springcloud网关层鉴权

已于 2024-06-20 15:20:05 修改
阅读量169 收藏
点赞数 4
文章标签: spring cloud spring 后端
于 2024-06-19 10:51:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63784117/article/details/139796192
版权

鉴权:用户登录之后发放一个新的token,用户访问应用的时候校验username和token是否有效。

token:类似于访问应用的一个钥匙。token存在且有效才可以访问应用,否则403,request forbidden。

实现鉴权的组件:spring的security和apache的shiro。

基于token实现鉴权的技术:oauth、某大型应用使用的推飞、jwt鉴权。

实现鉴权的三大板块:

    1、auth-service。提供token的创建(用户登录后发放一个新的token)、验证(校验username和token是否有效,无效则403requestforbidden)和刷新服务。

    2、auth-service-api。使用接口抽离的层次结构,抽离出实体类、响应类和feign的interface,为保持其纯洁性,不包含任何业务代码和方法的编写,纯粹地只是包含属性和抽象方法。

    3、gateway-sample。将过滤器添加到网关地路由规则中,直至路由生效。

实现鉴权的具体逻辑:

    1、登录。首先校验数据库用户名和密码是否存在且正确。若正确,使用jwt生成token,将username、token、refreshToken(UUID.RandomUUID())设置进Account中。redis中存储account并把refreshToken当作key。token实则被存储在account中。refreshToken的作用在于从redis中获取account。

    2、验证。传递username和token验证当前token是否有效。

    3、刷新即将过期的token。验证refreshToken是否可以从redis中获取到account,如果account存在,则使用account(实际上起作用的是其中的username)创建一个token。重新生成一个refreshToken。删除redis中旧的refreshToken。将新的refreshToken和account设置进redis并返回success。刷新和login都会response一个account。验证仅仅response成功或者失败。

token的创建和校验:

    使用jwt创建token。

        1、算法。使用HMA256算法对token进行加密和解密。

        2、key。在外部加密之后再传入系统,开发人员不允许查看。是HMA256算法的一个参数。

        3、issuer。发行人。发行人联合key使得代码更加具有健壮性。黑客必须同时破解key和issuer才有可能使得token验证成功。

        4、当前时间。设置发行token的发行、创建时间。

        5、token的有效时间。是一个时间戳,当前时间+有效时间得出token过期的具体时间。时间过后,该token就不在有效。

        6、claim。额外参数,可以是username和role(角色)。在验证token有效性的基础上额外验证username(传递进来的方法参数)是否和token创建之初指定的username是否一致。若不一致会直接throw Exception,代表token无效。

       7、sign(algorithm)。用来return一个token,参数是指定的HMA256算法对象。

    使用jwt校验token。

        1、issuer。校验发行人是否与token创建之初指定的发行人是否一致。虽然发行人在JwtService是一个静态常量,创建和校验都是使用的同一个发行人。所以这一层校验必过。开发人员知道,但是对于非开发人员来说,猜对不是一件易事。

       2、claim(USER_NAME,username)。额外校验方法请求参数中的username与token创立之初设置的username是否一致。

      3、require(glorithm)。选择token创立之初同样的算法对象HMA256用于解密。加密和解密使用的算法要用同一个。

      4、使用verifier的verify(token)验证token是否有效。只要没有throw Exception就代表token有效。

      5、使用JWT的静态方法require()获取JWTVerifier类实例。用于调用verify(token)。

auth-service、auth-service-api、gateway-sample三个module之间的关系:

    1、auth-service和gateway-sample都以依赖的方式引入了auth-service-api。gateway-sample要用到远程调用的依赖,故需要引入。auth-service-api需要使用到Product和Response实体,故需要引入。引入也可以理解为扩展extend,子module除了拥有父module中的接口、实体外,还能有自己独立的扩展。俗话说的好,青出于蓝胜于蓝。

gateway-sample引入说明:gateway不需要使用web相关类实例。如果非要用web,那也必须引入webflux而不是web。所以需要在引入auth-service-api的时候exclude掉web。

服务的启动顺序:eureka-server>feign-client>gateway-sample(如果启动顺序有偏差,那么头几分钟内访问不了服务,因为gateway依赖的feign-client还没有注册到eureka-server)

postman的status稍微注意下,会与代码中设置的response的设置的StatusCode一致。

网关技术选型:1、gateway(基于springcloud的项目)。2、nginx。3、F5(有钱的大公司)。

栀子橘花枝
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringCloud鉴权
weixin_46202648的博客
11-18 1902
1.JWT 1.0 为什么要学习JWT? [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2Ok258P2-1637241962605)(assets/1544169629935.png)] 1.1.简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权限控制的标准解决方案! 它跟RBAC的区别:两者不冲突,在项目中后台权限服务的数据库设计使用RBAC,而前端项目访问后台微服务的权限校
SpringCloud Alibaba 从零搭建鉴权中心服务(详细教程)
竹林幽深
12-29 121
服务器鉴权完成之后 会生成 json 对象 发送给客户端,之后客户端和服务端传输数据都需要带上这个对象,服务器完全通过这个json对象认定客户端身份,为了防止篡改数据,服务端在生成的时候都会加上签名(加密的意思),服务器不保存session数据也就是无状态,更适合实现扩展。编写生成公钥密钥的测试类,创建 一些我们常用的VO对象 用来储存我们常用的一些变量,比如用户信息,公钥,密钥,一些常用的属性 放进 VO的模型里。然而Session是在服务器端的,而JWT是在客户端的。
Gateway网关分布式微服务认证鉴权
最新发布
pscool的博客
07-25 809
(之前有使用过这种实现,定义个公共认证模块的jar包,各个微服务引入这个jar包,jar包中引入了security,开启全局校验,各个微服务可以使用注解,各个微服务可以覆盖jar包中的关键配置类实现。但是,后来遇到微服务之间互相调用时也得把这个令牌给带上去以供被调用的微服务作权限校验的问题,这样就导致权限校验管理混乱。所以还不如直接在网关作校验,然后校验通过后,将用户身份权限写成请求头,在网关转发的时候携带给下面的微服务,后面微服务如果有必要作权限校验的话,可以使用AOP自主实现校验逻辑)
springcloud-gateway-2-鉴权
Java自学笔记-springBoot微服务
12-23 1882
springCloud-gateway鉴权,GlobalFilter全局过滤器实现通用拦截,用GatewayFilter实现单个服务或指定服务的过滤拦截。
(119)Part32-Gateway微服务网关-04-微服务网关鉴权
希冀
07-09 785
一、网关鉴权 1、问题 当我们在未登录状态下点击“立即购买”按钮时,会显示“需要登录”,当未登录时需要跳转到登录页面 2、解决方案 微服务网关中添加自定义全局过滤器,统一处理需要鉴权的服务 3、鉴权逻辑描述 当客户端第一次请求服务时,服务端对用户进行信息认证(登录) 认证通过,生成token,返回给客户端 作为登录凭证以后每次请求,客户端都携带认证的token 服务端对token进行校验,并解析自包含信息,判断是否有效 对于验证用户是否已经登录鉴权的过程可以在网关统一检验。检验的标准就是请求中是否携
SpringCloud Gateway + Jwt + Oauth2 实现网关鉴权操作
良月柒
08-09 311
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 8.5分钟。来自:juejin.cn/post/7000353332824899614一、背景随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务中处理。二、需求1、在网关...
spring cloud 鉴权设计
qq_41539807的博客
03-17 587
spring cloud 鉴权设计,openfeign 远程调用用户信息丢失问题处理
springcloud getway 示例 包含 网关 http websocket 两种转发包含网关JWT鉴权包含Clie
08-05
网关服务 包含 网关 http , websocket 两种转发包含网关 ,包含webSocket消息发送的流量监控 UserApplication 模拟WebSocket服务 PtGateClientTests 模拟WebSocket请求服务 http可以通过网页模拟 (开启鉴权之后...
基于Springcloud的基础框架,统一gateWay网关鉴权demo,附下载地址
09-04
基于Springcloud的基础框架,统一gateWay网关鉴权demo,附下载地址 使用方法具体见:https://blog.csdn.net/a1139628523/article/details/132664763
百讯基于SpringCloud gateway 实现鉴权限流网关.zip
06-10
百讯基于SpringCloud gateway 实现鉴权限流网关.zip
Spring Cloud Gateway微服务网关鉴权
实践求真知
01-16 5689
网关鉴权 1 问题 当我们在未登录状态下点击“购买课程”按钮时,会显示“未知错误”,查看trade微服务控制台,发现,JWT为空,无法鉴权。 2 解决方案 微服务网关中添加自定义全局过滤器,统一处理需要鉴权的服务。 3 鉴权逻辑描述 当客户端第一次请求服务时,服务端对用户进行信息认证(登录) 认证通过,将用户信息进行加密形成token,返回给客户端 作为登录凭证以后每次请求,客户端都携带认证的token 服务端对token进行解密,判断是否有效
详解用JWT对SpringCloud进行认证和鉴权
08-26
主要介绍了详解用JWT对SpringCloud进行认证和鉴权,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于security_oauth2 构建spring cloud网关的安全认证服务
01-16
基于security_oauth2 构建spring cloud网关的安全认证服务,使用数据库存储和动态请求连接过滤的方式,实现细粒度的url权限控制
SpringCloud Zuul过滤器实现登陆鉴权代码实例
08-24
主要介绍了SpringCloud Zuul过滤器实现登陆鉴权代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Cloud Gateway实现网关统一鉴权网关统一Token认证
热门推荐
bufegar0的博客
10-31 2万+
需求背景 在微服务的场景下,采用了Spring Cloud Oauth2进行token的管理,实现认证和授权,在这下背景下,有两种解决方案: 网关统一鉴权 此模式适用于网关下的所有模式都是通过一种模式进行鉴权操作,可以统一管理 微服务模块各自鉴权 此模式适用于网关下的各个模块有不同的鉴权模式,针对不同的业务场景需要满足不同的实现,如采用oauth2、shiro、签名等方式。 下文就网关统一鉴权的实现方式提供解决方案,以供参考 实现方案 通过过滤器的方式实现统一拦截,下面以核心代码的方式展示,具体所有代码可以
SpringCloud 路由网关鉴权熔断
li12412414的博客
05-13 625
Nacos:Nacos 支持基于 DNS 和基于 RPC 的服务发现(可以作为springcloud的注册中心)、动态配置服务(可以做配置中心)、动态 DNS 服务。 Ribbon:服务间发起请求的时候,基于Ribbon做负载均衡,从一个服务的多台机器中选择一台 Hystrix:发起请求是通过Hystrix的线程池来走的,不同的服务走不同的线程池,实现了不同服务调用的隔离,避免了服务雪崩的问题 Gateway:Spring Cloud Gateway的目标提供统-的路由方式且基于 Filter链的方式
什么是网关鉴权及其在Spring Cloud Gateway中的实现
新生代码农的博客
05-17 2981
网关鉴权是指在请求到达系统之前对请求进行身份验证和授权的过程。身份验证:验证请求的发起者的身份是否合法,通常涉及用户的认证,确认其身份是否在系统中注册并且具有相应的权限。授权:确定请求发起者是否有权限访问所请求的资源,即对请求进行权限验证,保证用户只能访问其有权限的资源。
jwt对spring cloud进行系统认证和服务鉴权
金溪的博客
10-30 1734
什么是jwt (json web token)jwt是一生中用来在网络上声明某种身份的令牌(TOKEN),它的特点是紧凑且自包含并且基于JSON,通过一些常用的算法对包含的主体令牌进行加密,安全性高。它通常有三个部分组成:头令牌(Header)、消息体(Payload)、签名(Signature).Header通常用来声明令牌的类型和使用的算法,Payload主要用来包含用户的一些令牌,Sign...
SpringCloudGateway之统一鉴权
HMing的博客
03-14 3062
在客户端登录成功后,服务端生成一个包含用户信息和过期时间等数据的JWT令牌返回给客户端。客户端在后续请求中将此令牌放在请求头(如Authorization: Bearer token)中发送给网关网关通过自定义的GatewayFilter Factory来拦截所有请求,并检查请求头中的JWT令牌,使用对应的解码器对其进行解密和校验,包括但不限于签名验证、过期时间检查等。
springcloud网关统一鉴权
10-14
Spring Cloud中,可以使用Spring Cloud Gateway作为网关来实现统一鉴权。具体来说,可以通过自定义GatewayFilter来实现鉴权逻辑,例如在请求头中添加token,并在后续的微服务中进行校验。 下面是一个简单的示例...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值