JWT和网关双令牌登录验证

已于 2024-04-18 14:46:22 修改
阅读量313 收藏 9
点赞数 4
分类专栏: Java项目记录 文章标签: java spring spring boot
于 2024-04-18 14:23:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lty1392309506/article/details/137920143
版权

使用JWT(JSON Web Token)和网关实现双令牌登录验证是一种安全性较高的方案。双令牌通常包括一个短期有效的访问令牌(access token)和一个长期有效的刷新令牌(refresh token)。以下是如何在Spring Boot项目中使用JWT和网关实现双令牌登录验证的步骤:

1. 设计令牌生成与验证策略

  • 访问令牌(Access Token):访问令牌是一个短期有效的JWT,它包含用户的身份信息和权限。访问令牌通常用于保护API端点,以确保只有授权用户才能访问。
  • 刷新令牌(Refresh Token):刷新令牌是一个长期有效的令牌,它用于在访问令牌过期后获取新的访问令牌。刷新令牌通常比访问令牌更安全,因为它只用于刷新令牌,不用于访问API。

2. 引入依赖

Maven依赖:

<dependencies>
    <!-- Spring Boot Starter Web -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <!-- Spring Boot Starter Security -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <!-- Spring Cloud Gateway -->
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-gateway</artifactId>
    </dependency>

    <!-- JWT依赖 -->
    <dependency>
        <groupId>io.jsonwebtoken</groupId>
        <artifactId>jjwt-api</artifactId>
        <version>0.11.2</version>
    </dependency>
</dependencies>

3. 生成和验证JWT

定义一个类,用于生成和验证JWT。可以使用JJWT库来处理JWT:

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;

public class JwtUtils {

    private static final String SECRET_KEY = "your-secret-key";
    private static final long ACCESS_TOKEN_EXPIRY = 5 * 60 * 1000; // 5分钟
    private static final long REFRESH_TOKEN_EXPIRY = 30 * 24 * 60 * 1000; // 30天

    // 生成访问令牌
    public static String generateAccessToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + ACCESS_TOKEN_EXPIRY))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    // 生成刷新令牌
    public static String generateRefreshToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + REFRESH_TOKEN_EXPIRY))
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    // 验证令牌
    public static String verifyToken(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(SECRET_KEY)
                    .parseClaimsJws(token)
                    .getBody()
                    .getSubject();
        } catch (Exception e) {
            return null; // 验证失败
        }
    }
}

这个类负责生成访问令牌和刷新令牌,以及验证令牌。

4. 在登录接口中使用JWT

在登录接口中,验证用户的凭证(例如用户名和密码),如果验证成功,生成访问令牌和刷新令牌,并将它们返回给客户端。

import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class AuthController {

    @PostMapping("/login")
    public ResponseEntity<Map<String, String>> login(@RequestBody LoginRequest loginRequest) {
        // 验证用户凭证(例如用户名和密码)
        // 假设验证通过
        
        // 生成访问令牌和刷新令牌
        String accessToken = JwtUtils.generateAccessToken(loginRequest.getUsername());
        String refreshToken = JwtUtils.generateRefreshToken(loginRequest.getUsername());

        // 返回令牌
        Map<String, String> tokens = new HashMap<>();
        tokens.put("accessToken", accessToken);
        tokens.put("refreshToken", refreshToken);

        return ResponseEntity.ok(tokens);
    }
}

5. 在网关中验证访问令牌

在Spring Cloud Gateway中使用自定义过滤器来验证访问令牌:

import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.http.HttpStatus;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

@Configuration
public class JwtAuthenticationFilter implements GlobalFilter, Ordered {

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        // 从请求头中获取令牌
        String token = exchange.getRequest().getHeaders().getFirst("Authorization");

        // 验证令牌
        String username = JwtUtils.verifyToken(token);
        if (username == null) {
            // 令牌验证失败
            exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED);
            return exchange.getResponse().setComplete();
        }

        // 令牌验证成功,继续处理请求
        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        return -1; // 设置过滤器优先级
    }
}

这个过滤器会在请求到达网关时验证访问令牌。如果令牌无效或缺失,过滤器会返回HTTP 401 Unauthorized响应;否则,继续处理请求。

6. 刷新令牌

你可以提供一个接口,用于根据刷新令牌获取新的访问令牌。这通常是在访问令牌过期后客户端请求的。

import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class TokenController {

    @PostMapping("/refresh")
    public ResponseEntity<String> refresh(@RequestBody Map<String, String> request) {
        String refreshToken = request.get("refreshToken");
        String username = JwtUtils.verifyToken(refreshToken);

        if (username == null) {
            // 刷新令牌验证失败
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
        }

        // 生成新的访问令牌
        String newAccessToken = JwtUtils.generateAccessToken(username);

        return ResponseEntity.ok(newAccessToken);
    }
}

总结:

通过以上步骤,你可以使用JWT和网关实现双令牌登录验证。该方案通过访问令牌保护API端点,通过刷新令牌获取新的访问令牌,提高了安全性和用户体验。在生产环境中,记得对JWT的密钥和配置进行妥善管理。

惊雲浅谈天
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Vue:token无感刷新
ruancexiaoming的博客
03-06 2610
refresh token的目的是在access token过期后,无需用户重新登录,客户端可以使用refresh token向认证服务器申请新的access token。为了保证安全性,refresh token一般具备一定的安全措施,例如限制其使用次数(防止无限刷新)、设置有效期(过期后必须重新登录)以及严格的存储策略(通常不会在客户端明文存储,而是存储在服务器端或经过加密存储在客户端本地)。用户登录时,通过用户名、密码或其他认证方式向认证服务器请求授权。src目录下创建以下两个文件。
Spring Boot 优雅集成 Spring Security 5.7(安全框架)与 JWT令牌机制)
欲变世界,先变其身
06-15 4360
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IOC(控制反转),DI(依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Flask项目中实现JWT认证机制---token机制
sn0wp3ak
04-06 2278
核心思想 解决单一token的安全问题,设置2个token一个对接业务,有需求就带着业务token去认证然后操作相关功能,有效期较短,2小时;另一个token专门用来刷新业务token,简称刷新token,具有较长的过期时间,14天; 当业务token过期时,必须携带刷新token通过put接口来实现token的刷新,新的业务token还是存活2小时,这期间刷新token一直不变,直到14天后刷新...
JWT令牌token)实现登录验证
weixin_43973161的博客
09-23 5569
就是在登陆操作之后由服务端返回两个token:accessToken和refreshToken,在之后的验证登录态的操作中使用这两个token进行验证,其中accessToken的过期时间相当短,refreshToken的过期时间相对于accessToken而言相当长,且会不断的刷新。我们除了access token也就是这个接入token啊。或者说资源访问的这个之外,我们加一个这个刷新token,那么这个刷新token它的有效时长一般会比我们的接入token的时间长很多。就比如说刚才说到了这个接入tok
基于JWT的token验证机制
Wangdiankun的博客
03-26 360
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的应用返回越来越广泛,它很好的取代了原始的保存在session中的登录认证的方式,因为这种方式在用户量上升的时候,消耗的内存较多,而且对于分布式的站点,虽然可以使用共享session来实现单点登录但是对于系统消耗较大。 JWT说的本质一点就是在用户登录后对用户信息进行固定约束的加密手段从而产
jwt续签为什么要使用token,是否单个token也可以吗?
最新发布
java架构师进阶之路的博客
02-26 538
通俗易懂,深入浅出,一文讲清楚jwt的所有细节。
45.token无感熟悉以及解决sso单点登录限制
YouMing_Li的博客
11-30 1631
上文已经介绍了jwt的基本原理和用法,,本文将介绍token机制,以及sso单点登录
网关Jwt令牌.doc
10-16
这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。 流程上是这样的: • 用户使用用户名密码来请求服务器 • 服务器进行验证用户的信息 • 服务器通过验证发送...
javaJWT令牌和微服务网关使用.docx
07-02
认证复杂,每个服务都需要独立认证 难以重构,随着项目的迭代,可能需要重新划分微服务。例如,可能将多个服务合并成一个或者将一个服务拆分成多个。如果客户端直接与微服务通信,那么重构将会很难实施 某些...
lambda-authorizer-jwt:适用于AWS API网关的Lambda授权器,用于解码和验证JSON Web令牌
05-01
JWT令牌Lambda授权者概述此函数使用jwks-rsa和jsonwebtoken npm软件包来实现JSON Web令牌JWT)的令牌验证。 这些令牌由ID提供者使用OAuth2协议授予。 授权者希望在Authorization标头中找到一个JWT。 来自身份提供...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发...
wso2-jwt-verify:jsonwebtoken jwt.verify()对我不起作用。 从WSO2 API网关JWTJava)签名令牌
04-27
用于验证JWT签名的Express中间件 使用RSA wso2carbok私钥与WSO3 SHA256签名 jsonwebtoken jwt.verify()对我不起作用。 在WSO2中启用了JWT,方法是: ://docs.wso2....
登录生成token的理解
m0_64479814的博客
04-21 4719
token机制是为了提高系统安全性而采用的一种措施。它指的是在登录成功后,会生成两个token返回给客户端::用于访问受限资源,有一定的生命周期,过期需要重新获取。:用于刷新Access Token,生命周期较长。
Jwt 令牌 token 使用策略
TOTOcbz的博客
06-21 1405
并且,如果客户端需要加个“管理我的设备”功能,也能一并实现了。如果存在,则表示验证通过,其后的操作则与登录时一致,即生成长短令牌与有状态token,前俩令牌返回客户端,有状态令牌存redis,并在redis中删去此次请求中已使用过的 有状态令牌。将token按照某一规则进行转变,转变为一个有状态的token ,以此为redis中的key存入redis,当请求通过前两次认证后,将会将token转为有状态的token ,判断Redis中是否含有,校验成功,并在redis中删去此次请求中已使用过的 有状态令牌
JWT你真的明白吗?介绍项目常用的运用方式
qq_60891094的博客
10-19 74
JWT是什么,以及它所对应的流程这里不详细说了,市面上能看到很多为什么用JWT?1、传统的session存储在服务器中,随着用户的增加服务器压力增大,而JWT不需要存储在服务器中,数量小,传输速度快2、在分布式环境中,携带sessionId的请求发送到没有存它数据的服务器中,造成失效,JWT很适用于微服务3、JWT适用于多web平台更多jwt内容就不说的可以查看官网。
JWT之token机制与token详解
热门推荐
qq_41634455的博客
01-13 1万+
token机制 何为token ​ token即为令牌,是服务器生成的一串字符串,作为客户端向服务器进行请求的“通行证”。在客户端进行初次登陆后由服务器返回,之后的每次请求只需要携带token进行请求即可,而无需携带密码等敏感信息 为何token token可以减少敏感信息在网络间的传递 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用 JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息 便于传输,jwt的构成非常简单
Jwt 4.1 Token简单封装
qq_30328407的博客
07-24 478
用户登录,系统返回两个令牌,AccessToken和RefreshToken,AccessToken是资源访问令牌,有效期较短;为避免在使用JWT的时候,Token过期后,会自动退出系统回到登录页面,最好是采用Token的机制;Jwt4.0以上版本的封装网上的参考比较少,在这里,提供一份简单的封装,至于令牌的具体实现,后面再陆续分享。测试类文件app/admin/controller/JwtTest.php。前提条件PHP7.4版本及以上,lcobucci/jwt4.1.5。...
JWT的优缺点以及token实现无感知回话管理
weixin_44421461的博客
06-11 2071
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析...
微服务中的网关的认证和鉴权怎么设计
03-27
在微服务架构中,网关作为服务的入口,扮演着非常重要的角色。对于网关的认证和鉴权,可以通过以下几种方式进行设计: 1. 使用JWT令牌认证:JWT令牌是一种轻量级的认证方式,可以在用户登录后颁发一个包含用户信息的JWT令牌,然后将该令牌存储在客户端中。当客户端请求微服务时,将JWT令牌携带在请求头中,网关可以通过验证JWT令牌中的签名和有效期来判断令牌是否有效,从而进行认证和鉴权。 2. 使用OAuth2认证:OAuth2是一种标准的认证协议,可以通过OAuth2服务器颁发访问令牌,然后将访问令牌存储在客户端中。当客户端请求微服务时,将访问令牌携带在请求头中,网关可以通过OAuth2服务器验证访问令牌的有效性,从而进行认证和鉴权。 3. 使用API密钥认证:API密钥是一种简单的认证方式,可以为每个微服务颁发一个唯一的API密钥,然后将API密钥存储在客户端中。当客户端请求微服务时,将API密钥携带在请求头中,网关可以通过验证API密钥的有效性来进行认证和鉴权。 4. 使用服务代理认证:服务代理是一种将多个微服务封装在一起的方式,可以通过服务代理对微服务进行统一的认证和鉴权。服务代理可以在请求微服务之前进行认证和鉴权,从而保证请求的合法性。 总之,在微服务中,网关的认证和鉴权非常重要,可以根据业务需求和安全要求,选择合适的认证方式进行设计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

惊雲浅谈天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值