JWT认证标准原理以及在微服务系统中的设计及实现

最新推荐文章于 2022-07-08 11:31:52 发布
最新推荐文章于 2022-07-08 11:31:52 发布
阅读量204 收藏
点赞数
分类专栏: 登录 文章标签: JWT认证标准原理以及在微服务系统中的设计及实现

最近一直在思考微服务架构下的最佳授权方式,于是JWT便出现在了我的视野中,通过对其原理的学习及在项目中的实践我想这便是我想要的答案,本文将阐述JWT 背景原理,以及提及我在开发系统过程中通过API网关来进行JWT鉴权实现过程,下图展示了系统的架构及JWT认证所处位置;
在这里插入图片描述!
介绍
JWT (JSON Web Token) 是一套特别流行于分布式系统采用的授权标准 ,在采用加密等手段保证安全高效的同时,其基于JSON做为权限认证令牌的特性可以使其携带诸多非敏感数据,其所携带的数据可以确保授权的灵活高效;
其他认证方式
单体应用,基于session 进行认证控制(传统方式):

 在传统的单体应用中,系统只需要通过session便可以足够做到完美的权限认证;

   2.分布式系统,结合Redis等进行session:



    session共享方式是将所有的用户会话集中存储与一台共享session服务器,一般使用redis进行缓存,每次服务接收到客户端请求便到共享session服务器查询该客户端的session,这样便保证了在分布式系统中的所有服务器所获得的是相同的session,这是我之前分布式场景下最常使用的认证方式,但其于JWT相比有什么优缺点呢?

与session共享机制的对比
1.代码侵入,在每个服务上必须有存取session鉴权判断的代码;

2.不安全,虽然redis等可以很方便的进行分布式部署,假若session服务器挂掉,系统便完全无法使用,不满足分布式系统中的高可用;

3.内存无法控制,若用户访问量激增极可能冲破内存,对内存要求高;

与之相反这些正是JWT的优势所在:

4.无代码侵入 ,只需要配置一个认证服务,其他服务可以无需关注权限,并可以提高到API网关进行权限拦截;

5.JWT不依赖session,对内存无要求,大量的访问也从容应对,不易产生硬件瓶颈;

6.可以在JWT中存储角色等信息,减少数据库查询或无需查询(之后可能会再写一篇介绍jwt结合RBAC的设计,只需缓存少量的资源与角色的映射可以完成复杂灵活的鉴权操作);

JWT的组成
JWT在未解码的条件下看,就是一串由两个 . 相连接的三段编码:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIQTI1NiJ9.eyJyb2xlIjpbeyJyb2xlSWQiOjEsInVzZXJuYW1lIjoiemhhb3poYW96aGFvMiJ9XX0=.26d6c858e666ee510eb14640689e1bb121

第一段:eyJ0eXAiOiJKV1QiLCJhbGciOiJIQTI1NiJ9 为header 保存加密算法等头部信息 其内容本质为一段经过BASE64 编码的JSON Object

第二段:eyJyb2xlIjpbeyJyb2xlSWQiOjEsInVzZXJuYW1lIjoiemhhb3poYW96aGFvMiJ9XX0= 为playload 保存服务端自定义的信息,如有效时间、用户ID 、角色ID、远程IP其内容本质为一段经过BASE64 编码的JSON Object

第三段:26d6c858e666ee510eb14640689e1bb121 为Signature 为一段加密后的字段,服务端在接收到客户端Header中的jwt后便通过与这段字段的比对可以得知header playload是否为服务端提供,是否被修改后文将阐述加密过程;

   上方的JWT的原内容为:

# HEADER         coding时忽略注释,JSON中不可以存在注释

{
"alg": "HS256", #签名加密算法
"typ": "JWT" #指明为一条jwt类型
}

# PLAYLOAD      可以交由服务端放入自身想放入的任何有利于鉴权的信息

切记不可放入敏感数据如密码Base64只是编码 jwt内容人人可读

{
"sub": "1234567890",
"username": "John Doe",
"admin": true

SIGNATURE 签名加密算法采用HEADER中的alg指定算法

HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
#这是加密公式,当然你也可以自定义,只需要覆盖到HEADER PLAYLOAD即可,这样第三方对jwt内容稍作改动将无法与服务端重新计算数值相匹配;
在加密过程中需要一个secret变量这是整个系统最机密的一条字符了,加密即通过base64编码的HEADER + PLAYLOAD + secret 进行加密,该值只能保持在服务端,外部不可见;

JWT过程(图片从JWT官网 copy)

   JWT的过程,由客户端登录系统时登录成功,系统将生成相应的json数据编码并加密生成签名,形成一个 头部json Base64编码 + 荷载(playload) json Base64 + 对(头部json+ playload json)HA256加密生成的签名 的三段编码,各段编码以 “ . ” 隔开;注意第一二段(header & playload)采用Base64 编码 并非不可逆的加密算法,其仅仅起到编码作用,任何第三方都可以用Base64解码器对其数据进行解析还原,这是很多人存在的一个误区,第三段才是真实的不可逆加密采用HA256或MD5等都可以后面讲具体讲解加密流程及为何通过该段内容可以获知jwt真实性;

1.client 发起登录请求 携带 username password 等信息

2.server 接收用户登录请求,验证账户正确,正确返回一条jwt编码

3.客户端接收到jwt编码,之后每次发起请求在请求头中加入一条k/v值

4.server接收到client请求,获取到请求头中的jwt信息,对jwt进行校验若签名核对成功,则为server自身发出并未有第三方修改过真实可靠的信息,若为正确信息,对jwt中的header与playload进行Base64解析获取原json,读取json 中的信息获取用户的UserId、Role、jwt有效期等信息,在此时可以对用户访问的资源(路径)进行鉴权是否匹配该用户权限(该部分将在下一篇文章中提到);

5.若jwt合法,且符合server的鉴权规则那么返回给客户端相应请求;

加密及检验过程详解
前面已经或多或少提到了加密解密过程,若还是一头雾水请看该部分拨开迷雾,分布式系统是如何通过两段非加密的Base64编码数据及一段加密签名进行认证服务的;

   加密:

生成头JSON,荷载(playload) JSON

将头JSON Base64编码 + 荷载JSON Base64编码 +secret 三者拼接进行加密得到签名

JSON Base64编码 + 荷载JSON Base64编码 + 签名 三者通过 . 相连接

一条 hhh.ppp.sss 格式的JWT 即生成

  解密:

取得Jwt hhh.ppp.sss 格式字符,通过 . 将字符分为三段

对第一段进行Base64解析得到header json,获取加密算法类型

将第一段Header JSON Base64编码 + 第二段 荷载JSON Base64编码 + secret采用相应的加密算法加密得到签名

将步骤三得到的签名与步骤一分成的第三段也就是客户端传入的签名进行匹配,匹配成功说明该jwt为server自身产出;

获取playload内信息,通过信息可以做鉴权操作;

成功访问;

  通过这些步骤,保证了第三方无法修改jwt,jwt只能自产自销,在分布式环境下服务接收到合法的jwt便可知是本系统内自身或其他服务发出的jwt,该用户是合法的;

JWT在Spring Cloud系统上的实现
核心代码:

   CodecUtils.java

package cn.zynworld.hnister.common.utils;
import com.google.gson.*;
import org.apache.commons.codec.binary.Base64;
import org.apache.commons.codec.binary.Hex;
import org.springframework.util.StringUtils;
import java.io.UnsupportedEncodingException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
/**
* Created by zhaoyuening on 2018/1/26.
* 密码盐值加密
*/
public class CodecUtils {
//敏感值 用于对jwt HA256加密
private final static String SECRET = "jklf-=ertjerk.,sdf";
private static final Base64 BASE_64 = new Base64();
/**
* 盐值加密
* @param password
* @param sale
* @return
*/
public static String getSalePassword(String password,String sale){
password = getSHA256Str(password);
password = password + sale;
password = getSHA256Str(password);
return password;
}
/**
* 编码base64
* @param str
* @return
*/
public static String encodeBase64(String str){
return BASE_64.encodeToString(str.getBytes());
}
/**
* 解码base64
* @param str
* @return
*/
public static String decodeBase64(String str){
return new String(BASE_64.decode(str.getBytes()));
}
/**
* 获取盐值
* @return
*/
public static String getSale(){
return new Date().getTime()+"";
}
/**
* 获取SHA256加密字符串
* @param str
* @return
*/
public static String getSHA256Str(String str){
MessageDigest messageDigest;
String encdeStr = "";
try {
messageDigest = MessageDigest.getInstance("SHA-256");
byte[] hash = messageDigest.digest(str.getBytes("UTF-8"));
encdeStr = Hex.encodeHexString(hash);
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
return encdeStr;
}
/**
* 检验用户登录
* @param password
* @param sale
* @param encodedPassword
* @return
*/
public static boolean checkUser(String password,String sale,String encodedPassword){
if (StringUtils.isEmpty(password) || StringUtils.isEmpty(sale) || StringUtils.isEmpty(encodedPassword)){
return false;
}
String salePassword = getSalePassword(password, sale);
if (salePassword.equals(encodedPassword)){
return true;
}
return false;
}
//JWT
public static String getJwtString(){
return null;
}
//用于装载 jwt 信息的载体
public static class JwtBean{
private Map<String,Object> headMap = new HashMap<String, Object>();
private Map<String,Object> playloadMap = new HashMap<String, Object>();
private static Gson gson = new GsonBuilder().create();
private static JsonParser jsonParser = new JsonParser();
public JwtBean(){}
/**
* 通过jwt串 解码后获取JwtBean
* 若非合法jwt 将返回null
* @param jwt
* @return
*/
public static JwtBean getJwtBean(String jwt){
if (jwt == null){
return null;
}
String[] jwts = jwt.split("\\.");
if (jwts.length != 3){
return null;
}
//验证
String signature = getSHA256Str(jwts[0] + "." + jwts[1] + SECRET);
if (!jwts[2].equals(signature)){
return null;
}
//验证成功 构建jwtBean
JwtBean jwtBean = null;
try{
JsonElement headElement = jsonParser.parse(decodeBase64(jwts[0]));
JsonElement payloadElement = jsonParser.parse(decodeBase64(jwts[1]));
jwtBean = new JwtBean();
jwtBean.setHeadMap( JsonUtils.jsonToMap(decodeBase64(jwts[0])));
jwtBean.setPlayloadMap( JsonUtils.jsonToMap(decodeBase64(jwts[1])));
}catch (Exception e){
return null;
}
return jwtBean;
}
public void addHead(String key,Object value){
headMap.put(key,value);
}
public void addPlayload(String key,Object value){
playloadMap.put(key,value);
}
public Map<String, Object> getHeadMap() {
return headMap;
}
public Map<String, Object> getPlayloadMap() {
return playloadMap;
}
public Object getHead(String key){
return headMap.get(key);
}
public Object getPlayload(String key){
return playloadMap.get(key);
}
public String getHeadJson(){
return gson.toJson(headMap);
}
public String getPlayloadJson(){
return gson.toJson(playloadMap);
}
public JwtBean setHeadMap(Map<String, Object> headMap) {
this.headMap = headMap;
return this;
}
public JwtBean setPlayloadMap(Map<String, Object> playloadMap) {
this.playloadMap = playloadMap;
return this;
}
@Override
public String toString(){
String jwt = null;
String headJson = gson.toJson(headMap);
String playload = gson.toJson(playloadMap);
//base64
headJson = encodeBase64(headJson);
playload = encodeBase64(playload);
jwt = headJson + "." +playload;
jwt = jwt + "." + getSHA256Str(jwt + SECRET);
return jwt;
}
}
}

JsonUtils.java


package cn.zynworld.hnister.common.utils;
import com.google.gson.JsonElement;
import com.google.gson.JsonParser;
import java.util.*;
/**
* Created by zhaoyuening on 2018/1/26.
*/
public class JsonUtils {
private final static JsonParser JSON_PARSER = new JsonParser();
public static Map<String,Object> jsonToMap(String json){
JsonElement element = JSON_PARSER.parse(json);
if (! element.isJsonObject()){
return null;
}
return (Map<String, Object>) jsonToObject(element);
}
public static Object jsonToObject(JsonElement element){
if (element.isJsonPrimitive()){
return element.getAsJsonPrimitive().getAsString();
}
if (element.isJsonObject()){
Map<String, Object> map = new HashMap<String, Object>();
for (String key :
element.getAsJsonObject().keySet()) {
JsonElement jsonElement = element.getAsJsonObject().get(key);
map.put(key, jsonToObject(jsonElement));
}
return map;
}
if (element.isJsonArray()){
List<Object> list = new ArrayList<Object>();
for (int i=0;i<element.getAsJsonArray().size();i++){
JsonElement jsonElement = element.getAsJsonArray().get(i);
list.add(jsonToObject(jsonElement));
}
return list;
}
return null;
}
}

系统内所有编码加密相关功能都实现在了CodecUtils类下,另外jwt需要大量的json2map、map2json操作在JsonUtils类下依赖于google开源gson,可以通过jsonToMap等方法实现json字符到对象的转换;

   以上代码最核心部分为我实现在CodecUtils下的内部类JwtBean,其可以帮助系统自动的在编码与对象间灵活切换,可以通过该类下的getJwtBean(String jwt)将客户端发来的jwt编码自动解析为系统可以获取信息的对象,若为非法jwt将返回nul

在这里插入图片描述
在CodecUtils类下有一个关键字段SECRET便是我们前面提到的,需要其与header playload联合加密获取到签名不得暴露;

这样即可以达成所有service不需要再关注认证鉴权等流程,服务的开发只需要专心的关注业务流程就好啦!

JWT相对灵活多变,我采用了自己实现不一定需要完全按标准实施,不过大家可以查看jwt官网获得相应的库也很方便哦。https://jwt.io/#libraries

狼亦尘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务网关与用户身份识别,JWT+Spring Security进行网关安全认证
公众号:该用户快成仙了
08-27 768
JWT+Spring Security进行网关安全认证 JWT和Spring Security相结合进行系统安全认证是目前使用比较多的一种安全认证组合。疯狂创客圈crazy-springcloud微服务开发脚手架使用JWT身份令牌结合Spring Security的安全认证机制完成用户请求的安全权限认证。整个用户认证的过程大致如下: (1)前台(如网页富客户端)通过REST接口将用户名和密码发送到UAA用户账号与认证微服务进行登录。 (2)UAA服务在完成登录流程后,将Session ID作为JWT
浅谈ASP.NET Core jwt授权认证的流程原理
10-15
1. **配置JWT服务**:在`Startup.cs`的`ConfigureServices`方法,使用`services.AddAuthentication()`添加JWT认证,并指定认证方案(通常为"Bearer")。接着,使用`.AddJwtBearer()`扩展方法配置JWT验证参数,包括...
JWT认证介绍、JWT数据结构、JWT认证流程】
仙女肖消乐的博客
05-31 1654
JWT认证结构 Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 通俗来讲,JWT是一个含签名并携带用户相关信息的加密串,页面请求校验登录接口时,请求头
谈谈JWT鉴权的应用场景及使用建议?
Town
03-04 697
1.jwt和security的对比: JWT的优点: 无需再服务端存储用户数据,减轻服务端压力 轻量级,json风格,比较简单 跨语言 JWT的缺点: token一旦签发,无法修改 无法更新token有效期,用户登录状态刷新难以实现 无法销毁一个token,服务端不能对用户状态进行绝对控制 不包含权限控制 SpringSecurity: 优点: 用户信息保存再服务端,服务...
java 加密解密,编码解码工具类
weixin_44215249的博客
12-24 2718
导包 <!-- apache 加密工具组件 --> <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> <version>1.14</version> </dependency>
【MD5】快速实现MD5加密解密(盐值)
weixin_65690086的博客
07-08 6444
【MD5】快速实现MD5加密解密(盐值)
基于微服务架构的水果销售系统,毕业设计.zip
最新发布
12-30
通过这个“基于微服务架构的水果销售系统”项目,学习者可以深入理解微服务架构的原理和实践,掌握Java相关的开发技术,例如Spring Boot、Spring Cloud等,并了解如何在实际场景应用这些技术来构建一个完整的...
ASP.NET Core学习之使用JWT认证授权详解
10-14
总之,ASP.NET CoreJWT认证授权提供了一种灵活且安全的身份验证方法,适用于分布式、微服务架构的现代Web应用程序。理解JWT的工作原理和在ASP.NET Core实现,对于开发安全的Web服务至关重要。
详解SpringCloud服务认证JWT
08-28
微服务架构,服务认证是非常关键的一环,SpringCloud提供了多种认证方式,其JWT(JSON Web Token)因其独特的优势被广泛应用JWT是一种基于JSON的开标准(RFC 7519),主要用于在网络应用环境安全地传输...
微服务访问安全设计方案全探索
01-27
本文将探讨传统单体应用微服务架构下访问安全的设计原理及解决方案,重点在于如何在Spring Cloud微服务环境确保访问安全。 一、传统单体应用的访问安全设计 传统单体应用的访问安全主要依靠身份验证和权限控制...
SpringBoot集成Jwt实现用户登录
qq_40126996的博客
03-30 1687
前言 最近正在搭建一个SpringBoot+Vue的一套后台管理系统的模板,对于用户登录的功能使用了JWT实现的,自己在学习SpringCloud微服务时使用的就是JWT,通过Cookie来传递token,实现用户的登录状态。 以下就是自己在SpringBoot集成JWT过程。 1、加入maven依赖 <!-- jwt依赖 --> <dependenc...
Codec2入门:解码组件
仰望星空
03-17 9654
文章目录 1 前言 在本篇,我们将关注Codec 2.0以下几个问题: 1.从顶而下,一个解码组件是如何创建的 2.组件的接口有哪些,分别是什么含义 3.组件是如何运行的,输入与输出的数据流是怎样的 2 组件的创建 CCodec在allocate,通过CreateComponentByName创建了具体的解码组件。 //android/frameworks/av/media/codec2/sf...
commons-codec使用介绍
蒋固金(jianggujin)的专栏
04-14 1万+
commons-codec是Apache开源组织提供的用于摘要运算、编码的包。在该包主要分为四类加密:BinaryEncoders、DigestEncoders、LanguageEncoders、NetworkEncoders。
第二十五章:实现短信功能和注册功能
paynmind的博客
10-07 291
此博客用于个人学习,来源于网上,对知识点进行一个整理。 1. 发送短信服务: 短信微服务已经准备好,我们就可以继续编写用户心接口了。 1.1 接口说明: 业务逻辑是这样的: 我们接收页面发送来的手机号码 生成一个随机验证码 将验证码保存在服务端 发送短信,将验证码发送到用户手机 验证码有一定有效期,一般是5分钟,我们可以利用 Redis 的过期机制来保存。 1.2 Redis: 1)Spring Data Redis:是Spring Data 家族的一部分。 对 Jedis 客户端进行了封装,与 sp
apaceh commons-codec 加密工具类 DigestUtils
什么是江湖?
09-16 1万+
最近发现了一个工具类,很好用,以前使用MD5加密密码时,就用过Java提供的MD5相关类实现 如果使用DigestUtils,更加方便,应该学习一下。 加入这个依赖就可以了 commons-codec commons-codec 1.8 大家可以研究一下,附上一小点儿API截图
commons-codec使用简介
热门推荐
OceanSky的专栏
06-11 4万+
commons-codec是Apache开源组织提供的用于摘要运算、编码解码的包。常见的编码解码工具Base64、MD5、Hex、SHA1、DES等。 Base64编码 System.out.println(&amp;amp;quot;===============base64======================&amp;amp;quot;); Base64 base64 = new Base64...
apache commons工具类之 codec
iteye_7059的博客
07-18 739
Codec 提供了一些公共的编解码实现,比如Base64,Base32,Md5Crypt,Crypt等等。 [code="java"] package commons; import java.io.UnsupportedEncodingException; import org.apache.commons.codec.binary.Base64; import org.apa...
JWT认证标准原理 及在微服务系统设计实现
Buynow_Zhao的博客
05-31 6407
引言 最近一直在思考微服务架构下的最佳授权方式,于是JWT便出现在了我的视野,通过对其原理的学习及在项目的实践我想这便是我想要的答案,本文将阐述JWT 背景原理,以及提及我在开发系统过程通过API网关来进行JWT鉴权实现过程,下图展示了系统的架构及JWT认证所处位置;介绍 JWT (JSON Web Token) 是一套特别流行于分布式系统采用的授权标准 ,在采用加...
微服务安全基石:鉴权原理与实践
微服务-鉴权 微服务架构下的鉴权是确保系统安全性和...同时,为了保障安全性,微服务架构的鉴权设计需要考虑高可用性、容错性和可扩展性,确保即使在分布式环境下也能有效地验证用户身份并执行相应的访问控制策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值