JWT(JSON WEB TOKEN)微服务中的无状态用户认证-单点登陆实践Spring-Boot整个JWT

最新推荐文章于 2024-01-06 01:30:05 发布
最新推荐文章于 2024-01-06 01:30:05 发布
阅读量275 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29078779/article/details/96477688
版权

跨域认证的问题

互联网服务离不开用户认证。一般流程是下面这样。

1、用户向服务器发送用户名和密码。

2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。

3、服务器向用户返回一个 session_id,写入用户的 Cookie。

4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。

5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。

这种模式的问题在于,扩展性(scaling)不好。单机当然没有问题,如果是服务器集群,或者是跨域的服务导向架构,就要求 session 数据共享,每台服务器都能够读取 session。

举例来说,A 网站和 B 网站是同一家公司的关联服务。现在要求,用户只要在其中一个网站登录,再访问另一个网站就会自动登录,请问怎么实现?

一种解决方案是 session 数据持久化,写入数据库或别的持久层。各种服务收到请求后,都向持久层请求数据。这种方案的优点是架构清晰,缺点是工程量比较大。另外,持久层万一挂了,就会单点失败。

另一种方案是服务器索性不保存 session 数据了,所有数据都保存在客户端,每次请求都发回服务器。JWT 就是这种方案的一个代表。

JWT 的数据结构

实际的 JWT 大概就像下面这样。

它是一个很长的字符串,中间用点(.)分隔成三个部分。注意,JWT 内部是没有换行的,这里只是为了便于展示,将它写成了几行。

JWT 的三个部分依次如下。

  • Header(头部)
  • Payload(负载)
  • Signature(签名)

写成一行,就是下面的样子。


Header.Payload.Signature

下面依次介绍这三个部分。

Header

Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。


{
  "alg": "HS256",
  "typ": "JWT"
}

上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT

最后,将上面的 JSON 对象使用 Base64URL 算法(详见后文)转成字符串。

Payload

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。

  • iss (issuer):签发人
  • exp (expiration time):过期时间
  • sub (subject):主题
  • aud (audience):受众
  • nbf (Not Before):生效时间
  • iat (Issued At):签发时间
  • jti (JWT ID):编号

除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。


{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

这个 JSON 对象也要使用 Base64URL 算法转成字符串。

Signature

Signature 部分是对前两部分的签名,防止数据篡改。

首先,需要指定一个密钥(secret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header 里面指定的签名算法(默认是 HMAC SHA256),按照下面的公式产生签名。


HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用"点"(.)分隔,就可以返回给用户。

JWT 的使用方式

客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage。

此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。


Authorization: Bearer <token>

另一种做法是,跨域的时候,JWT 就放在 POST 请求的数据体里面。

JWT 的实践

本文以SpringBoot JWT结合SpringCould-Getway进行演示.

首先创建SpringBoot添加Getway jar

pom文件如下

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.1.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>springdemo</groupId>
    <artifactId>demo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>demo</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>com.ltz.test</groupId>
            <artifactId>spitest</artifactId>
            <version>1.0-SNAPSHOT</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-actuator</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
            <version>2.1.1.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-netflix-zuul</artifactId>
            <version>2.1.1.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.46</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.16.22</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

创建一个User.java

package com.ltz.test;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@AllArgsConstructor
@NoArgsConstructor
public class User {
    String Id;
    String username;
    String password;
}

JWT工具类 JwtUtils.java

package com.ltz.test;

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;

import java.util.Date;

public class JwtUtils {


    public String getToken(User user) {
        String token = "";
        token = JWT.create()
                .withIssuer("ltz")
                .withSubject("login")
                .withIssuedAt(new Date())
                .withAudience("1")
                .withClaim("nickname","123456")
                .withExpiresAt(new Date())
                .sign(Algorithm.HMAC256("123456"));
        return token;
    }


}

Spring-webmvc  拦截器  认证用户逻辑 AuthenticationInterceptor.java

package com.ltz.test;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Method;
import java.util.Objects;

public class AuthenticationInterceptor implements HandlerInterceptor {


    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object object) {


        String token = httpServletRequest.getHeader("token");// 从 http 请求头中取出 token
        // 如果不是映射到方法直接通过
        if(!(object instanceof HandlerMethod)){
            return true;
        }
        HandlerMethod handlerMethod = (HandlerMethod)object;

        Method method=handlerMethod.getMethod();
        //检查是否有passtoken注释,有则跳过认证
        if (method.isAnnotationPresent(PassToken.class)) {
            PassToken passToken = method.getAnnotation(PassToken.class);
            if (passToken.required()) {
                return true;
            }
        }

        UserLoginToken annotation = method.getAnnotation(UserLoginToken.class);
        if (annotation!=null){


            if (annotation.required()){


                if (Objects.isNull(token)){
                    throw new RuntimeException("无token,请重新登录");
                }
                DecodedJWT jwt = JWT.decode(token);
                String nickname = jwt.getClaims().get("nickname").asString();
                System.out.println(nickname);
                String s = jwt.getAudience().get(0);
                if (s.equals("1")){

                    try {
                        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256("123456")).build();
                        jwtVerifier.verify(token);
                    } catch (Exception e) {
                        throw new RuntimeException("401");
                    }
                }else{
                    return false;
                }

            }


        }
        return true;
    }


    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) {

    }


    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) {

    }
}

把拦截器放入Spring-boot中.

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authenticationInterceptor())
                .addPathPatterns("/**");
    }
    @Bean
    public AuthenticationInterceptor authenticationInterceptor() {
        return new AuthenticationInterceptor();
    }
}

到此结束,启动Spring-boot测试.

Tian.Mrs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
超实用,Spring Security+JWT+Vue实现一个前后端分离无状态认证Demo
文章中资料均可获取,有需要请添加yunduoa2019即可
06-28 392
推荐阅读:6月成功定级阿里P7,多亏啃完了这上百页的Java高频核心面试宝典 前阿里P7架构师,分享工作心得及面试经验,助力圆梦大厂 阿里P8架构师谈:工作1-5年的Java工程师,怎样提高核心竞争力 简介 完整代码: https://github.com/PuZhiweizuishuai/SpringSecurity-JWT-Vue-Deom 运行展示 后端 主要展示 Spring Securit...
单点登录的简单实现
不断思考 敢于实践 乐于分享 广交朋友
09-06 3640
1 什么是单点登陆      单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统用户只需要登录一次就可以访问所有相互信任的应用系统。      较大的企业内部,一般都有很多的业务支持系统为其提供相应的管理和IT服务。例如财务系统为财务人员提供财务的管理、计算和报表服务;人事系统为人事部门 提供全公司人员的维护服务;
jwt方式token验证流程及基于java的JJWT的无状态的身份验证实现详解
i++;
03-11 909
1.Token认证流程 使用基于 Token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的。 1.客户端使用用户名跟密码请求登录 2.服务端收到请求,去验证用户名与密码 3.验证成功后,服务端会签发一个 Token,再把这个 Token发送给客户端 4.客户端收到 Token以后可以把它存储起来,比如放在 Cookie里 5.客户端每次向服务端请求资源的时候需要带着服务端签发...
springboot+shiro+jwt实现基于token的无状态授权认证
书生灬今天不吃饭的博客
07-11 2147
springboot+shiro+jwt实现基于token的无状态登录鉴权
SpringBoot + MyBatis-plus + SpringSecurity + JWT实现用户状态请求验证(前后端分离)
zhouzhiwengang的专栏
11-09 3189
1、基础技术框架 技术名称 版本 SpringBoot 2.1.9.RELEASE MyBatis-plus 3.3.1 MySQL 8.0.11 SpringSecurity 5.1.6.RELEASE jjwt 0.9.0 lombok 1.18.10 guava 30.1.1-jre hutool-all 5.5.2 druid 1.2.3 swagger3 3.0 aop 1.9.4
springboot-react-jwtJSON Web令牌React Spring Boot示例
02-05
JSON Web令牌/ React / Spring Boot示例 这是一个示例项目,其使用JSON Web令牌保护Spring REST API。 Java和React的可用示例很少,并且有一些陷阱。 因此,我决定进行概念验证,创建一个独立的项目。 一切都在此...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
JWTJson Web Token)则是一种安全的身份验证机制,被广泛应用于微服务架构和API授权。本篇文章将深入探讨如何在Spring Boot应用结合Spring Security实现JWT令牌的认证和授权。 首先,JWT令牌是一种轻量级的身份...
spring boot+jwt实现api的token认证详解
08-26
在本文,我们将深入探讨如何使用Spring Boot和JWTJSON Web Token)来实现API的Token认证JWT是一种轻量级的身份验证和授权机制,它允许应用程序在客户端和服务器之间安全地传输信息,而无需在每次请求时进行...
spring-boot-security-jwt:使用Spring Boot + Security + JWT用于REST端点的项目
01-30
Spring启动安全性使用Spring Boot + Security + JWT进行REST端点身份验证/授权的项目。关于例子Spring Boot 1.5.4。发布Sprign Framework 4.3.9。发布Spring Security 4.2.3。发布Tomcat嵌入8.5.15 乔达日期时间...
spring-boot-2-oauth2-resource-jwt:Spring Boot 2 OAuth2 JWT资源服务器实现,在令牌和自定义主体具有自定义详细信息
05-19
JWTJSON Web Token)则是一种轻量级的安全身份认证标准,它以JSON格式编码,可以在客户端和服务器之间安全地传递信息。Spring Boot结合OAuth2和JWT,为资源服务器提供了一套完整的解决方案。 首先,我们需要在...
基于JWT用户token验证
最新发布
Mai_Jun_Hao的博客
01-06 2136
基于JWT用户token生成及验证
JWTJSON Web Token - 理解JWT网络间应用用户安全认证交互设计
weixin_30535843的博客
09-25 149
原文地址:http://blog.leapoahead.com/2015/09/06/understanding-jwt/ 官网地址:https://jwt.io/ JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT用户和服务器之间传递安全可靠的信息。 让我们来假想一下一个场景。在A用户关注了B用户的时候,系统发邮件给B用户,并且附有一个链接“点此关注A...
token 与 基于JWTToken认证
dizan4060的博客
08-29 100
支持跨域访问,无状态认证 token特点 支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输 无状态(也称:服务端可扩展行): Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息, 只需要在客户端的cookie或本地介质存储状态信息 更适用C...
利用JWT安全验证(前后端分离,单点登录,分布式微服务
谔定靴的博客
04-25 3529
JWT官网: https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt JWT请求流程 用户使用账号和面发出post请求; 服务器使用私钥创建一个jwt; 服务器返回这个jwt给浏览器; 浏览器将该jwt串在请求头像服务器发送请求; 服务器验证该jwt; 返回响应的资源给浏览器。 JWT的主要...
微服务版的单点登陆系统设计及实现
望山。
09-26 1765
简介 背景分析 传统的登录系统,每个站点都实现了自己的专用登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。例如: 这样的系统,我们又称之为多点登陆系统。应用起来相对繁琐(每次访问资源服务都需要重新登陆认证和授权)。与此同时,系统代码的重复也比较高。由此单点登陆系统诞生。 单点登陆系统 单点登录,英文是 Single Sign On(缩写为 SSO)。即多个站点共用一台认证授权服务器,用户在其任何一个站点登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互。例如:
微服务 单点登录解决方案(Jwt + 认证心redis + 多系统redis)
方亚军的博客
10-11 2491
Jwt + 认证心redis + 多系统redis 1.用户认证心登录,认证心生成jwt,保存到redis并返回给客户端。 2.客户端携带jwt去多个系统认证 3.多系统(比如系统A)收到jwt,A解析并取出用户信息,先判断自己的A的redis有没有jwt。 3.1 如果有,就合法,a系统可以继续执行业务逻辑。 3.2 如果没有就拿着jwt认证心验证。 3.2.1 如果通过,a系统就把这个jwt保存到自己的redis,并设置对应的失
使用jwt技术实现系统间的单点登录
热门推荐
05-26 2万+
单点登录(single sign on),简称sso。它的定义是多个应用系统间,只需要登录一次就可以访问所有相互信任的应用系统。下面介绍用jwt技术如何来实现单点登录。 一、JWT定义及其组成 JWT(JSON WEB TOKEN)是一个非常轻巧的规范,这个规范允许我们使用jwt在客户端和服务器之间传递安全可靠的信息。 JWT由3个部分组成,分别是头部、载荷、签名。 头部
Jwt + SpringBoot 拦截器+权限认证
ringBey的博客
06-30 732
Jwt + SpringBoot 拦截器+权限认证
Springboot 关闭或绕过 jwt用户验证
u010076659的博客
05-27 6701
Springboot绕过jwt用户验证,直接访问后台接口的方法。总结了两种方法: 关闭jwt 简单粗暴,关闭jwt之后,所有接口都对外开放,谨慎使用。方法如下: 在 启动类上添加注解: @EnableAutoConfiguration(exclude = { org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class }) 在 配置类WebSecurityConfigurerAdapte
Spring Security整合JWT:实现无状态认证
在现代Web开发,随着前后端分离和移动应用的普及,JSON Web Token (JWT) 成为了实现用户认证和授权的一种流行方式。JWT允许用户在无需携带传统Session Cookie的情况下进行安全的身份验证。Spring-Security作为Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值