13-2、微服务统一认证 Spring Cloud OAuth2 + JWT--》JWT

最新推荐文章于 2024-06-18 11:31:34 发布
原创 最新推荐文章于 2024-06-18 11:31:34 发布 · 256 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jwt #spring cloud

本文介绍了JWT令牌的原理和结构,包括其包含的Header、Payload和Signature三部分。文章详细阐述了如何将认证服务器进行JWT改造,包括创建JWTTokenStore、JWTAccessTokenConverter以及设置签名密钥。同时,资源服务器不再依赖远程认证服务器,而是通过本地tokenStore进行JWT令牌的校验,实现无状态设置。

一、JWT令牌介绍

通过上边的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较⼤将会影响系统的性能。

解决上边问题: 令牌采用JWT格式即可解决上边的问题,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信 息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。

1、什么是JWT?

JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。

2、JWT令牌结构

JWT令牌由三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz

①Header

头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA),例如

{
  "alg": "HS256",
  "typ": "JWT"
}

将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。

②Payload

第二部分是负载,内容也是一个json对象,它是存放有效信息的地方,它可以存放jwt提供的现成字段,比 如:iss(签发者),exp(过期时间戳), sub(⾯向的用户)等,也可自定义字段。 此部分不建议存放敏感信息,因为此部分可以解码还原原始内容。 最后将第二部分负载使用Base64Url编码,得到一个字符串就是JWT令牌的第二部分。 一个例子:

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

③Signature

第三部分是签名,此部分用于防止jwt内容被篡改。 这个部分使用base64url将前两部分进行编码,编码后使用点(.)连接组成字符串,最后使用header中声明 签名算法进行签名。

HMACSHA256(
	base64UrlEncode(header) + "." +
	base64UrlEncode(payload),
	secret)

base64UrlEncode(header):jwt令牌的第一部分。
base64UrlEncode(payload):jwt令牌的第二部分。
secret:签名所使用的密钥。

二、认证服务器JWT改造(Authorization Server)

lagou-cloud-oauth-server-9999–》OauthServerConfigurer
需要调整3处
在这里插入图片描述

 /**
     * 该方法用于创建tokenStore对象(令牌存储对象)
     * token以什么形式存储
     *
     * @return
     */
    private TokenStore tokenStore() {
//        return new InMemoryTokenStore();
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    /**
     * 返回jwt令牌转换器(帮助我们⽣成jwt令牌的)
     * 在这⾥,我们可以把签名密钥传递进去给转换器对象
     *
     * @return
     */
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
        jwtAccessTokenConverter.setSigningKey(sign_key);// 签名密钥
        jwtAccessTokenConverter.setVerifier(new MacSigner(sign_key)); // 验证时使用的密钥,和签名密钥保持一致
        return jwtAccessTokenConverter;
    }

    /**
     * 该方法用户获取一个token服务对象(该对象描述了token有效期等信息)
     *
     * @return
     */
    private AuthorizationServerTokenServices authorizationServerTokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setSupportRefreshToken(true); // 是否开启令牌刷新
        defaultTokenServices.setTokenStore(tokenStore());
        // 设置令牌有效时间(一般设置为2个小时)
        defaultTokenServices.setAccessTokenValiditySeconds(20);// 20秒
        // 设置刷新令牌的有效时间
        defaultTokenServices.setRefreshTokenValiditySeconds(3 * 24 * 60 * 60);

        // 针对jwt添加配置
        defaultTokenServices.setTokenEnhancer(jwtAccessTokenConverter());
        return defaultTokenServices;
    }

说明
在这里插入图片描述

三、资源服务器校验JWT令牌

lagou-service-autodeliver-8098—》ResourceServerConfigurer
不需要和远程认证服务器交互,添加本地tokenStore

1、ResourceServerConfigurer

 /**
     * 该方法用于定义资源服务器向远程认证服务器发起请求,进行token校验等事宜
     *
     * @param resources
     * @throws Exception
     */
    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
//        super.configure(resources);

        /*// 1、设置当前资源服务的资源id
        resources.resourceId("autodeliver");

        // 2、定义token服务对象(token校验就应该靠token服务对象)
        RemoteTokenServices remoteTokenServices = new RemoteTokenServices();
        // 校验端点/接⼝设置
        remoteTokenServices.setCheckTokenEndpointUrl("http://localhost:9999/oauth/check_token");
        remoteTokenServices.setClientId("client_lagou123");
        remoteTokenServices.setClientSecret("abcxyz");
        resources.tokenServices(remoteTokenServices);*/

        // jwt令牌改造:不需要和远程认证服务器交互,添加本地tokenStore
        resources.resourceId("autodeliver").tokenStore(tokenStore()).stateless(true);// 无状态设置
    }

2、将以下代码从上面的类中直接拷贝过来

//***************************************** 复用【开始】 *****************************************
    // 直接从com.lagou.edu.config.OauthServerConfigurer拷贝过来
    /**
     * 该方法用于创建tokenStore对象(令牌存储对象)
     * token以什么形式存储
     * @return
     */
    private TokenStore tokenStore() {
//        return new InMemoryTokenStore();
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    /**
     * 返回jwt令牌转换器(帮助我们⽣成jwt令牌的)
     * 在这⾥,我们可以把签名密钥传递进去给转换器对象
     * @return
     */
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
        jwtAccessTokenConverter.setSigningKey(sign_key);// 签名密钥
        jwtAccessTokenConverter.setVerifier(new MacSigner(sign_key)); // 验证时使用的密钥,和签名密钥保持一致
        return jwtAccessTokenConverter;
    }
//***************************************** 复用【结束】 *****************************************

四、测试

获取token的接口返回值已经变成这样的了在这里插入图片描述

五、jwt生成的token解析

jwt官网
在这里插入图片描述

Spring Cloud 微服务安全:OAuth2 + JWT 实现认证与授权
AI开发架构师
04-10 876
随着微服务架构的普及,服务拆分带来的分布式特性对安全体系提出了更高要求。传统单体应用的认证授权模式(如 Session-Cookie)难以适应跨服务、跨平台的安全需求。如何实现微服务间的统一身份认证?如何通过开放标准协议(OAuth2)实现第三方接入安全?如何利用 JWT(JSON Web Token)实现无状态令牌管理?如何在 Spring Cloud 生态中整合认证服务与资源服务?核心概念:解析 OAuth2 协议与 JWT 技术的原理及结合点架构设计。
SpringBoot +oAuth2+JWT+Spring Security认证配置
qq_41860765的博客
03-05 1291
官网:https://jwt.io/这个过程就是无状态认证。令牌采用JWT格式即可解决上边的问题,用户认证通过后会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。拿到了jwt令牌下一步就要携带令牌去访问资源服务中的资源,项目各个微服务就是资源服务,比如:A服务,客户端申请到jwt令牌,携带jwt去B服务查询信息,此时B服务要对jwt进行校验,只有jwt合法才可以继续访问。
OAuth2+JWT认证
qq_28326501的博客
06-22 887
一:OAuth2认证 思路: 【1】:服务创建及pom文件
实战:使用SpringBoot进行OAuth2JWT认证
AI天才研究院
01-28 1678
1.背景介绍 1. 背景介绍 OAuth2JWT 是现代 Web 应用程序中的两种常见身份验证和授权方法。OAuth2 是一种授权代理模式,允许用户授予第三方应用程序访问他们的资源,而不需要暴露他们的凭据。JWT(JSON Web Token)是一种用于在不安全的网络中传输声明的开放标准(RFC 7519)。 Spring Boot 是一个用于构建新 Spring 应用程序的快速开始桌...
资源服务器验证Token的几种方式
bobozai86的博客
05-25 8758
资源服务器验证Token的几种方式 在微服务中,除了eureka,config,网关等基本的微服务还有认证服务和资源服务, 上图描述了使用了 OAuth2 的客户端请求验证token的流程,是通过资源服务向认证服务验证token。 过程就是客户端用用户名和密码到认证服务获取token,客户端拿着 token 去各个微服务请求数据接口, 当微服务接到请求后,先要拿着 token 去认证服务校验token 的合法性,如果合法,请求成功接口处理返回数据。 这种方式首先要在认证服务的认证服务配置允
OAuth2+JWT新一代认证技术
a154555的博客
09-19 3402
认证方式: 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证
精选资源
springcloud-gateway-oauth2:这是一个SpringCloud gateway +oauht2.0+jwt 实现微服务认证和授权
05-11
1.springcloud-gateway-oauth2 这是一个SpringCloud gateway +oauht2.0+jwt 实现微服务认证和授权 (记得修改 redis连接 和jdbc连接) 2.安装naocs 3.测试 1.访问认证服务: 2. 访问资源服务: 3. 用户的信息
微服务统一认证方案Spring Cloud OAuth2+JWT
Ginnnnnnn的博客
11-07 3818
微服务统一认证方案
精选资源
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发...
【Sa-Token|2】Sa-Token在微服务中的使用
最新发布
颜淡慕潇
06-18 4691
负责用户认证和 Token 生成。: 负责用户信息管理。: 负责订单管理。
JWT改造统一认证授权中心的令牌存储机制
凉茶铺的博客
09-01 933
通过上边的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能。解决上边问题: 令牌采用JWT格式即可解决上边的问题,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信 息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证 服务完成授权。...
jwt加密权限验证
leese233的博客
06-02 1029
jwt加密权限验证
Springsecurity-oauth2之RemoteTokenServices
weixin_34184158的博客
03-12 6251
2019独角兽企业重金招聘Python工程师标准>>> ...
05 【若依框架解读】登录认证JWTtoken验证机制
kouryoushine的博客
12-06 2万+
背景 今天讲下若依框架对于登录认证方面的实现,这个方面若依做的不算太好,如果项目中想用的话需要参考其他框架的实现,做的更好一些。 我建议是前后端放在一起来看,单纯看后端会比较无趣。 后端部分 /login 接口 userName password code 验证码 前端获取上面三个要素后调用接口,整体改接口做了下面几件事情 验证用户身份(账号密码+验证码) 生成token 保存用户登录态到spring security中 安全配置:定义了基本的配置信息 framework.config.Securi
RemoteTokenServices认证资源分离远程鉴权只返回了username修改为返回UserDetails对象
单筱风的博客
01-27 1639
1.DefaultUserAuthenticationConverter 提示:可以先浏览这两篇文章: Springsecurity-oauth2之RemoteTokenServices Spring security Oauth2自定义check_token返回解析参数(自定义UserAuthenticationConverter) 提高对授权和资源服务分离的远程调用逻辑理解 DefaultUserAuthenticationConverter是默认的权限转换返回参数构造类 extractAuthenti
Spring Security+OAuth2 + JWT认证以及携带用户信息
热门推荐
buxiaoxia的专栏
03-20 3万+
基于Spring Security的OAuth2.0+JWT认证方式实现 提供认证服务端,资源服务端的配置 提供JWT对称加密、非对称加密方式
spring cloud oauth2 jwt 使用说明
weixin_43931625的博客
02-06 2902
spring cloud oauth2 jwt 使用说明 ************************* jwt签名、验签相关类及接口 JwtAccessTokenConverter:token转换类 public class JwtAccessTokenConverter implements TokenEnhancer, AccessTokenConverter, I...
spring cloud oauth2微服务认证授权
寂夜了无痕的博客
07-01 2935
springcloud oauth 官方页面https://spring.io/projects/spring-security-oauth#learn oauth2官网https://oauth.net/2/ OAuth 2.0 is the industry-standard protocol for authorization. OAuth 2.0 focuses on client developer simplicity while providing specific authoriza..
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值