SpringCloud Alibaba入门教程六——登录保持与JWT

最新推荐文章于 2023-10-04 15:48:07 发布
最新推荐文章于 2023-10-04 15:48:07 发布
阅读量440 收藏
点赞数
分类专栏: 笔记 微服务 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mrsuper_cat/article/details/113816848
版权

登录保持与JWT

有状态 VS 无状态

有状态是后台session存储用户信息,每次前台如果从一个浏览器访问的同一个服务器,就会解析cookie携带的sessionID从而解析到用户实现登录状态。
无状态是后台不再使用session,而是使用一串编码过的字符串传递到前台,前台使用某种技术进行保存,每次会话都要携带token向后台发送请求 ,后台通过解析token分别身份(也可以将特定的身份保存在redis中),从而实现无状态的登录。
在这里插入图片描述

认证方案

  • 使用SpringCloud Security等框架
  • 使用网关、颁发、解密、认证,认证成功后微服务内部不再认证
  • 网关不认证,有专门的微服务进行token颁发、每个微服务在请求来到时都各自解析一遍token是否合法
  • 将token存放在指定的后台服务器中,每次请求来的时候验证,同最初使用session是一样的。适合于旧项目改造新项目使用。

访问控制模型

  • Access Control List (ACL)
  • Role-based access control (RBAC)
  • Attribute-based access control(ABAC)
  • Rule-based access control
  • Time-based access control

Role-based access control 用户 --(关联)-- 角色 --(关联)-- 权限

JWT

JWT操作工具类使用

AOP实现用户登录检查

笔者之前使用的是拦截器进行登录校验,因为SpringAOP是Spring比较重要的一环,所以这里再次使用SpringAOP进行登录校验。
引入spring-boot-starter-aop依赖,创建自定义注解创建一个切面使用其中的方法匹配注解并编写检查登录逻辑。

package com.itmuch.contentcenter.auth;

public @interface CheckLogin {
}


package com.itmuch.contentcenter.auth;

@Aspect
@Component
@RequiredArgsConstructor(onConstructor = @__(@Autowired))
public class AuthAspect {
    private final JwtOperator jwtOperator;

    @Around("@annotation(com.itmuch.contentcenter.auth.CheckLogin)")
    public Object checkLogin(ProceedingJoinPoint point) throws Throwable {
        checkToken();
        return point.proceed();
    }

    private void checkToken() {
        try {
            // 1. 从header里面获取token
            HttpServletRequest request = getHttpServletRequest();

            String token = request.getHeader("X-Token");

            // 2. 校验token是否合法&是否过期;如果不合法或已过期直接抛异常;如果合法放行
            Boolean isValid = jwtOperator.validateToken(token);
            if (!isValid) {
                throw new SecurityException("Token不合法!");
            }

            // 3. 如果校验成功,那么就将用户的信息设置到request的attribute里面
            Claims claims = jwtOperator.getClaimsFromToken(token);
            request.setAttribute("id", claims.get("id"));
            request.setAttribute("wxNickname", claims.get("wxNickname"));
            request.setAttribute("role", claims.get("role"));
        } catch (Throwable throwable) {
            throw new SecurityException("Token不合法");
        }
    }
   //获取request
    private HttpServletRequest getHttpServletRequest() {
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes attributes = (ServletRequestAttributes) requestAttributes;
        return attributes.getRequest();
    }

    @Around("@annotation(com.itmuch.contentcenter.auth.CheckAuthorization)")
    public Object checkAuthorization(ProceedingJoinPoint point) throws Throwable {
        try {
            // 1. 验证token是否合法;
            this.checkToken();
            // 2. 验证用户角色是否匹配
            HttpServletRequest request = getHttpServletRequest();
            String role = (String) request.getAttribute("role");

            MethodSignature signature = (MethodSignature) point.getSignature();
            Method method = signature.getMethod();
            CheckAuthorization annotation = method.getAnnotation(CheckAuthorization.class);

            String value = annotation.value();

            if (!Objects.equals(role, value)) {
                throw new SecurityException("用户无权访问!");
            }
        } catch (Throwable throwable) {
            throw new SecurityException("用户无权访问!", throwable);
        }
        return point.proceed();
    }
}

Feign实现token传递

  • @RequestHeader 在服务提供者以及Feign的调用方的Controller方法参数列表中中全部加上 @RequestHeader("token") String token
  • 使用RequestInterceptor
public class TokenRelayRequestIntecepor implements RequestInterceptor {
    @Override
    public void apply(RequestTemplate template) {
        // 1. 获取到token
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes attributes = (ServletRequestAttributes) requestAttributes;
        HttpServletRequest request = attributes.getRequest();
        String token = request.getHeader("X-Token");

        // 2. 将token传递
        if (StringUtils.isNotBlank(token)) {
            template.header("X-Token", token);
        }

    }
}

这个配置在2-9一节中有提到

requestInterceptor:
  - com.itmuch.contentcenter.feignclient.interceptor;

RestTemplate传递token

  • exchange()
@GetMapping("/tokenRelay/{userId}")
    public ResponseEntity<UserDTO> tokenRelay(@PathVariable Integer userId, HttpServletRequest request) {
        String token = request.getHeader("X-Token");
        HttpHeaders headers = new HttpHeaders();
        headers.add("X-Token", token);

        return this.restTemplate
            .exchange(
                "http://user-center/users/{userId}",
                HttpMethod.GET,
                new HttpEntity<>(headers),
                UserDTO.class,
                userId
            );
    }
  • 实现ClientHttpRequestInterceptor
    这个类是RestTemplate的拦截器,和Feign的差不多
public class TestRestTemplateTokenRelayInterceptor implements ClientHttpRequestInterceptor {
    @Override
    public ClientHttpResponse intercept(HttpRequest request, byte[] body, ClientHttpRequestExecution execution) throws IOException {
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes attributes = (ServletRequestAttributes) requestAttributes;
        HttpServletRequest httpRequest = attributes.getRequest();
        String token = httpRequest.getHeader("X-Token");

        HttpHeaders headers = request.getHeaders();
        headers.add("X-Token", token);

        // 保证请求继续执行
        return execution.execute(request, body);
    }
}

还需要创建RestTemplate的时候进行拦截器的设置

 @Bean
    @LoadBalanced
    @SentinelRestTemplate
    public RestTemplate restTemplate() {
        RestTemplate template = new RestTemplate();
        template.setInterceptors(
            Collections.singletonList(
                new TestRestTemplateTokenRelayInterceptor()
            )
        );
        return template;
    }

AOP实现权限校验

使用自定义注解以及AOP的方式实现,同上文的检查token差不多

//这里表示在运行期注入注解
@Retention(RetentionPolicy.RUNTIME)
public @interface CheckAuthorization {
    String value();
}


@PutMapping("/audit/{id}")
    @CheckAuthorization("admin")
    public Share auditById(@PathVariable Integer id, @RequestBody ShareAuditDTO auditDTO) {
        return this.shareService.auditById(id, auditDTO);
    }

 @Around("@annotation(com.itmuch.contentcenter.auth.CheckAuthorization)")
    public Object checkAuthorization(ProceedingJoinPoint point) throws Throwable {
        try {
            // 1. 验证token是否合法;
            this.checkToken();
            // 2. 验证用户角色是否匹配
            HttpServletRequest request = getHttpServletRequest();
            String role = (String) request.getAttribute("role");

            MethodSignature signature = (MethodSignature) point.getSignature();
            Method method = signature.getMethod();
            CheckAuthorization annotation = method.getAnnotation(CheckAuthorization.class);

            String value = annotation.value();

            if (!Objects.equals(role, value)) {
                throw new SecurityException("用户无权访问!");
            }
        } catch (Throwable throwable) {
            throw new SecurityException("用户无权访问!", throwable);
        }
        return point.proceed();
    }
MrSuper_cat
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
SpringCloudAlibaba(一)---Gateway+feign+nacos+jwt完成验证登录(配置+代码)
isLTH的博客
10-16 724
本文示例实现以gateway作为网关代理auth和user模块,在auth和user模块间使用feign实现远程服务调用。并在gateway的全局过滤器中使用 jwt 实现登录认证。涉及到的知识点有: gateway、nacos、openfeig、 jwt权限认证、threadlocal调用过程图如下: 因配置和代码篇幅太长,分为配置篇和代码篇,本篇为配置篇,代码篇更新完会放链接在此处,可以收藏一下,有问题的话也可以发私信,看到会回。
SpringCloud Alibaba全套组件实战实现登陆服务较完整版
FHlang的博客
12-04 1579
这里写目录标题前言架构图前期部署项目结构新的依赖配置文件服务端网关主启动类代码编写服务端测试 前言 接着上一节进行完善,加入Sentinel、gareway、druid及一些nacos配置,需要看上一节的朋友可以点开这里。 架构图 前期部署 项目结构 新的依赖 服务端 <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>
No7.【spring-cloud-alibaba】用户登录密码加密、密码登录模式添加验证码校验
键上艺术家
11-09 1786
终于结束从零搭建springcloud的部分了,目前也仅仅是学习了最最基本的逻辑,同时包含了开发系统的一些基本的逻辑。接下来就按照 pig 文档将其余基本的内容再熟悉一下,看一遍和写一遍真的不一样呐~~~那接下来就一小模块一小模块的学习啦,加油吧少年!本文及以后的文章还是基于前面的No6系列文章开发的,可以看之前文章顶部的内容总结,简单了解详情~
微服务---Spring Cloud Alibaba 07(微服务项目---单点登录
Yjh_pythonking的博客
10-10 894
昨天我们的文件上传Demo已经比较完善了,今天我们来学习单点登录,更加的完善它,那么什么是单点登录呢? 背景 传统的登录系统中,每个站点都实现了自己的专用登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。这样的系统,我们又称之为多点登陆系统。应用起来相对繁琐(每次访问资源服务都需要重新登陆认证和授权)。与此同时,系统代码的重复也比较高。由此单点登陆系统诞生。 一、概述 百度百科: 通俗易懂: 单点登录SSO(Single Sign On)说得简单...
微服务 基础服务搭建 Oauth2 Gateway sentinel Nacos JWT OpenFeign 授权登录案例 SpringCloudAlibaba
qq_50909707的博客
10-11 1073
可以看到次时我们通过网关去访问admin-service的login接口,admin-service此时做资源服务器,通过authorization-server进行授权登录。从代码中我们也不难看出,授权服务器拥有私钥可以对JWT token进行生成,而客户端志愿服务器仅有公钥对JWT token进行解密。授权服务器会给每个微服务在登录成功时授权对应的token,网关需要对这些请求进行判断已筛选出需要token验证的请求。--授权成功,颁发token-->admin-service-->响应。
SpringCloudAlibaba 综合项目实战工业级PaaS云平台第三课 用户登录授权认证安全和文件分布式存储
fegus的博客
09-22 2822
简介:分布式文件存储常见解决方案介绍目前业界比较多这个解决方案,这边就挑选几个介绍下MinIO是在 Apache License v2.0 下发布的对象存储服务器,学习成本低,安装运维简单,主流语言的客户端整合都有, 号称最强的对象存储文件服务器,且可以和容器化技术docker/k8s等结合,社区活跃但不够成熟,业界参考资料较少官网:https://docs.min.io/cn/FastDFS。
SpringCloud-Alibaba+oauth 单点登陆
最新发布
qq_34907190的博客
10-04 80
分别创建cloud-auth用于授权认证,cloud-comm用于存放公共类,cloud-service用于存放业务,cloud-gateway用于存放网关。总结:搭建授权认证服务器,在oauth配置文件种设置授权模式,访问授权站点得到授权码,通过授权码获得token。第一个参数表示授权的模式是什么,第二个是授权码,第三个是第三方登陆的用户是谁,第四个是把token返回到哪里。然后重新使用密码模式获取token,在授权使用无授权方式进行获取,也可以获取到token。token_type:token的类型。
Spring Cloud Alibaba 实战(四)Oauth2篇【单点登录
大鹏
08-09 2729
1. Oauth2 简介 OAuth2 其实是一个关于授权的网络标准,它制定了设计思路和运行流程,利用这个标准我们其实是可以自己实现 OAuth2 的认证过程的。spring-cloud-starter-oauth2 ,其实是 Spring Cloud 按照 OAuth2 的标准并结合 spring-security 封装好的一个具体实现。 首先大家最熟悉的就是几乎每个人都用过的,比如用微信登录、用 QQ 登录、用微博登录、用 Google 账号登录、用 github 授权登录等等,这些都是典型的
详解用JWTSpringCloud进行认证和鉴权
08-26
主要介绍了详解用JWTSpringCloud进行认证和鉴权,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解SpringCloud服务认证(JWT
08-28
本篇文章主要介绍了SpringCloud服务认证(JWT),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
springcloud整合oauth2和jwt
04-09
springcloud整合oauth2和jwt实现权限认证,整合mybaits
Spring Security基于JWT实现SSO单点登录详解
08-25
主要介绍了Spring Security基于JWT实现SSO单点登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Java面试基础题,有这一篇就够了
MrSuper_cat的博客
08-09 3795
临近秋招,许多小伙伴也开始狂刷面试题,总结面试考点,希望可以在今年这个不太一般的秋天去到心仪的公司。在这里,我来总结一下最近刷Java底层试题以及看面试视频的题型
SpringBoot代码生成器generator使用教程
MrSuper_cat的博客
02-18 1189
2021-2-7学习日记MyBatis Generator使用Lombok使用RestTemplateBeansUtilSpringCloud Alibaba MyBatis Generator使用 MyBatis自动装配 MyBatis generator插件 使用方法 首先引入插件,引入依赖 <dependency> <groupId>tk.mybatis</groupId> <artifactId>map
SpringCloud Alibaba入门教程四——服务通信与异步通信
MrSuper_cat的博客
02-18 418
2021-2-12学习日记SpringCloud Alibaba 微服务通信Spring实现异步的方法MQ适用场景MQ的选择RocketMQ下载RocketMQ控制台RocketMQ在SpringBoot中的配置各类MQ在Java中的使用类以及注解Rocket实现分布式事务使用RocketMQ实现分布式事务SpringCloud Stream自定义Stream接口实现消费消息自定义Stream接口实现生产消息消息过滤SpringCloud Stream 监控Stream 错误处理Spring Cloud S
SpringCloud Alibaba入门教程一——服务注册与负载均衡
MrSuper_cat的博客
02-18 284
2021-2-8学习日记SpringCloud Alibaba服务发现NacosDiscoverClient元数据负载均衡使用Ribbon实现负载均衡Ribbon组成配置文件实现Ribbon自定义配置二(实现全局配置Ribbon负载均衡)Ribbon支持的配置项Java代码实现配置文件实现Ribbon的懒汉与饿汉模式Ribbon配置权重Ribbon实现同集群优先级调用Ribbon支持基于元数据的版本管理Nacos中的namespace作用 SpringCloud Alibaba 服务发现者与服务消费者是成对
SpringCloud Alibaba入门教程五——服务网关
MrSuper_cat的博客
02-18 263
2021-2-14学习日记(SpringCloud 网关)SpringCloud GateWay构建GateWayGateWay核心架构GateWay谓词工厂(匹配规则)自定义路由谓词工厂过滤器工厂详解(GatewayFilter Factory)自定义过滤器工厂全局过滤器SpringCloud Gateway 整合Sentinel监控Spring Cloud Gateway排查问题总结网关限流 SpringCloud GateWay SpringCloud Gateway 是SpringCloud网关的第
springcloud springsecurity jwt
09-16
### 回答1: Spring Cloud是一个基于Spring Boot的开发工具,用于快速构建分布式系统的微服务框架。它提供了一系列的组件,包括服务注册与发现、配置中心、负载均衡、断路器、网关等,使得开发者可以更加方便地构建和管理微服务。 Spring Security是Spring框架中的一个安全框架,用于提供身份认证和授权功能。它可以与Spring Cloud集成,为微服务提供安全保障。 JWT(JSON Web Token)是一种轻量级的身份认证和授权机制,它使用JSON格式来传递信息。在Spring Cloud中,可以使用JWT来实现微服务之间的安全通信,保证数据的安全性和完整性。 ### 回答2: Spring Cloud是一个开源的分布式系统开发框架,它基于Spring Boot,能够帮助开发者快速构建云原生应用程序。Spring Cloud提供了一系列的组件,例如服务注册与发现(Eureka)、服务网关(Zuul)、配置中心(Config)等,可以协助开发者实现微服务架构。 Spring Security是Spring框架提供的一种安全框架,它能够为应用程序提供认证和授权的功能。Spring Security基于过滤器链的机制,可以对请求进行安全验证。开发者可以通过配置来定义访问控制规则,保护应用程序的资源。 JWT(JSON Web Token)是一种用于身份验证和访问控制的标准方法,它通过在身份验证完成后生成一个令牌,并将该令牌发送给客户端,客户端在后续的请求中通过该令牌进行身份验证。JWT由三部分组成,分别是头部、载荷和签名。头部和载荷使用Base64进行编码,然后使用一个密钥进行签名,确保JWT的安全性。 在使用Spring CloudSpring Security构建分布式系统时,可以使用JWT作为认证和授权的方式。具体做法是,当用户进行身份验证成功后,生成一个JWT令牌,并将该令牌返回给客户端。客户端在后续的请求中,将令牌作为Authorization头部的内容发送给服务端。服务端接收到请求后,解析JWT令牌,验证其合法性,并根据令牌中的信息来判断用户的身份和权限。通过这种方式,可以实现无状态的分布式身份验证和访问控制。 总结来说,Spring Cloud可以帮助开发者构建分布式系统,Spring Security可以提供身份验证和授权的功能,而JWT可以作为一种安全的认证和授权方式在分布式系统中使用。这三者相互结合,可以帮助开发者构建安全、可靠的分布式应用程序。 ### 回答3: Spring Cloud是一个基于Spring Boot的开发工具集,它提供了一系列的分布式系统开发工具,其中包括了分布式配置中心、服务注册与发现、消息总线、负载均衡、熔断器、数据流处理等。Spring Cloud的目标是帮助开发者快速构建适应于云环境的分布式系统。 Spring Security是Spring官方提供的安全框架,它可以用于保护Spring应用程序免受各种攻击,例如身份验证、授权、防止跨站点请求伪造等。Spring Security使用一种基于过滤器链的方式来处理HTTP请求,通过配置一系列的过滤器,可以实现对请求的鉴权和授权处理。 JWT(JSON Web Token)是一种用于跨域身份验证的开放标准。它可以在用户和服务器之间传输信息,并且能够对信息进行校验和解析。JWT一般由三部分组成:头部、载荷和签名。头部包含了令牌的类型和加密算法,载荷包含了需要传输的信息,签名用于验证令牌的合法性。 在使用Spring Cloud时,可以结合Spring Security和JWT来进行身份验证和授权。我们可以通过配置Spring Security的过滤器链来验证JWT的有效性,并在每个请求中进行用户身份的鉴权。通过使用JWT,我们可以避免传统的基于Session的身份验证方式,实现无状态的分布式身份验证。 总结起来,Spring Cloud是一个分布式系统开发工具集,Spring Security是一个安全框架,JWT是一种用于跨域身份验证的开放标准。在使用Spring Cloud进行分布式系统开发时,可以结合Spring Security和JWT来实现身份验证和授权的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值