SpringSecurity OAuth2 生成JWT

已于 2022-08-11 10:20:17 修改
阅读量1.1k 收藏 7
点赞数
分类专栏: SpringSecurity 文章标签: spring
于 2022-05-26 15:34:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/clonetx/article/details/124985090
版权

        在《SpringSecurity之OAuth2 令牌accessToken的生成过程_clonetx的博客-CSDN博客》中我们分析了access_token生成整体流程的源码,最终提到了accessTokenEnhancer.enhance(token, authentication)方法。

而说到转换token,最普遍的就是转成 jwt 了。

1 jwt

        jwt共分为三部分组成,header、payload、signature,即头、体、签名;其结构如下,使用英文句号连接:

Base64(header).Base64(payload).HMACSHA256(Base64(header)+"."+Base64(payload),secret)

下面分别看下每部分的内容。

header:{
    "alg":"HS256",//签名算法
	"typ":"JWT" //类型
}
payload: {
	"iss": "jwt签发者",
	"sub": "jwt的主体,如用户标识",
	"aud": "jwt的接收者,即resource_ids",
	"exp": "jwt的过期时间",//不能为空
	"nbf": "定义在指定时间之前,该jwt不可用",
	"iat": "jwt签发时间",
	"jti": "jwt的唯一身份标识,用来作为一次性token时可以防止重放攻击",
    "自定义key1":"自定义value1",
    "自定义key2":"自定义value2"
}

        这里注意一下,jwt中,仅仅对 payload 进行了一次 base64,并非什么加密手段,因此,千万不要自定义敏感信息进去,比如用户的身份证号,密码,手机号等信息的明文数据。

signature:HMACSHA256(Base64(header)+"."+Base64(payload),secret)

        签名的作用就是为了防止窜改 header 和 payload ,验证 jwt 的时候会对signature进行解密,根据上面的加密公式看,显然解密得到的就是 header 和 payload 的 base64 串,只要与签发时的header 和 payload 一对比就可以知道 jwt是否被修改过。

        加密方式可以使用对称加密也可以使用非对称加密,这是因为,加解密都是在服务端进行的,密钥不泄露就不用担心被伪造。个人推荐非对称方式,即私钥签名,公钥验证签名,这样更安全,也可以允许第三方验证我们的 jwt。

//客户端授权模式产生的 jwt 示例
{
    "access_token": "eyJhbGciOiJIUzI1NiIsIn5cCI6IkpXVCJ9.eyJzY29wZSI6Wy0ZXN0Il0sImV4cCI6MTY1MzUzNDgyNCwiYXV0aG9yaXRpZXMiOlsiUk9MRV9DTElFTlQiXSwianRpIjoiYjFjNjRmN2YtMmMxYS00YjljLTlmMTgtNGYxN2Q0YmY2OTE2IiwiY2xpZW50X2lkIjoidGVzdEFwcElkIn0.F2ZZq4rg9BDw2oCU_qDs9fulSKbhD53xnmTmYH57L6U",
    "token_type": "bearer",
    "expires_in": 1473,
    "scope": "test",
    "jti": "b1c64f7f-2c1a-4b9c-9f18-4f17d4bf6916"
}

2 TokenEnhancer

        在上一篇源码分析中,我们提到TokenEnhancer的对象是在 AuthorizationServerEndpointsConfigurer 类中设置的。

private DefaultTokenServices createDefaultTokenServices() {
        DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setTokenStore(tokenStore());
        tokenServices.setSupportRefreshToken(true);
        tokenServices.setReuseRefreshToken(reuseRefreshToken);
        tokenServices.setClientDetailsService(clientDetailsService());
        tokenServices.setTokenEnhancer(tokenEnhancer());//token增强器
        addUserDetailsService(tokenServices, this.userDetailsService);
        return tokenServices;
    }

private TokenEnhancer tokenEnhancer() {
    //如果授权服务器的配置中endpoints没有指定 tokenEnhancer,
    //并且设置了JwtAccessTokenConverter类型的token转换器,就返回转换器
    if (this.tokenEnhancer == null && accessTokenConverter() instanceof JwtAccessTokenConverter) {
            tokenEnhancer = (TokenEnhancer) accessTokenConverter;
    }
    //N 如果endpoints 指定了tokenEnhancer,就返回指定的,或者token转换器类型不是jwt的就只能返回null了
    return this.tokenEnhancer;
}

private AccessTokenConverter accessTokenConverter() {
    if (this.accessTokenConverter == null) {
       accessTokenConverter = new DefaultAccessTokenConverter();//非JwtAccessTokenConverter类型
    }
    return this.accessTokenConverter;
}

        结合授权服务器的配置,如果我们既没有指定 tokenEnhancer(),也没有指定accessTokenConverter()配置,那么tokenEnhancer() 的返回值就一定是null了。下例我们设置一个 JwtAccessTokenConverter 的对象。

@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    endpoints
            ......
            //.tokenEnhancer(null)
            .accessTokenConverter(new JwtAccessTokenConverter())
    ;
}

其实,我们能动手脚的也就是endpoints的这两个配置了。

3 JwtAccessTokenConverter

        在 DefaultTokenServices 类里面创建accessToken的最终实现中,我们看到有一个 accessTokenEnhancer.enhance(token, authentication)方法,在配置了accessTokenConverter()后,其 enhance() 方法的具体实现代码如下:

        这段代码逻辑分别处理了access_token和refresh_token,逻辑比较简单,主要工作就是在原本的token中加了一个jti,也就是原本的uuid不再作为access_token的值,而变成了 jti 的值,然后就是从 authentication 对象中取了一些值构造出一个content,即payload,并使用JwtHelper工具类基于content生成了一个jwt作为最终的access_token。

public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
    DefaultOAuth2AccessToken result = new DefaultOAuth2AccessToken(accessToken);
    //info 中只放了一个jti
    Map<String, Object> info = new LinkedHashMap<String, Object>(accessToken.getAdditionalInformation());
    String tokenId = result.getValue();
    if (!info.containsKey(TOKEN_ID)) {
        //TOKEN_ID 就是 jti 也就是原始token的值,即uuid
        info.put(TOKEN_ID, tokenId);
    } else {
        tokenId = (String) info.get(TOKEN_ID);
    }
    result.setAdditionalInformation(info);
    //N 这里的value就是我们最终看到的access_token
    result.setValue(encode(result, authentication));
    OAuth2RefreshToken refreshToken = result.getRefreshToken();
    if (refreshToken != null) {
        //N 开始处理refresh_token
        DefaultOAuth2AccessToken encodedRefreshToken = new DefaultOAuth2AccessToken(accessToken);
        encodedRefreshToken.setValue(refreshToken.getValue());
        // Refresh tokens do not expire unless explicitly of the right type
        encodedRefreshToken.setExpiration(null);//默认refreshToken 不过期
        try {
            //claims 就是refreshToken中的 payload
            Map<String, Object> claims = objectMapper
                    .parseMap(JwtHelper.decode(refreshToken.getValue()).getClaims());
            if (claims.containsKey(TOKEN_ID)) {
                //这里只保留了 refreshToken 的 uuid
                encodedRefreshToken.setValue(claims.get(TOKEN_ID).toString());
            }
        } catch (IllegalArgumentException e) {
        }
        Map<String, Object> refreshTokenInfo = new LinkedHashMap<String, Object>(
                accessToken.getAdditionalInformation());
        refreshTokenInfo.put(TOKEN_ID, encodedRefreshToken.getValue());
        //refreshToken 的info 同时存储了jti 和 ati
        refreshTokenInfo.put(ACCESS_TOKEN_ID, tokenId);
        encodedRefreshToken.setAdditionalInformation(refreshTokenInfo);
        DefaultOAuth2RefreshToken token = new DefaultOAuth2RefreshToken(
                encode(encodedRefreshToken, authentication));
        if (refreshToken instanceof ExpiringOAuth2RefreshToken) {
            // refreshToken 的类型是在创建时,根据数据库表中是否设置了过期时间决定的
            Date expiration = ((ExpiringOAuth2RefreshToken) refreshToken).getExpiration();
            encodedRefreshToken.setExpiration(expiration);
            token = new DefaultExpiringOAuth2RefreshToken(encode(encodedRefreshToken, authentication), expiration);
        }
        result.setRefreshToken(token);
    }
    return result;
}

        encode()方法的作用就是基于payload生成 jwt,而 payload 的生成则是由 tokenConverter 完成的,在创建JwtAccessTokenConverter 对象时,tokenConverter 默认是 DefaultAccessTokenConverter类型,当然我们也可以通过set方法改变 tokenConverter 为自定义的。

protected String encode(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
    String content;
    try {
        //N tokenConverter 默认是 DefaultAccessTokenConverter
        content = objectMapper.formatMap(tokenConverter.convertAccessToken(accessToken, authentication));
    } catch (Exception e) {
        throw new IllegalStateException("Cannot convert access token to JSON", e);
    }
    //N content 就是 payload
    String token = JwtHelper.encode(content, signer).getEncoded();
    return token;
}

4 DefaultAccessTokenConverter

        下面代码我们通过Map<String, Object> response中put的值就可以知道最终生成的 jwt 中 payload 会有哪些内容了,想要拓展 payload,只要 set 一个自定义的 tokenConverter 取代默认的 DefaultAccessTokenConverter就可以。

/**
 * 这里就是在构造 payload 了,如果我们配置JwtAccessTokenConverter 时,set 一个自定义的tokenConverter,
 * 就可以添加一下自定义的内容了,比如 authentication 中的用户标识 account 等
 */
public Map<String, ?> convertAccessToken(OAuth2AccessToken token, OAuth2Authentication authentication) {
    Map<String, Object> response = new HashMap<String, Object>();
    OAuth2Request clientToken = authentication.getOAuth2Request();

    if (!authentication.isClientOnly()) {
        response.putAll(userTokenConverter.convertUserAuthentication(authentication.getUserAuthentication()));
    } else {
        if (clientToken.getAuthorities()!=null && !clientToken.getAuthorities().isEmpty()) {
            response.put(UserAuthenticationConverter.AUTHORITIES,
                    AuthorityUtils.authorityListToSet(clientToken.getAuthorities()));
        }
    }

    if (token.getScope()!=null) {
        response.put(SCOPE, token.getScope());
    }
    if (token.getAdditionalInformation().containsKey(JTI)) {
        response.put(JTI, token.getAdditionalInformation().get(JTI));
    }

    if (token.getExpiration() != null) {
        response.put(EXP, token.getExpiration().getTime() / 1000);
    }

    if (includeGrantType && authentication.getOAuth2Request().getGrantType()!=null) {
        response.put(GRANT_TYPE, authentication.getOAuth2Request().getGrantType());
    }

    response.putAll(token.getAdditionalInformation());

    response.put(CLIENT_ID, clientToken.getClientId());
    if (clientToken.getResourceIds() != null && !clientToken.getResourceIds().isEmpty()) {
        response.put(AUD, clientToken.getResourceIds());
    }
    return response;
}

至此,如何将一个 uuid 的 access_token 转成 jwt 的主要源码就分析完了。

5 授权服务器配置

对 token 的额外处理,可以说完全是围绕下面的授权服务器的配置了。

@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    endpoints
            ......
            //.tokenEnhancer()
            //.accessTokenConverter(new JwtAccessTokenConverter())
    ;
}

  • 如果我们想拓展payload的内容,在 new JwtAccessTokenConverter() 之后,set一个自定义的AccessTokenConverter对象即可

public void setAccessTokenConverter(AccessTokenConverter tokenConverter) {
   this.tokenConverter = tokenConverter;
}

  • 如果我们不想用 JwtHelper 的加密方式,RSA、HMACSHA256等。比如想换成SM2啥的,可以继承JwtAccessTokenConverter,子类重写JWT的生成和验证方法,然后将new JwtAccessTokenConverter() 替换成子类对象就可以了。

  • 如果我们不想用jwt,想自定义一种token,可以给 endpoints 设置一个自定义的 tokenEnhancer 对象,按需求实现enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) 方法。

clonetx
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot 2.x实战83 - Spring Security 7 -OAuth 2.0之Authorization Server(基于JWT
汪云飞记录本
06-28 4631
3 OAuth 2.0 OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
oauth2生成jwt令牌
lixiang987654321的专栏
09-06 3564
一、介绍 概念 什么是jwt,即 json web token。JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。也是一种token,但是和token有一些不同。默认情况下,OAuth2生成的token为自定义的UUID的token,里面没有用户信息,但是jwt中包含了用户信息,这就是两者的根本不同,以为oauth2的token是有状态的,oauth2生成的token与用户session关联,jwt的token中自包含用户信息,可以是无状态的,授权服务器不用记录jwt与session
Spring Authorization-自定义JWT中携带的claims与资源服务jwt解析器
最新发布
qq_33240556的博客
07-18 373
Spring Authorization Server允许你自定义JWT令牌中包含的信息。这通常通过实现一个JwtEncoderbean来完成,特别是当你使用的是JWT令牌作为访问令牌时。// 添加自定义claims claims . claim("custom_claim" , "custom_value");
Springboot 生成JWT
qq_50909707的博客
07-20 582
Springboot 生成JWT
Spring Boot 实现 JWT
云胡
06-21 7720
Web 网站离不开用户认证,这边我们不用 ,而直接使用 。JWT 的背景知识可以看阮一峰老师的这篇文章: JSON Web Token 入门教程JWT 由三个部分组成:在 中添加 配置信息。 2.2 新建 JwtUtil 工具类 新建 目录,在 目录下新建 。将当前 注入到 容器中。,匹配 配置文件的前缀,然后将配置文件里面的数据加载到当前类。 2.3 用户登录创建 token 2.3 拦截器验证 token 如何自定义拦截器可以看我的这篇: Spring Boot 2 配置登录拦截。 三、参考资料
SpringCloud整合OAuth2升级Jwt笔记
yichengjie_c的博客
02-01 351
认证服务器升级 认证服务器添加jwtTokenStore配置@Bean public TokenStore tokenStore (){ //return new JdbcTokenStore(dataSource) ; return new JwtTokenStore(jwtTokenEnhancer()) ; } // 注意这里必须是public而且是@Bean否则资源服务会报404 // 这里如果不申请为spring容器管理的bean则TokenEndpoint是不会暴漏/oauth
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
spring security oauth2 实现jwt sso
11-14
Spring Security OAuth2 与 JWT 实现的SSO详解 在当今的互联网应用中,单点登录(Single Sign-On,简称SSO)已经成为一种常见的身份验证机制,它允许用户在一个系统中登录后,无需再次登录就能访问其他关联系统。在...
spring security oauth2以及jwt实现sso单点登陆的功能
05-07
在本项目中,通过集成Spring Security OAuth2和JWT(JSON Web Token)技术,实现了这样一个功能。下面将详细介绍这两个关键组件及其在SSO中的作用。 1. Spring Security OAuth2: Spring Security 是一个全面的...
Spring cloud入门-OAuth 2.0(三)JWT集成
weixin_42324034的博客
10-23 967
OAuth 2.0之(三)JWT集成JWT简介JWT组成创建oauth2-jwt-server模块使用jwt 存储扩展JWT中存储的内容解析JWT中的内容刷新令牌使用Redis 存储令牌 JWT简介 JWT是JSON WEB TOKEN的简写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。 JWT组成 JWT组成有三部分 Header Payload Signature Header 中存在签名的生成算法,比如 { "alg": "
Oauth2系列9:JWT令牌各种实现
weigeshikebi的博客
10-07 1789
Oauth2系列1:初识Oauth2Oauth2系列2:授权码模式Oauth2系列3:接入前准备Oauth2系列4:密码模式Oauth2系列5:客户端凭据模式Oauth2系列6:隐式模式Oauth2系列7:授权码和访问令牌的颁发流程是怎样实现的?Oauth2系列8:何谓JWT令牌?
使用Spring Security OAuth2使用JWT生成token及自定义token携带的信息(十)
FAIRYTAIL的博客
08-31 6218
自定义token携带信息很简单,主要步骤就是自定义TokenEnhancer,然后将自定义的TokenEnhancer加入到TokenEnhancerChain中,最后设置到端点中endpoints.tokenEnhancer(tokenEnhancerChain)。
java Spring Boot整合jwt实现token生成
weixin_45966674的博客
10-07 1187
这里 我是直接不管了 不管他传什么进来 只要是符合我users类格式的 我就算他登录通过 通过getid生成一个token 返回回去。然后 这里 我们加一个属性类 用于用户登录使用 这里 我就搞简单一点 直接 一个id 一个name了。这里需要注意的是 如果你想通过id生成token 那么 你的id必须是个字符串。因为登录接口要用 JwtUtils 所以 最好建在登录接口的类的同目录下。然后 我们接口所在的类 要条件装配好我们用户的属性类 也就是 users。
Spring Security OAuth】--- JWT生成源码解读 + JWT扩展
nrsc
10-26 999
文章目录1 JWT生成源码解读1.1 spring security oauth生成token核心源码1.2 JWT生成的核心源码1.3 JWT自包含+密签源码2 JWT扩展 --- 往JWT里加入附加信息2.1 代码开发2.2 测试3 JWT扩展 --- 后端从JWT里取出附加信息4 JWT三大特点再理解5 refresh - token的使用 1 JWT生成源码解读 1.1 spring s...
关于OAUTH2.0自定义JWT生成TOKEN实现
奋斗
08-03 1369
记录一下OAUTH2.0配置自己定义的JWT生成的TOKEN
04 | 在OAuth 2.0中,如何使用JWT结构化令牌?
qq_37756660的博客
12-01 852
OAuth 2.0 的核心是授权服务,更进一步讲是令牌,没有令牌就没有 OAuth,令牌表示的是授权行为之后的结果。一般情况下令牌对第三方软件来说是一个随机的字符串,是不透明的。大部分情况下,我们提及的令牌,都是一个无意义的字符串。但是,人们“不甘于”这样的满足,于是开始探索有没有其他生成令牌的方式,也就有了 JWT 令牌,这样一来既不需要通过共享数据库,也不需要通过授权服务提供接口的方式来做令牌校验了。这就相当于通过 JWT 这种结构化的方式,我们在做令牌校验的时候多了一种选择。
13-SpringSecurityOauth2研究-JWT研究-生成JWT令牌&验证JWT令牌
minihuabei的博客
08-11 196
3.6.3.2 生成jwt令牌 在认证工程创建测试类,测试jwt令牌的生成与验证。 //生成一个jwt令牌 @Test public void testCreateJwt(){ //证书文件 String key_location = "xc.keystore"; //密钥库密码 String keystore_password = "xuechengkeystore"; //访问证书路径 ClassPathResource resource = new ClassPathResource(key_loca
Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器
ywb201314的专栏
09-27 733
在之后的请求中,客户端携带 JWT 请求需要访问的资源,如果资源的访问用到用户的相关信息,那么就直接从JWT中获取到。使用 OAuth2 是向认证服务器申请令牌,客户端拿这令牌访问资源服务服务器,资源服务器校验了令牌无误后,如果资源的访问用到用户的相关信息,那么资源服务器还需要根据令牌关联查询用户的信息。之前的两篇文章,讲述了Spring Security 结合 OAuth2 、JWT 的使用,这一节要求对 OAuth2、JWT 有了解,若不清楚,先移步到下面两篇提前了解下。携带JWT令牌请求资源。
Spring Security OAuth2整合JWT实战教程
"这篇教程详细介绍了如何在Spring Security OAuth2框架中集成JWT(JSON Web Tokens)的示例代码。" 在现代Web应用中,安全性和权限管理是至关重要的部分,Spring Security OAuth2提供了强大的安全解决方案。同时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值