JWT的使用:Spring Cloud微服务接口鉴权

最新推荐文章于 2024-07-31 08:35:25 发布
最新推荐文章于 2024-07-31 08:35:25 发布
阅读量1.1w 收藏 25
点赞数 3
分类专栏: Spring Cloud Backend 文章标签: Spring Cloud Gateway JWT 接口鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crazylai1996/article/details/86430457
版权

0 JWT是什么

JWT(JSON Web Token)是一种开放标准,它以一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。
其认证原理是,客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。

0.1 JWT的结构

一个JWT是一个字符串,其由Header(头部)、Payload(负载)和Signature(签名)三个部分组成,中间以.号分隔,其格式为Header.Payload.Signature,如下所示:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.
eyJpc3MiOiJNSU5HIiwiZXhwIjoxNTQ3MzQ1MjgxLCJ1c2VyTmFtZSI6ImFkbWluIiwiaWF0IjoxNTQ3MzQ1MjIxfQ.
NfsnnoORftR4oP7hFHjmDgj5HYxKd-RXjEW9upn9Tgk

Header
Header本质是一个JSON对象,由包含了两个属性:

{
  "alg": "HS256",
  "typ": "JWT"
}

alg表示签名的算法,typ则表示token的类型。然后,将Header进行Base64URL 编码转成字符串作为JWT的第一组成部分。
Payload
JWT的第二组成部分被称作载荷,其本质也是一个JSON对象,用来存放认证所需的一些额外声明,其包含有一种类型:标准中注册的声明(registered),公共的声明(public), 和私有的声明(private claims),其中公有声明和私有声明可自定义字段。
标准中注册的声明 (建议但不强制使用) :

iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号

仅有的声明和私有的声明可以添加一些额外的用户属性,例如:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

由于JWT 是不加密的,所以不应该把用户敏感类信息放在这个部分。
Payload部分进行Base64URL 编码转成字符串,即为JWT的第二组成部分。

Signature
JWT的第三组成部分是签名,它是对前面两个部分的签名。比如,如果JWT中Header指定的算法是 MAC SHA256,那么Signature为,其中secret加解密使用的密钥:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

关于JWT更详细的介绍,可到官网查看:https://jwt.io/introduction/

0.2 JWT的使用场景

由于JWT传输过程中可携带额外的信息(如用户信息),使用JWT后,服务端不再需要保存用户的状态信息,服务端需要保存的只有加解密使用的密钥。由于JWT的无状态特性(不需存储),在一个分布式的面向服务的框架中,使用JWT做接口鉴权是再适合不过的了。

1 JWT用作接口鉴权

由于JWT的天然无状态,在JWT生成的一刻,其过期时间就已经注定了,并且不可更改,所以,如果要对JWT实现token续签的话,一般的做法是额外生成一个refreshToken用于获取新token,refreshToken需存储于服务端,其过期时间可以比JWT的过期时间要稍长。
在Spring Cloud微服务框架下,要实现接口的鉴权,最好的方式就是通过Spring Cloud Gateway网关服务来完成。网关提供了统一服务的访问接口,客户端在调用服务时,须先经过网关,网关进行权限的校验,对非法请求进行过滤后再进行请求的转发,以此来完成鉴权。
接下来,我们通过在网关中使用JWT实现一个简单的鉴权服务。

其授权基本流程:
1 用户提交账号密码,服务生成token和refreshToken并返回,其中refreshToken设置过期时间,并关联用户身份和当前的token;
2 用户请求服务时,前置网关对请求进行过滤,从请求中取出token,在验证通过后将token中包含的身份信息作为参数所加到当前请求;
3 用户请求到达具体的服务后,取出包含的身份信息,进行具体的业务处理;

token的刷新流程:
1 用户携带refreshToken参数请求token刷新接口,服务端在判断refreshToken未过期后,取出关联的用户信息和当前token,使用当前用户信息重新生成token,并将旧的token置于黑名单中,返回新的token;
2 用户携带新token重新进行请求;

该示例中JWT的实现使用了开源的Java JWT,地址为:https://github.com/auth0/java-jwt

1.1 代码实现

1.1.1 登录授权:token的生成
	public Map<String,Object> login(@RequestParam String userName,
                                    @RequestParam String password){
        Map<String,Object> resultMap = new HashMap<>();
        //账号密码校验
        if(StringUtils.equals(userName, "admin")&&
                StringUtils.equals(password, "admin")){

            //生成JWT
            String token = buildJWT(userName);
            //生成refreshToken
            String refreshToken = UUID.randomUUID().toString().replaceAll("-","");
            //保存refreshToken至redis,使用hash结构保存使用中的token以及用户标识
            String refreshTokenKey = String.format(jwtRefreshTokenKeyFormat, refreshToken);
            stringRedisTemplate.opsForHash().put(refreshTokenKey,
                    "token", token);
            stringRedisTemplate.opsForHash().put(refreshTokenKey,
                    "userName", userName);
            //refreshToken设置过期时间
            stringRedisTemplate.expire(refreshTokenKey,
                    refreshTokenExpireTime, TimeUnit.MILLISECONDS);
            //返回结果
            Map<String, Object> dataMap = new HashMap<>();
            dataMap.put("token", token);
            dataMap.put("refreshToken", refreshToken);
            resultMap.put("code", "10000");
            resultMap.put("data", dataMap);
            return resultMap;
        }
        resultMap.put("isSuccess", false);
        return resultMap;
    }
    private String buildJWT(String userName){
        //生成jwt
        Date now = new Date();
        Algorithm algo = Algorithm.HMAC256(secretKey);
        String token = JWT.create()
                .withIssuer("MING")
                .withIssuedAt(now)
                .withExpiresAt(new Date(now.getTime() + tokenExpireTime))
                .withClaim("userName", userName)//保存身份标识
                .sign(algo);
        return token;
    }
1.1.2 token的刷新
public Map<String,Object> refreshToken(@RequestParam String refreshToken){
        Map<String,Object> resultMap = new HashMap<>();
        String refreshTokenKey = String.format(jwtRefreshTokenKeyFormat, refreshToken);
        String userName = (String)stringRedisTemplate.opsForHash().get(refreshTokenKey,
                "userName");
        if(StringUtils.isBlank(userName)){
            resultMap.put("code", "10001");
            resultMap.put("msg", "refreshToken过期");
            return resultMap;
        }
        String newToken = buildJWT(userName);
        //替换当前token,并将旧token添加到黑名单
        String oldToken = (String)stringRedisTemplate.opsForHash().get(refreshTokenKey,
                "token");
        stringRedisTemplate.opsForHash().put(refreshTokenKey, "token", newToken);
        stringRedisTemplate.opsForValue().set(String.format(jwtBlacklistKeyFormat, oldToken), "",
                tokenExpireTime, TimeUnit.MILLISECONDS);
        resultMap.put("code", "10000");
        resultMap.put("data", newToken);
        return resultMap;
    }
1.1.3 网关鉴权:token的校验
@Component
public class AuthFilter implements GlobalFilter, Ordered {

    private static final Logger LOGGER = LoggerFactory.getLogger(AuthFilter.class);

    @Value("${jwt.secret.key}")
    private String secretKey;

    @Value("${auth.skip.urls}")
    private String[] skipAuthUrls;

    @Value("${jwt.blacklist.key.format}")
    private String jwtBlacklistKeyFormat;

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public int getOrder() {
        return -100;
    }

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        String url = exchange.getRequest().getURI().getPath();
        //跳过不需要验证的路径
        if(Arrays.asList(skipAuthUrls).contains(url)){
            return chain.filter(exchange);
        }
        //从请求头中取出token
        String token = exchange.getRequest().getHeaders().getFirst("Authorization");
        //未携带token或token在黑名单内
        if (token == null ||
                token.isEmpty() ||
                    isBlackToken(token)) {
            ServerHttpResponse originalResponse = exchange.getResponse();
            originalResponse.setStatusCode(HttpStatus.OK);
            originalResponse.getHeaders().add("Content-Type", "application/json;charset=UTF-8");
            byte[] response = "{\"code\": \"401\",\"msg\": \"401 Unauthorized.\"}"
                    .getBytes(StandardCharsets.UTF_8);
            DataBuffer buffer = originalResponse.bufferFactory().wrap(response);
            return originalResponse.writeWith(Flux.just(buffer));
        }
        //取出token包含的身份,用于业务处理
        String userName = verifyJWT(token);
        if(userName.isEmpty()){
            ServerHttpResponse originalResponse = exchange.getResponse();
            originalResponse.setStatusCode(HttpStatus.OK);
            originalResponse.getHeaders().add("Content-Type", "application/json;charset=UTF-8");
            byte[] response = "{\"code\": \"10002\",\"msg\": \"invalid token.\"}"
                    .getBytes(StandardCharsets.UTF_8);
            DataBuffer buffer = originalResponse.bufferFactory().wrap(response);
            return originalResponse.writeWith(Flux.just(buffer));
        }
        //将现在的request,添加当前身份
        ServerHttpRequest mutableReq = exchange.getRequest().mutate().header("Authorization-UserName", userName).build();
        ServerWebExchange mutableExchange = exchange.mutate().request(mutableReq).build();
        return chain.filter(mutableExchange);
    }

    /**
     * JWT验证
     * @param token
     * @return userName
     */
    private String verifyJWT(String token){
        String userName = "";
        try {
            Algorithm algorithm = Algorithm.HMAC256(secretKey);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withIssuer("MING")
                    .build();
            DecodedJWT jwt = verifier.verify(token);
            userName = jwt.getClaim("userName").asString();
        } catch (JWTVerificationException e){
            LOGGER.error(e.getMessage(), e);
            return "";
        }
        return userName;
    }

    /**
     * 判断token是否在黑名单内
     * @param token
     * @return
     */
    private boolean isBlackToken(String token){
        assert token != null;
        return stringRedisTemplate.hasKey(String.format(jwtBlacklistKeyFormat, token));
    }
}

完整代码见:GitHub

参考链接:
http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

赖小明
关注
专栏目录
Spring Cloud Gateway整合JWT现统一认证和鉴权
LynRaen的博客
03-02 4707
当下比较主流的微服务权限解决方案,在网关进行校验认证和鉴权,而系统其他的业务api服务只需要单纯的提供服务。从而实现业务逻辑代码和认证鉴权的解耦。 系统架构 架构方面可以抽象成三种类型的服务,分别是网关服务、认证服务、API服务 主要maven依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-.
Spring Cloud微服务接口鉴权(利用JWT生成的TOKEN)
c815852517的博客
09-23 2399
0 JWT是什么 JWT(JSON Web Token)是一种开放标准,它以一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。 其认证原理是,客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。 0.1 JWT的结构 一个JWT是一个字符串,其由H...
SpringCloud-Gateway鉴权
海的那边,还是海吗
09-15 2716
API 网关是位于客户端和后端服务之间的中间层,负责管理、监控和保护 API。它可以用于实现许多功能,包括路由请求、负载均衡、鉴权、日志记录、缓存和限速等。在这里,我们将重点关注如何使用 API 网关来实现鉴权。API 网关是实现鉴权和安全性的重要工具之一。它可以集中管理鉴权逻辑,提供监控和日志记录功能,同时还具有灵活性和性能优势。在构建微服务架构或任何需要鉴权的应用程序时,考虑使用 API 网关来提高安全性并简化管理。
Spring Cloud Gateway
最新发布
hong161688的博客
07-31 1010
Spring Cloud Gateway作为Spring Cloud生态系统中的一个关键组件,扮演着API网关的重要角色。在微服务架构日益盛行的今天,API网关成为了连接前端与后端服务、实现服务路由、负载均衡、安全认证等功能的核心枢纽。本文将从Spring Cloud Gateway的基本概念、核心组件、功能特性、应用场景以及配置和使用方法等多个方面进行详细阐述。
springcloudjwt使用_spring cloud微服务架构设计
weixin_39553653的博客
11-22 304
spring cloud微服务架构设计1.概述本文分别从整体层级、开发视图、部署视图三个角度,对整个系统的微服务架构进行“解剖”。整体层级关注调用的层级(从终端人机界面到物联网);开发视图则主要面向开发人员,描述了系统工程结构、模块及关联关系;部署视图则是系统最终部署时的拓扑图;通过这些视角可以较为清晰的明白整个微服务架构设计思路。2.整体层级视图自顶向下的一张调用层次关系图:详细的说明,见下方的...
springcloud gateway 鉴权_SpringCloud-gateway原理
weixin_39877182的博客
12-08 746
1.什么是gateway(网关)Spring Cloud GatewaySpring Cloud官方推出的第二代网关框架,取代Zuul网关。网关作为流量的,在微服务系统中有着非常作用,网关常见的功能有路由转发、权限校验、限流控制等作用。本文首先用官方的案例带领大家来体验下Spring Cloud的一些简单的功能,在后续会使用详细的案例和源码解析来详细讲解Spring Cloud Gateway....
springcloudjwt使用_推荐一个服务端信息传输安全神器:JSON Web Token (JWT)
weixin_39842029的博客
11-20 126
JWT介绍JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑独立的基于JSON对象在各方之间安全地传输信息的方式。这些信息可以被验证和信任,因为它是数字签名的。JWTs可以使用一个密钥(HMAC算法),或使用RSA的公钥/私钥密钥对对信息进行签名。让我们进一步解释这个定义的一些概念。紧凑由于其较小的体积,JWTs可以通过URL、POST参数或HTTP头部参数...
田鼠:SpringCloud微服务业务框架,SpringCloud微服务商业脚手架
02-03
Vole是一个基于最新的SpringCloud2.0的微服务商业开发脚手架->(非教学版),支持公司全方位应用架构搭建 产品特点 基于Eureka的服务管理 基于Spring-Cloud-Config的配置管理 基于Spring-Oauth2的jwt鉴权服务 基于...
springcloud 微服务鉴权_浅谈Spring Cloud微服务权限方案
weixin_29315091的博客
12-30 556
背景从传统的单体应用转型Spring Cloud的朋友都在问我,Spring Cloud下的微服务权限怎么管?怎么设计比较合理?从大层面讲叫服务权限,往小处拆分,分别为三块:用户认证、用户权限、服务校验。用户认证传统的单体应用可能习惯了session的存在,而到了Spring cloud微服务化后,session虽然可以采取分布式会话来解决,但终究不是上上策。开始有人推行Spring Cloud...
SpringCloud微服务整合Spring Security进行统一鉴权
lyy的博客
04-15 3743
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要做这一步。
java 接口鉴权_Spring Cloud Gateway:整合JWT实现接口鉴权
weixin_42130862的博客
02-24 885
0 JWT是什么JWT(JSON Web Token)是一种开放标准,它以一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。其认证原理是,客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。0.1 JWT的结构一个JWT是一个字符串,其由Heade...
基于security_oauth2 构建spring cloud网关的安全认证服务
01-16
基于security_oauth2 构建spring cloud网关的安全认证服务,使用数据库存储和动态请求连接过滤的方式,实现细粒度的url权限控制
Spring Cloud微服务权限方案
weixin_33693070的博客
11-06 157
背景从传统的单体应用转型Spring Cloud的朋友都在问我,Spring Cloud下的微服务权限怎么管?怎么设计比较合理?从大层面讲叫服务权限,往小处拆分,分别为三块:用户认证、用户权限、服务校验。 用户认证传统的单体应用可能习惯了session的存在,而到了Spring cloud微服务化后,session虽然可以采取分布式会话来解决,但终究不是上上策。开始有人推行Spring Clou...
SpringCloudGateway鉴权
热门推荐
拒绝熬夜啊的博客
11-03 2万+
一、JWT 实现微服务鉴权 JWT一般用于实现单点登录。单点登录:如腾讯下的游戏有很多,包括lol,飞车等,在qq游戏对战平台上登录一次,然后这些不同的平台都可以直接登陆进去了,这就是单点登录的使用场景。JWT就是实现单点登录的一种技术,其他的还有oath2等。 1 什么是微服务鉴权 我们之前已经搭建过了网关,使用网关在网关系统中比较适合进行权限校验。 那么我们可以采用JWT的方式来实现鉴权校验。 2.代码实现 思路分析 1. 用户进入网关开始登陆,网关过滤器进行判断,如果是登录,则路由到后台管理微服务
spring cloud gateway 鉴权_新一代路由网关Gateway
weixin_39950812的博客
12-10 792
Zuul和Gateway的背景故事Zuul是Netflix公司的网关组件,在1.x版本中,Cloud都是采用的Zuul网关,但是随着技术发展,Netflix公司发现需要对Zuul进行升级,但这时发生了意外,Zuul的核心开发成员跳槽,公司内部对Zuul的升级产生分歧,导致Zuul2一次又一次的推迟上线。目前Zuul停止维护,Zuul2正在研发中,技术迟迟未定。所以Spri...
手摸手 Spring Cloud Gateway + JWT 实现登录认证
悟空聊架构的专栏
08-30 1654
你好,我是悟空,上篇我已经讲解了 Spring Cloud 的原理和实战,这次就要结合 JWT 来实现登录认证的功能了。本文已收录至《深入剖析 Spring Cloud 底层架构原理》,已更新 18 讲。如何用认证服务做登录认证。如何生成 JWT 令牌(Token)如何用 Gateway 对 Token 验证。Gateway 如何从 Token 中拿到用户信息并转发给业务服务。业务服务如何从请求中拿到身份信息处理业务逻辑。如何刷新令牌。本篇还是基于我的开源项目 PassJava 作为讲解。...
SpringCloudGateway之统一鉴权
HMing的博客
03-14 3269
在客户端登录成功后,服务端生成一个包含用户信息和过期时间等数据的JWT令牌返回给客户端。客户端在后续请求中将此令牌放在请求头(如Authorization: Bearer token)中发送给网关。网关层通过自定义的GatewayFilter Factory来拦截所有请求,并检查请求头中的JWT令牌,使用对应的解码器对其进行解密和校验,包括但不限于签名验证、过期时间检查等。
(119)Part32-Gateway微服务网关-04-微服务网关鉴权
希冀
07-09 787
一、网关鉴权 1、问题 当我们在未登录状态下点击“立即购买”按钮时,会显示“需要登录”,当未登录时需要跳转到登录页面 2、解决方案 微服务网关中添加自定义全局过滤器,统一处理需要鉴权的服务 3、鉴权逻辑描述 当客户端第一次请求服务时,服务端对用户进行信息认证(登录) 认证通过,生成token,返回给客户端 作为登录凭证以后每次请求,客户端都携带认证的token 服务端对token进行校验,并解析自包含信息,判断是否有效 对于验证用户是否已经登录鉴权的过程可以在网关统一检验。检验的标准就是请求中是否携
springcloud-gateway-2-鉴权
Java自学笔记-springBoot微服务
12-23 1947
springCloud-gateway鉴权,GlobalFilter全局过滤器实现通用拦截,用GatewayFilter实现单个服务或指定服务的过滤拦截。
瑞达通用权限系统:SpringCloud微服务框架下的权限解决方案
"瑞达通用权限系统是一个基于SpringCloudSpringBoot的微服务框架,旨在提供一套通用的权限管理解决方案,包含用户管理、资源权限管理、网关鉴权和安全防护等功能。该项目采用一系列主流技术如Zuul、Nacos、Feign、...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值