授权中心

最新推荐文章于 2024-06-16 07:30:00 发布
最新推荐文章于 2024-06-16 07:30:00 发布
阅读量757 收藏
点赞数
分类专栏: 微服务 中间件 文章标签: jwt 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenhangx/article/details/105495829
版权

leyou-user


无状态登陆

在服务器端保存session
无状态不需要session,把登陆状态保存在cookie中

无状态登录的流程:

  • 当客户端第一次请求服务时,服务端对用户进行信息认证(登录)
  • 认证通过,将用户信息进行加密形成token,返回给客户端,作为登录凭证
  • 以后每次请求,客户端都携带认证的token
  • 服务的对token进行解密,判断是否有效。
  • token的安全性:JWT + RSA非对称加密
    在这里插入图片描述

JWT + RSA非对称加密

token:登陆时,jwt oath2 
jwt:头信息(jwt) 载荷(用户信息,签发人 签发时间 有效时间) 签名(头信息+载荷:通过加密算法生成。作用:校验前两部分内容的合法性)

zuul网关访问的流程

在这里插入图片描述

  • 我们首先利用RSA生成公钥和私钥。私钥保存在授权中心,公钥保存在Zuul和各个信任的微服务
  • 用户请求登录
  • 授权中心校验,通过后用私钥对JWT进行签名加密
  • 返回jwt给用户
  • 用户携带JWT访问
  • Zuul直接通过公钥解密JWT,进行验证,验证通过则放行
  • 请求到达微服务,微服务直接用公钥解析JWT,获取用户信息,无需访问授权中心

搭建授权中心

聚合工程:leyou-auth-common(jwt相关的工具类) leyou-auth-service(微服务)
  • 用户鉴权:
    • 接收用户的登录请求,通过用户中心的接口进行校验,通过后生成JWT
    • 使用私钥生成JWT并返回
  • 服务鉴权:微服务间的调用不经过Zuul,会有风险,需要鉴权中心进行认证
    • 原理与用户鉴权类似,但逻辑稍微复杂一些(此处我们不做实现)

因为生成jwt,解析jwt这样的行为以后在其它微服务中也会用到,因此我们会抽取成工具。我们把鉴权中心进行聚合,一个工具module,一个提供服务的module
在这里插入图片描述
在这里插入图片描述

编写登录授权接口

在leyou-auth-servcice编写一个接口,对外提供登录授权服务。基本流程如下:

  • 客户端携带用户名和密码请求登录
  • 授权中心调用用户中心接口,根据用户名和密码查询用户信息
  • 如果用户名密码正确,能获取用户,否则为空,则登录失败
  • 如果校验成功,则生成JWT并返回

jwtUtils

根据载荷还有私钥生成jwt类型的token
根据公钥解析jwt类型的token,获取载荷信息(userInfo)
rsaUtils(生成公钥和私钥文件,并且读取公钥和私钥文件返回公钥和私钥对象)

登陆功能

1.调用user-service中的queryUser接口,验证用户是否正确
2.判断返回的用户信息是否为空
3.生成jwt类型的token
4.token信息设置到cookie中

首页用户名回显

1.获取Cookie中jwt类型的token @CookieValue("LY_TOKEN")
2.jwtUtils解析jwt,获取用户信息
	判断用户是否为空
3.刷新jwt时间 cookie时间
4.响应用户信息

在zuul网关添加过滤器

在Zuul编写拦截器,对用户的token进行校验,如果发现未登录,则进行拦截。
在这里插入图片描述

编写过滤器逻辑

基本逻辑:

  • 获取cookie中的token
  • 通过JWT对token进行校验
  • 通过:则放行;不通过:则重定向到登录页
    在这里插入图片描述
@Component
@EnableConfigurationProperties(JwtProperties.class)
public class LoginFilter extends ZuulFilter {

    @Autowired
    private JwtProperties properties;

    @Override
    public String filterType() {
        return "pre";
    }

    @Override
    public int filterOrder() {
        return 5;
    }

    @Override
    public boolean shouldFilter() {
        return true;
    }

    @Override
    public Object run() throws ZuulException {
        // 获取上下文
        RequestContext context = RequestContext.getCurrentContext();
        // 获取request
        HttpServletRequest request = context.getRequest();
        // 获取token
        String token = CookieUtils.getCookieValue(request, this.properties.getCookieName());
        // 校验
        try {
            // 校验通过什么都不做,即放行
            JwtUtils.getInfoFromToken(token, this.properties.getPublicKey());
        } catch (Exception e) {
            // 校验出现异常,返回403
            context.setSendZuulResponse(false);
            context.setResponseStatusCode(HttpStatus.FORBIDDEN.value());
        }
        return null;
    }
}

白名单;

并不是所有的路径我们都需要拦截,例如:

  • 登录校验接口:/auth/**
  • 注册接口:/user/register
  • 数据校验接口:/user/check/**
  • 发送验证码接口:/user/code
  • 搜索接口:/search/**

另外,跟后台管理相关的接口,因为我们没有做登录和权限,因此暂时都放行,但是生产环境中要做登录校验:

  • 后台商品服务:/item/**

所以,我们需要在拦截时,配置一个白名单,如果在名单内,则不进行拦截。
在application.yaml中添加规则:

leyou:
  filter:
    allowPaths:
      - /api/auth
      - /api/search
      - /api/user/register
      - /api/user/check
      - /api/user/code
      - /api/item

然后读取这些属性:在这里插入图片描述

@ConfigurationProperties(prefix = "leyou.filter")
public class FilterProperties {

    private List<String> allowPaths;

    public List<String> getAllowPaths() {
        return allowPaths;
    }

    public void setAllowPaths(List<String> allowPaths) {
        this.allowPaths = allowPaths;
    }
}

在过滤器中的shouldFilter方法中添加判断逻辑

@Component
@EnableConfigurationProperties({JwtProperties.class, FilterProperties.class})
public class LoginFilter extends ZuulFilter {

    @Autowired
    private JwtProperties jwtProp;

    @Autowired
    private FilterProperties filterProp;

    private static final Logger logger = LoggerFactory.getLogger(LoginFilter.class);

    @Override
    public String filterType() {
        return "pre";
    }

    @Override
    public int filterOrder() {
        return 5;
    }

    @Override
    public boolean shouldFilter() {
        // 获取上下文
        RequestContext ctx = RequestContext.getCurrentContext();
        // 获取request
        HttpServletRequest req = ctx.getRequest();
        // 获取路径
        String requestURI = req.getRequestURI();
        // 判断白名单
        // 遍历允许访问的路径
        for (String path : this.filterProp.getAllowPaths()) {
            // 然后判断是否是符合
            if(requestURI.startsWith(path)){
                return false;
            }
        }
        return true;
    }

    @Override
    public Object run() throws ZuulException {
        // 获取上下文
        RequestContext ctx = RequestContext.getCurrentContext();
        // 获取request
        HttpServletRequest request = ctx.getRequest();
        // 获取token
        String token = CookieUtils.getCookieValue(request, jwtProp.getCookieName());
        // 校验
        try {
            // 校验通过什么都不做,即放行
            JwtUtils.getInfoFromToken(token, jwtProp.getPublicKey());
        } catch (Exception e) {
            // 校验出现异常,返回403
            ctx.setSendZuulResponse(false);
            ctx.setResponseStatusCode(403);
            logger.error("非法访问,未登录,地址:{}", request.getRemoteHost(), e );
        }
        return null;
    }
}

参考

杭家y
关注
专栏目录
商城-授权中心-授权中心
shenzhen_zsw的专栏
06-18 1147
商城-授权中心-授权中心2.授权中心2.1.创建授权中心2.1.1.创建父module2.1.2.通用module2.1.3.授权服务2.2.JWT工具类2.3.测试工具类2.3.编写登录授权接口2.3.1.生成公钥和私钥2.3.2.Controller2.3.3.CookieUtils2.3.3.UserClient2.3.4.Service2.3.5.项目结构2.3.6.测试2.4.登录页面2...
Java网络商城项目 SpringBoot+SpringCloud+Vue 网络商城(SSM前后端分离项目)二十(登录**)
程序员猫爪
09-05 708
1.无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展 客户端请求依
授权中心的操作
LC的博客
01-11 1215
授权中心的主要职责: 用户登录鉴权: 接收用户的登录请求, 通过用户中心的接口校验用户名密码 使用私钥生成JWT并返回 用户登录状态校验 判断用户是否登录,其实就是token的校验 用户登出 用户选择退出登录后,要让token失效 用户登录状态刷新 用户登录一段时间后,JWT可能过期,需要刷新有效期 创建jwt-token存入cookie 1.创建一个springcloud项目-下的授权模块 校验用户名密码必须到用户中心去做,因此用户中心必须对外提供的接口(feign),根据用
深信服云图XCentral授权中心操作手册_V2.0.pdf
09-25
《深信服云图XCentral授权中心操作手册_V2.0》是深信服科技股份有限公司为用户提供的关于授权中心管理的详细指南。手册主要适用于深信服云图平台的EDR(Endpoint Detection and Response,终端检测与响应)、AC...
第一节 微服务架构演变以及微服务授权中心搭建1
08-04
【微服务架构演变及微服务授权中心搭建】 微服务架构是一种现代软件开发和部署的方式,它将单一的应用程序拆分成一组小型、独立的服务,每个服务都专注于完成特定的业务功能。这种架构模式起源于对传统单体架构的...
SANGFOR_ACSG_v12.0.41及以上版本_结合深信服授权中心操作手册v1.0.pdf
09-25
《深信服ACS G v12.0.41及以上版本结合深信服授权中心操作手册》详细介绍了如何在深信服网络安全设备上进行授权管理,确保产品功能的正常使用和持续服务。本手册适用于v12.0.41及更高版本的SANGFOR ACG(应用控制...
一种基于CP-ABE多属性授权中心的隐私保护方案
10-16
针对云计算环境下用户隐私保护的问题,提出一种基于CPABE多属性授权中心隐私保护方案(PPMACPABE)。方案中采用多个属性授权中心代替单一中央授权服务器,避免了由单一中央授权服务器引起的安全性问题。方案设计...
第二十六章 授权中心
paynmind的博客
10-10 484
此博客用于个人学习,来源于网上,对知识点进行一个整理。 1. 无状态登录原理: 1.1 什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 tomcat 中的 session。 例如登录:用户登录后,我们把登录者的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 session。然后下次请求,用户携带 cookie 值来,我们就能识别到对应 session,从而找到用户的信息。 缺点是什么? 服
JWT(JsonWebToken)+SpringMVC项目demo
09-21
JSON Web Token(JWT)是一个非常轻巧的规范。现在免费给大家分享一个JWT(JsonWebToken)+SpringMVC项目的demo!
单点登录之授权中心
xxy的博客
12-30 441
1. AuthController 编写授权接口,我们接收登录名和密码及登陆前的页面地址,登录成功后重定向到登陆前页面。 请求方式:post 请求路径:/login 请求参数:loginName和password 返回结果:无 代码: @Controller public class AuthController { @Autowired private AuthService authService; @Autowired private JwtProperties
SSO-OAuth2.0授权中心实战
weixin_38277138的博客
03-21 461
Spring Security Oauth2整合JWT;实现JWT非对称加密;配置授权服务器
电脑知识:很多网站都支持第三方授权登录,这究竟是怎么一回事?
致力于C语言C++知识分享!
09-25 497
引言 现在很多网站都支持第三方授权登录,小伙伴们应该很常见这种授权登录方式了,那小伙伴们知道这种方式是以什么原理实现的么? 今天小编就为大家讲一讲里边的奥秘! 正文 OAuth简介 我们都知道,所有的第三方授权登录底层基本上采用http/https协议。但是由于http/https协议是不可靠的,而客户端和服务端都希望要达到100%的可靠性。所以以OAuth为代表的,基于http/https协议的授权标准也由此诞生并变成了主流。最开始在2006年出现的是OAuth1.0,由于1.0出现了一
JWT令牌、过滤器Filter、拦截器Interceptor
最新发布
m0_46702681的博客
06-16 1557
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
全局过滤器实现Jwt校验
陆续将以前写过的技术博客统一搬运到csdn
03-21 440
但是问题是如果后台有3个机器 那么你用jwt不影响 因为第一台机器登录成功 给你token 你拿着token如果第二次访问 遇到其他机器还是可以通过。但是session就有问题了如果你第二次遇到其他机器 其他几次不认识这个session id 所以还需要其他的手段来补足 比如拷贝session。为什么要进化 因为在分布式微服务中 会有很多个系统和服务相互配合 我们一般会用一个独立的网关服务来控制所有的请求入口。(jwt是一段token 它是登录的时候根据用户id生成的 也就说id一样 token就一样)
sdc基本概念-set_clock_groups
weixin_52822919的博客
04-17 4150
sdc, set_clock_group
set_clock_groups
Oooooooooooooohh的博客
05-13 407
allow_paths # 用来允许异步时钟进行时钟路径分析,默认情况下是不分析的。由于上面的四个时钟是独立存在的,之间没有同步关系,也不需要时钟之间的相互检查,所以对每一个时钟设为异步时钟组。-logically_exclusive # 用来指定时钟之间的互斥关系为逻辑互斥。-physically_exclusive # 用来指定时钟之间的互斥关系为物理互斥。注: -logically_exclusive 用来指定同步时钟在有限的时间窗口进行SI分析。
厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecurity 在 Spring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
云存储安全:多授权中心属性加密访问控制模型
"本文提出了一种名为PRM-CSAC的面向云存储的基于属性加密的多授权中心访问控制方案,旨在解决单授权中心方案中可能存在的密钥泄露风险。通过采用CP-ABE方法,该模型提升了密钥安全性,并通过最小化属性分组算法优化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值