本例中涉及三个工程

公共项目:commons-jwt

认证服务:auth-service

网关服务:gateway-service

1.1. Token生成与校验工具类

因为生成token在认证服务中,token校验在网关服务中,因此,我把这一部分写在了公共项目commons-jwt中

pom.xml

<dependencies>
    <dependency>
        <groupId>com.auth0</groupId>
        <artifactId>java-jwt</artifactId>
        <version>3.10.0</version>
    </dependency>
    <dependency>
        <groupId>org.apache.commons</groupId>
        <artifactId>commons-lang3</artifactId>
        <version>3.9</version>
    </dependency>
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>fastjson</artifactId>
        <version>1.2.66</version>
    </dependency>
</dependencies>

JWTUtil.java

public class JWTUtil {


    private static final String USER_INFO_KEY = "username";

    /**
     * 生成Token
     * @param issuser    签发者
     * @param username   用户标识(唯一)
     * @param secretKey  签名算法以及密匙
     * @param tokenExpireTime 过期时间
     * @return
     */
    public static String generateToken(String issuser, String username, String secretKey, long tokenExpireTime) {
        Algorithm algorithm = Algorithm.HMAC256(secretKey);

        Date now = new Date();

        Date expireTime = new Date(now.getTime() + tokenExpireTime);

        String token = JWT.create()
                .withIssuer(issuser)
                .withIssuedAt(now)
                .withExpiresAt(expireTime)
                .withClaim(USER_INFO_KEY, username)
                .sign(algorithm);

        return token;
    }

    /**
     * 校验Token
     * @param issuser   签发者
     * @param token     访问秘钥
     * @param secretKey 签名算法以及密匙
     * @return
     */
    public static void verifyToken(String issuser, String token, String secretKey) {
        try {
            Algorithm algorithm = Algorithm.HMAC256(secretKey);
            JWTVerifier jwtVerifier = JWT.require(algorithm).withIssuer(issuser).build();
            jwtVerifier.verify(token);
        } catch (JWTDecodeException jwtDecodeException) {
            throw new TokenAuthenticationException(ResponseCodeEnum.TOKEN_INVALID.getCode(), ResponseCodeEnum.TOKEN_INVALID.getMessage());
        } catch (SignatureVerificationException signatureVerificationException) {
            throw new TokenAuthenticationException(ResponseCodeEnum.TOKEN_SIGNATURE_INVALID.getCode(), ResponseCodeEnum.TOKEN_SIGNATURE_INVALID.getMessage());
        } catch (TokenExpiredException tokenExpiredException) {
            throw new TokenAuthenticationException(ResponseCodeEnum.TOKEN_EXPIRED.getCode(), ResponseCodeEnum.TOKEN_INVALID.getMessage());
        } catch (Exception ex) {
            throw new TokenAuthenticationException(ResponseCodeEnum.UNKNOWN_ERROR.getCode(), ResponseCodeEnum.UNKNOWN_ERROR.getMessage()
最低0.47元/天 解锁文章
chaojunma
关注
spring cloud gateway 全局token校验
weixin_43090275的博客
03-10 960
全局token校验,代码如下 @Component public class TokenGlobalFilter implements GlobalFilter, Ordered { /** * 不进行token校验的请求地址 可配置在配置文件中 */ @Value("#{'${ignore.ignoreUrlList}'.split(',')}") ...
GateWay网关自定义过滤器实现token校验完成统一鉴权
weixin_44894196的博客
03-02 2261
GateWay网关自定义过滤器实现token校验完成统一鉴权
Spring Cloud Gateway使用Token验证详解
08-26
主要介绍了Spring Cloud Gateway使用Token验证详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Could 轻松整合GateWay网关拦截 + Sa-Token登录认证
最新发布
indexqian的博客
08-07 1448
本文详细为大家讲解了在微服务中如何集成gateway网关和Sa-Token的相关配置和基础接口,对萌新玩家非常友好,全文很长,请耐心看完哦!
spring cloud gateway实现token校验
SuperBins的博客
09-18 4113
需求: 对访问网关的请求进行token校验,只有当token校验通过时,才转发到后端服务,否则直接返回401 本文适用场景: token存放在redis中, key为用户的uid 开始 依赖的pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0....
Spring Cloud Gateway 使用 Token 验证
weixin_34232617的博客
02-26 1343
引入依赖 &lt;dependencyManagement&gt; &lt;dependencies&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.cloud&lt;/groupId&gt; &lt...
gatewaytoken校验
风也温柔☆的博客
08-10 1803
token一般放在请求头中 key=Authorization, value=bearer tokentoken会返回给浏览器(存储),当访问的时候,携带token 发起请求。本文使用springcloudgatewaytoken校验。登录的本质:拿用户名和密码 换 token。(前缀:bearer+空格+token)token校验过滤器。前提: 和前端约定好。
SpringCloud整合GateWay+Sa-Token做登录验证(干货)
m0_73625251的博客
05-17 2374
等一系列权限相关问题,在这里我就不详细介绍了,想要了解的同学可以去查看官方文档 https://sa-token.cc/doc.html。
Spring Cloud Feign统一设置验证token实现方法解析
08-18
Spring Cloud Feign统一设置验证token实现方法解析 Spring Cloud Feign是一个基于Netflix的Feign组件,提供了一个简洁的方式来构建RESTful风格的微服务接口。Feign组件提供了一个统一的接口调用方式,使得微服务...
Spring Cloud Gateway 集成Sa-Token
Trouvailless的博客
08-15 3564
Sa-Token作者提供了这么一个牛皮的框架。其文档地址Sa-Token。以上,就是集成Sa-Token的步骤,如果有什么问题,欢迎指正。后面会深入Sa-Token源码,了解更多的使用方法和设计思想,敬请期待。
springCloud+gateway实现token验证
weixin_38727482的博客
02-28 5842
拦截器实现gateway中得全局拦截器GlobalFilter, Ordered 验证思路: 1.获取请求路径path,判断是否为忽略文件 2.如不是获取token,解析出userId,获取角色列表 然后角色列表中获取菜单路径(请求页面) 3菜单路径与path进行比对如相同就通过,负责无权限 TokenFilter: package com.cuslink.gateway.filters; i...
token验证_JAVA架构笔记——1.SpringCloudToken验证
weixin_39851048的博客
12-10 316
一.简述 token其实就是一个身份标识,或者说是一个身份牌,因为几乎所有的应用需要注册登陆,当我们登陆成功的时候,就要有一个登录成功的身份牌,这样那些没有身份牌的访问就会被服务器给拦截掉无法访问,用来过滤非法请求。以前session的做法毕竟比较局限,而且当我们微服务,多实例的时候,session之间是不能够共享的,我们总不能使用rtc多个实例间调用session验证是否登陆吧? 所以我们使用验...
Spring Cloud GateWay实现token校验和传输
xingxinggua9620的博客
01-29 8143
Spring Cloud GateWay实现token校验和传输 1.1 SpringCloud Gateway 简介 Spring Cloud GateWay基于WebFlux框架实现的,而WebFlux框架底层则使用了高性能的Reactor模式通信框架Netty. Spring Cloud Gateway 的目标,不仅提供统一的路由方式,并且基于 Filter 链的方式提供了网关基本的功能,例如:安全,监控/指标,和限流。 提前声明:Spring Cloud Gateway 底层使用了高性能的通
2.使用Gateway实现token校验
yiguang_820的博客
06-09 7722
原文地址(强烈建议看原文):https://www.cnblogs.com/dennyzhangdd/p/12132612.html 目录 引子 Gateway设计思想 官网设计 我们的使用 Gateway简单使用 实现微服务的默认降级策略 实现登录态(token校验 总结 WebFlux Gateway Filter 限流 一. 引子 2年前有幸使用过一次Spring Cloud (1.5.9),1.* 集成的是ZUUL做网关。终于在2年后,这次果断使.
Springcloud gateway网关+认证服务+token方式,入口层认证统一微服务鉴权【设计实践】
殷长庆的博客
08-04 8196
分布式项目的单点登录分为认证服务(单点登录服务端)和业务服务(单点登录客户端)两个角色,当访问业务服务时,认证服务客户端SDK校验一下是否有登录token,如果没有登录token,需要携带当前请求链接重定向到认证服务,认证通过后由认证服务重定向业务服务链接,实现单点登录。gateway实现单点登录客户端功能,一般如果前后端项目是分离的,如果请求中没有携带登录token,直接返回需要认证,前后端没有分离的项目,可以做页面重定向操作。本文主要讨论gateway实现,认证服务需要自行实现。......
【项目实战】Spring Cloud Gateway 实现JWT / Token登录认证流程
热门推荐
骏马逸动,心随你动的博客
11-07 1万+
在我看来,在某些场景下,网关就像是一个公共方法,把项目中的都要用到的一些功能提出来,抽象成一个服务。比如,我们可以在业务网关上做日志收集、Token校验等等,当然这么理解很狭隘,因为网关的能力远不止如此,但是不妨碍我们更好地理解它。下面的例子演示了,如何在网关校验Token,并提取用户信息放到Header中传给下游业务系统。 1. 生成Token 用户登录成功以后,生成token,此后的所有请求都带着token网关负责校验token,并将用户信息放入请求Header,以便下游系统可以方便的获取用户信息
java框架 token_JAVA架构笔记——1.SpringCloudToken验证
weixin_30653101的博客
02-13 497
一.简述token其实就是一个身份标识,或者说是一个身份牌,因为几乎所有的应用需要注册登陆,当我们登陆成功的时候,就要有一个登录成功的身份牌,这样那些没有身份牌的访问就会被服务器给拦截掉无法访问,用来过滤非法请求。以前session的做法毕竟比较局限,而且当我们微服务,多实例的时候,session之间是不能够共享的,我们总不能使用rtc多个实例间调用session验证是否登陆吧? 所以我们使用验证...
springcloud 微服务权限校验获取 token 实战之Oauth2 解决方案(十一)
nandao158的博客
09-05 2960
传统的单体架构或者是多台服务器,一般都是采用session来进行权限校验,这种方案是有弊端的:和用户信息强关联、用户多的情况下占用内存、有csrf网络攻击的风险等。而在微服务环境下通常采用 token 认证的方式校验是否有接口调用权限,然后在下游系统设置访问白名单只允许zuul 服务器访问。理论上 zuul 服务器是不需要进行权限校验的,因为 zuul 服务器没有接口,不需要从 zuul 调用业务接口,zuul 只做简单的路由工作。下游系统在获取到 token 后,通过过滤器把 t...
springcloudgateway token
07-15
总之,Spring Cloud Gateway可以通过添加过滤器、编写GlobalFilter过滤器或使用Spring Security来实现Token的安全验证。这样可以保护后端服务,确保只有经过身份验证和授权的客户端能够访问服务。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值