SpringBoot+JWT微服务实现接口之间相互调用的鉴权

最新推荐文章于 2024-03-23 22:20:19 发布
VIP文章 最新推荐文章于 2024-03-23 22:20:19 发布
阅读量3.4k 收藏 14
点赞数 3
文章标签: java 数据库 json
原文链接:https://my.oschina.net/u/3711426/blog/1925603
版权

1.说明

1.1 背景

慢慢构造一个微型的商城demo。使用的技术栈是SpringBoot+SpringCloud; 各个服务间的接口调用是有权限验证的。每个请求头包含token,通过token来 校验该请求是否合法

1.2 使用技术

  • springBoot 基础框架

  • SpringCloud

    • eureka 服务与服务的注册中心
    • Feign 负责服务间的调用
    • zuul 向外暴露的服务网关

  • Spring Security 安全框架

  • ORM

    • mybatis plus 对mybatis的进一步封装

  • redis 应用缓存、接口数据缓存

  • zookeeper 注册中心

  • rabbitMQ 消息队列

  • JWT 结合Spring Security使用,实现服务之间的鉴权。Spring Security负责请求的过滤拦截以及赋权, JWT负责判断该token是否过期

1.3 项目结构

├── README.md
├── demo-cache 缓存模块
├── demo-common 公共模块,包括切面,token认证等一些公共方法
├── demo-eureka 注册中心
├── demo-gateway 网关
├── demo-message 消息模块(kafka)
├── demo-parent.iml
├── demo-product 产品模块
├── demo-user 用户模块
├── demo.sql 初始化sql
└── pom.xml

1.4 JWT认证

1.4.1 JWT的认证流程

token生成和校验的简易流程

1.4.2 代码实现
  • SpringSecurity配置

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //private BCryptPasswordEncoder bCryptPasswordEncoder;
    @Autowired
    private UserDetailsService userDetailService;

    public SecurityConfig() {
        super();
    }

    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {

        // auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder);
        // ***注入自定义的provider ***,在权限验证的时候后实际走的是 CustomAuthenticationProvider.authenticate
        auth.authenticationProvider(new CustomAuthenticationProvider(userDetailService, bCryptPasswordEncoder()));
        auth.userDetailsService(userDetailService).passwordEncoder(bCryptPasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //禁用 csrf
        http.cors().and().csrf().disable().authorizeRequests()
                //允许以下请求
                .antMatchers("/login/**").permitAll()
                // 所有请求需要身份认证
                .anyRequest().authenticated()
                .and()
                // authenticationManager() 从IOC容器中获取。实际就是用户自定义注入的 CustomAuthenticationProvider
                //拦截登录操作,
                .addFilterBefore(new JWTLoginFilter("/login", authenticationManager()), UsernamePasswordAuthenticationFilter.class)
                //拦截每一个请求,验证token是否有效
                .addFilterBefore(new JWTAuthenticationFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class);
    }
}
  • 登录过滤拦截

这里需要注意的是,获取登录名、密码默认是通过get方式获取的,而且键名也是一定的 如果是从json中获取还需要将request的请求参数转换为json数据


/**
 * token信息
最低0.47元/天 解锁文章
chengshiti9938
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot+security+mybatis+redis+jwt鉴权框架搭建
06-22
本项目集成springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
Spring Cloud微服务接口鉴权(利用JWT生成的TOKEN)
c815852517的博客
09-23 2357
0 JWT是什么 JWT(JSON Web Token)是一种开放标准,它以一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。 其认证原理是,客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。 0.1 JWT的结构 一个JWT一个字符串,其由H...
SpringSecurity整合JWT
Myh_code的博客
03-12 673
文章目录1 无状态登录1.1 什么是有状态?1.2 什么是无状态1.3 如何实现无状态1.4 JWT1.5 JWT 存在的问题2 实战2.1 环境搭建2.2 JWT 过滤器配置2.3 Spring Security 配置2.4 测试总结 在前后端分离的项目中,登录策略也有不少,不过 JWT 算是目前比较流行的一种解决方案了,本文就和大家来分享一下如何将 Spring Security 和 JWT 结合在一起使用,进而实现前后端分离时的登录解决方案。 1 无状态登录 1.1 什么是有状态? 有状态服务,即服务
微服务鉴权的几种实现方案
最新发布
qq_45228323的博客
03-23 1138
刚开始接触微服务时网上给的方案大都数是通过透传Token做鉴权,但我认为这种方式不是很妥当。接着往下看:这种方式通过透传Token使得各微服务都能获取到当前登录人信息,在代码编写上确实可能会方便,但我认为这不是一种很好的设计方式。换句话说:B服务提供API时不因该关心当前是否为登录状态,登录状态应该由路由中的第一个服务校验维护,在调用后续服务时应该显示的传入相关参数。
单点或多设备互踢
03-31 321
4、判断设备信息不一致redis失效原来的token,产生新token可互踢。3、同时token和设备信息存cookie中。2、token信息存储到redis中。1、登录后用Jwt生成token。拦截器示例代码为不允许多设备登录。
浅谈踢人下线的设计思路!(附代码实现方案)
shengzhang_的博客
01-21 2091
前言 前两天写了一篇文章,主要讲了下java中如何实现踢人下线,原文链接:java中如何踢人下线?封禁某个账号后使其会话立即掉线! 本来只是简单阐述一下踢人下线的业务场景和实现方案,没想到引出那么多大佬把小弟喷的睁不开眼睛,为了避免大家继续喷我,特再写下此篇文章,彻底讲清楚各种场景下踢人下线的设计思路,如有不足之处还请各位大佬轻喷! 好了废话不多说,正文开始 正文 如果把踢人下线比喻成拆房子,那么在学会拆房之前,我们必须要了解这座房子是怎么盖起来的,不同的盖法对应不同的拆法,不能混为一谈 对于目前大多数系统
微服务 API接口鉴权设计
zhaoyang10的专栏
10-23 2379
开放 API 接口签名验证
Spring Security OAuth2 实现多人登录互踢下线
公众号-老炮说Java
05-01 4512
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达▊老赵推荐(戳下方标题)阿里大牛程序员的Java问题排查工具单我已经不用 try catch 处理异常了!太烦人了Sprin...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
springboot + jwt + websocket + 拦截
09-02
springboot + jwt + websocket + 拦截
Spring Security OAuth2 实现登录互踢的示例代码
08-19
主要介绍了Spring Security OAuth2实现登录互踢的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot+mybatis-plus+jwt+redis的简易后端框架
04-10
一个简单的后端框架,实现步骤可以根据文章 ...2.springboot+JWT+redis实现token身份令牌验证(附代码)(超详细) https://blog.csdn.net/pengpm/article/details/124077041?spm=1001.2014.3001.5501
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
jwt 如何实现踢人,session 和 jwt 鉴权的区别
布里渊区
02-14 1894
Session流程: 1、登录 2、服务端产生session并保存在内存中,并向客户端写入sessionId 3、客户端请求,带上cookie中的sessionId 4、客户端根据sessionId 去验证身份 JWT流程: 1、登录 2、服务端根据用户信息,加密生成token,并返回给客户端 3、客户端请求header里面带上token 4、服务端根据带上来的token,用私钥解密,得到用户信息,验证身份 区别: session机制是把一把钥匙保存在客户端,请求的时候
Spring Boot手把手教学(18):基于Redis和Redisson实现用户互踢功能,一个用户只能在一个浏览器登录
非著名程序猿
02-26 2632
1、前言 在项目中,同一个账户有时候会在多个地方登录,这个时候需要限制一个账户只能在一个客户端/浏览器登录,并在被踢出的浏览器/客户端作出消息通知; 比如用户A在浏览器A登录成功后,他又在浏览器B登录该账户,这个情况,我们需要在浏览器A提示“当前账户已在别的地方登录”,并退出登录。 消息通知是基于websocket的,互踢功能基于Redis+Redisson消息队列; 那么该如何实现呢? 2、实现思路 思路 消息通知 消息通知是基于websocket的,具体代码可参考上一篇文章:Spring Bo
用redis+jwt保存在线用户和获得在线用户列表、踢出用户示例
qq_41358574的博客
12-09 1693
文章目录redis工具类用户实体类token配置service层保存和查询在线用户工具类 获得用户浏览器等其他信息controller层 redis工具类 import org.springframework.data.redis.connection.RedisConnection; import org.springframework.data.redis.connection.RedisConnectionFactory; import org.springframework.data.redis.c
单一用户登录,即当前用户登录后要踢出前一个登录,即做出踢人效果,如何实现
热门推荐
Ideality_hunter的专栏
10-24 1万+
单一用户登录,即当前用户登录后要踢出前一个登录,即做出踢人效果,如何实现? 一般情况下,用户登录,有两种方式:cookie方式,session方式。一般情况下,session方式是使用最多的。 一、关于session方式原理: 1)浏览器端发起请求,浏览器的cookie中有jsessionId,会随着http 请求,被发送到tomcat服务器端。 2)浏览器端的
微服务常见认证、鉴权方案
u014203449的博客
09-26 9135
参考网上一些优秀开源项目和框架,谈谈常见的微服务认证、鉴权方案。内容有SecurityOauth2、单点登录cas、自定义拦截器开发、微服务鉴权、令牌的存储方式、shiro由单体改动为微服务 微服务认证、鉴权的目标: 一次登录后,各微服务都能访问 可对各微服务进行角色、接口等粒度的鉴权 SecurityOauth2 可能是seurity框架提供了一个微服务鉴权的直接解决方式,导致网上资料大部分都是此类方案。 这个方案理解起来并不难。 首先,在登录时,利用oauth2协议的四种方式及自定义.
springboot+jwt如何实现单点登录
06-08
使用JWTJSON Web Token)实现单点登录可以让我们在分布式系统中更加方便地管理认证和授权。下面是使用Spring Boot和JWT实现单点登录的步骤: 1. 添加Spring Security和JWT依赖项:在Spring Boot应用程序中添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值