SpringCloud利用网关拦截做Token验证(JWT方式)

最新推荐文章于 2024-09-14 17:48:47 发布
最新推荐文章于 2024-09-14 17:48:47 发布
阅读量2.4k 收藏
点赞数
分类专栏: springboot2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/plpldog/article/details/103457828
版权
本文介绍了如何在SpringCloud架构中,利用网关拦截器进行JWT Token验证。首先,前端发送用户名和密码,网关拦截器在启动时加载。首次登录后,生成加密的Token并存储在Redis中,设置30分钟有效期。后续请求携带Token,拦截器解密鉴权,若Token有效则更新Redis中Token的过期时间。核心代码涉及网关拦截器的解密鉴权和登录接口的加密过程。
摘要由CSDN通过智能技术生成

关于JWT的内容,请看以下链接,主要看它的原理,以及缺点!

https://blog.csdn.net/memmsc/article/details/78122931

步骤1:前端传userName+password到后端,后端为springcloud架构,经过网关的拦截器拦截请求,拦截器在项目启动的时候@Component进行加载。

步骤2:如果是第一次登陆,放行,进入JWT的加密生成Token阶段(还可以写入登陆用户的其他信息放在JWTmap中,之后可以利用Token来获取该用户信息),加密token需要一个随机数作为加密字段,将token的失效时间设置为一天,并且放到reids里面,设置该redis里面的token过期时间为30分钟,最后将Token返回给前端。

步骤3:以后任何的请求都带Token到后端去请求。

步骤4:拦截到非登陆请求,进行解密,鉴权,如果鉴权通过,更新redis里面token字段的失效时间,如果还有5分钟失效,再设置还有30分钟,目的就是让密码的过期时间变的活跃。

大致就是以上的过程,核心代码主要在网关拦截器解密鉴权和登陆接口的加密两部分

0,controller层的将得到的token做保存redis和设置过期时间的操作

  1. compactJws = authService.generateJwt(username, password, userBean);

  2. //将token存在redis里

  3. stringRedisTemplate.opsForValue().set("token", compactJws);

  4. //设置redis里面的数据失效时间为半小时

  5. stringRedisTemplate.expire("token",1800,TimeUnit.SECONDS);

 

 

1,登陆接口的加密:

 

  1. package com.movitech.user.service.imp;

  2.  

  3. import com.movitech.commons.entity.UserBean;

  4. import com.movitech.commons.utils.CommonConstants;

  5. import com.movitech.user.service.AuthService;

  6. import io.jsonwebtoken.Jwts;

  7. import io.jsonwebtoken.SignatureAlgorithm;

  8. import org.joda.time.DateTime;

  9. import org.springframework.stereotype.Service;

  10.  

  11. import java.util.Base64;

  12. import java.util.HashMap;

  13. import java.util.Map;

  14.  

  15. /**

  16. * 用户身份验证Service

  17. */

  18. @Service(value = "authService")

  19. public class AuthServiceImpl implements AuthService {

  20. @Override

  21. public String generateJwt(String userName, String userPassword, UserBean userBean) {

  22. // Base64编码后的secretKey

  23. byte[] secretKey = Base64.getEncoder().encode(CommonConstants.SECURITY_KEY.getBytes());

  24. // 设置失效时间

  25. DateTime expirationDate = new DateTime().plusDays(1);

  26. //DateTime expirationDate = new DateTime().plusMinutes(30);

  27. // Claims是需要保存到token中的信息,可以自定义,需要存什么就放什么,会保存到token的payload中

  28. Map<String, Object> claims = new HashMap<>();

  29. // 用户角色

  30. claims.put("role", "user");

  31. // 用户名

  32. claims.put("userName", userName);

  33. claims.put(CommonConstants.USER_ID, userBean.getId());

  34. claims.put("uuid",UUID.randomUUID().toString());

  35. String compactJws = Jwts.builder()

  36. // 设置subject,一般是用户的唯一标识,比如用户对象的ID,用户名等,目前设置的是userCode

  37. .setSubject(userName)

  38. // 设置失效时间

  39. .setExpiration(expirationDate.toDate())

  40. .addClaims(claims)

  41. // 加密算法是HS512,加密解密统一就可以

  42. .signWith(SignatureAlgorithm.HS512, secretKey)

  43. .compact();

  44. return compactJws;

  45. }

  46.  

  47. }

  • 1

以上常量类和pojo此处省略。。。。

2,网关拦截器解密鉴权:

 

  1. package com.movitech.gateway.filter;

  2.  

  3. import com.movitech.commons.dto.ErrorResponseMap;

  4. import com.movitech.commons.enums.ErrorCode;

  5. import com.movitech.commons.utils.CommonConstants;

  6. import com.movitech.commons.utils.JsonUtil;

  7. import com.movitech.commons.utils.ResponseUtil;

  8. import com.netflix.zuul.ZuulFilter;

  9. import com.netflix.zuul.context.RequestContext;

  10. import io.jsonwebtoken.*;

  11. import org.springframework.cloud.netflix.zuul.filters.support.FilterConstant

最低0.47元/天 解锁文章
西红柿天尊
关注
专栏目录
Spring Cloud Zuul网关集成JWT身份验证
sunhmm的博客
12-03 537
使用Spring Cloud 微服务开发项目,进行身份认证,将身份认证放在网关,实现统一的身份认证。使用JWT(Json Web Token)作为身份认证, jwt身份认证方式主要的特点是无状态,把信息放在客户端,服务器端不需要保存session,适合在分布式环境下使用。...
(day two)基于Gateway网关拦截器和Redis实现单点登录和认证
weixin_51980608的博客
01-21 2932
JWTtoken+redis实现登录认证
jwt springcloud
11-20
jwt springcloud,修复了刷新tokenbug, 注意修改下端口网关 登录认证地址 http://localhost:8764/openplt/auth/login 刷新tocken 地址 http://localhost:8764/openplt/auth/refresh_token,详情参考 https://www.jb51.net/article/133832.htm 原始作者
【Spring Security系列】Spring Security整合JWT:构建安全的Web应用_springsecurity jwt
最新发布
baimao__Ch的博客
09-14 977
在企业级开发或者我们自己的课程设计中,确保用户数据的安全性和访问控制非常重要。而Spring Security和JWT是都两个强大的工具,它俩结合可以帮助我们实现这一目标。Spring Security提供了全面的安全功能,而JWT则是一种用于身份验证的令牌机制。前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量级的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
token验证_JAVA架构笔记——1.SpringCloudToken验证
weixin_39851048的博客
12-10 337
一.简述 token其实就是一个身份标识,或者说是一个身份牌,因为几乎所有的应用需要注册登陆,当我们登陆成功的时候,就要有一个登录成功的身份牌,这样那些没有身份牌的访问就会被服务器给拦截掉无法访问,用来过滤非法请求。以前session的法毕竟比较局限,而且当我们微服务,多实例的时候,session之间是不能够共享的,我们总不能使用rtc多个实例间调用session验证是否登陆吧? 所以我们使用验...
SpringCloud-使用路由网关的服务过滤功能-拦截登录前是否有token为例
BADAO_LIUMANG_QIZHI的博客
10-24 519
场景 SpringCloud-使用路由网关统一访问接口(附代码下载): https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/102733039 在上面已经实现使用路由网关统一访问接口后,下面使用路由网关的服务过滤功能。 注: 博客:https://blog.csdn.net/badao_liumang_qizhi 关注公众号...
【项目实战】Spring Cloud Gateway 实现JWT / Token登录认证流程
热门推荐
骏马逸动,心随你动的博客
11-07 1万+
在我看来,在某些场景下,网关就像是一个公共方法,把项目中的都要用到的一些功能提出来,抽象成一个服务。比如,我们可以在业务网关日志收集、Token校验等等,当然这么理解很狭隘,因为网关的能力远不止如此,但是不妨碍我们更好地理解它。下面的例子演示了,如何在网关校验Token,并提取用户信息放到Header中传给下游业务系统。 1. 生成Token 用户登录成功以后,生成token,此后的所有请求都带着token网关负责校验token,并将用户信息放入请求Header,以便下游系统可以方便的获取用户信息
springcloud getway 示例 包含 网关 http websocket 两种转发包含网关JWT鉴权包含Clie
08-05
网关服务 包含 网关 http , websocket 两种转发包含网关 ,包含webSocket消息发送的流量监控 UserApplication 模拟WebSocket服务 PtGateClientTests 模拟WebSocket请求服务 http可以通过网页模拟 (开启鉴权之后...
springcloudgateway+security vue token
08-02
在微服务环境中,Spring Security 可与 Spring Cloud Gateway 集成,实现基于 JWT(JSON Web Tokens)的身份验证和授权。JWT 允许用户在服务器之间安全地传递认证信息,而无需在每次请求中都携带 session。 **Vue....
SpringCloud Alibaba 实战:如何让 jwt token 主动失效?
Java4396的博客
01-21 1796
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的法,改造一下这个SpringCloud a.
Spring Cloud Gateway使用Token验证详解
08-26
主要介绍了Spring Cloud Gateway使用Token验证详解,小编觉得挺不错的,现在分享给大家,也给大家个参考。一起跟随小编过来看看吧
jwt需要存redis吗_Spring Cloud Security:Oauth2结合JWT使用
weixin_39964528的博客
11-26 916
Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2还可以实现更多功能,比如使用JWT令牌存储信息,刷新令牌功能,本文将对其结合JWT使用进行详细介绍。JWT简介 JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。J...
redis 查看key的有效期_redis key过期时间设置的两种方法
weixin_39584405的博客
12-22 4075
设置redis key过期时间或生存时间有两种方法可以用,为什么要设置redis key的过期时间呢?有哪些应用场景?比如我们在发送手机验证码的时候,可以将手机号作为redis key,验证码作为redis value存储在redis中,并设置过期时间为60秒,这个时候当用户收到短信验证码的时候,如果60秒的时间到了,从redis中获取手机短信验证码时就会返回nil,这样我们就可以认为用户输入短信...
微服务网关与用户身份识别,JWT+Spring Security进行网关安全认证
公众号:该用户快成仙了
08-27 823
JWT+Spring Security进行网关安全认证 JWT和Spring Security相结合进行系统安全认证是目前使用比较多的一种安全认证组合。疯狂创客圈crazy-springcloud微服务开发脚手架使用JWT身份令牌结合Spring Security的安全认证机制完成用户请求的安全权限认证。整个用户认证的过程大致如下: (1)前台(如网页富客户端)通过REST接口将用户名和密码发送到UAA用户账号与认证微服务进行登录。 (2)UAA服务在完成登录流程后,将Session ID作为JWT
SpringCloudJWT
qq_45578181的博客
08-27 681
文章目录登录状态有状态登录无状态登录JWT(Json Web Token)JWT三部分headerpayload 负载signature 数字签名JWT使用令牌验证JWT缺点 登录状态 有状态登录 即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理. 典型的设计如tomcat中的session。 缺点是什么? 服务端保存大量数据,增加服务端压力 客户端请求依赖服务端,多次请求必须访问同一台服务器。 无状态登录 无状态服务,服务端不保存任何客户端请求者信息,客户端的每次请
Spring Cloud Gateway 实现Token校验
马明的博客
07-16 1万+
SpringCloud视频教程: https://ke.qq.com/course/2805647?tuin=a3e3fb1&from_uin=171851697&from=1000201007 个人博客纯净版 http://www.51ufo.cn/%E5%BE%AE%E6%9C%8D%E5%8A%A1/%E5%88%86%E5%B8%83%E5%BC%8F/2020/07/16/Spring-Cloud-Gateway-%E5%AE%9E%E7%8E%B0Token%E6%A0%A
手摸手 Spring Cloud Gateway + JWT 实现登录认证
悟空聊架构的专栏
08-30 1722
你好,我是悟空,上篇我已经讲解了 Spring Cloud 的原理和实战,这次就要结合 JWT 来实现登录认证的功能了。本文已收录至《深入剖析 Spring Cloud 底层架构原理》,已更新 18 讲。如何用认证服务登录认证。如何生成 JWT 令牌(Token)如何用 Gateway 对 Token 验证。Gateway 如何从 Token 中拿到用户信息并转发给业务服务。业务服务如何从请求中拿到身份信息处理业务逻辑。如何刷新令牌。本篇还是基于我的开源项目 PassJava 作为讲解。...
Spring Cloud GateWay实现token的校验和传输
xingxinggua9620的博客
01-29 8291
Spring Cloud GateWay实现token的校验和传输 1.1 SpringCloud Gateway 简介 Spring Cloud GateWay基于WebFlux框架实现的,而WebFlux框架底层则使用了高性能的Reactor模式通信框架Netty. Spring Cloud Gateway 的目标,不仅提供统一的路由方式,并且基于 Filter 链的方式提供了网关基本的功能,例如:安全,监控/指标,和限流。 提前声明:Spring Cloud Gateway 底层使用了高性能的通
网关里得jwt token可以被拦截使用吗
03-11
网关里的 JWT token 可以被拦截使用,因为 JWT token 是一种基于签名的认证方式,如果签名被破解或者泄露,那么攻击者就可以使用这个 JWT token 进行认证。因此,在使用 JWT token 进行认证时,需要注意保护签名的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值