Spring-cloud学习笔记---分布式架构统一认证主流实现方案JWT简介

最新推荐文章于 2023-12-29 11:43:59 发布
最新推荐文章于 2023-12-29 11:43:59 发布
阅读量241 收藏
点赞数
分类专栏: springcloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39314972/article/details/110141203
版权

Spring-cloud学习笔记—分布式架构统一认证主流实现方案JWT简介

1.JWT改造统⼀认证授权中⼼的令牌存储机制前的思考

  1. 当我们第⼀次登陆之后,认证服务器颁发token并将其存储在认证服务器中,后期我们访问资源服务器时会携带token,资源服务器会请求认证服务器验证token有效性,如果资源服务器有很多,那么认证服务器压⼒会很⼤
  2. 另外,资源服务器向认证服务器check_token,获取的也是⽤户信息UserInfo,能否把⽤户信息存储到令牌中,让客户端⼀直持有这个令牌,牌的验证也在资源服务器进⾏,这样避免和认证服务器频繁的交互
  3. 我们可以考虑使JWT进⾏改造,使⽤JWT机制之后资源服务器不需要访问认证服务器
  4. 在引入OAuth2的starter的时候,JWT就已经以来过来了

2. JWT令牌的介绍

  1. 通过上边的测试我们发现,当资源服务和授权服务不在⼀起时资源服务使⽤RemoteTokenServices远程请求授权 服务验证token,如果访问量较⼤将会影响系统的性能。
  2. 解决上边问题: 令牌采⽤JWT格式即可解决上边的问题,⽤户认证通过会得到⼀个JWT令牌JWT令牌中已经包括了⽤户相关的信 息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法⾃⾏完成令牌校验,⽆需每次都请求认证 服务完成授权。

3. 什么是JWT

  1. JSON Web Token(JWT)是⼀个开放的⾏业标准(RFC 7519),它定义了⼀种简介的、⾃包含的协议格式,⽤于 在通信双⽅传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使⽤HMAC算法或使⽤RSA的公钥/私钥对来签名,防⽌被篡改。

4. JWT令牌结构

  1. JWT令牌由三部分组成,每部分中间使⽤点(.)分隔,⽐如:xxxxx.yyyyy.zzzzz
  2. Header:头部包括令牌的类型(即JWT)及使⽤的哈希算法(如HMAC SHA256或RSA)
    {
	"alg": "HS256",
	"typ": "JWT"
}
  3. Payload:第⼆部分是负载,内容也是⼀个json对象,它是存放有效信息的地⽅,它可以存放jwt提供的现成字段,⽐如:iss(签发者),exp(过期时间戳), sub(⾯向的⽤户)等,也可⾃定义字段。 此部分不建议存放敏感信息,因为此部分可以解码还原原始内容。 最后将第⼆部分负载使⽤Base64Url编码,得到⼀个字符串就是JWT令牌的第⼆部分。
    {
	"sub": "1234567890",
	"name": "John Doe",
	"iat": 1516239022
}
``
  4. Signature:第三部分是签名,此部分⽤于防⽌jwt内容被篡改。 这个部分使⽤base64url将前两部分进⾏编码,编码后使⽤点(.)连接组成字符串,最后使⽤header中声明签名算法进⾏签名。
    HMACSHA256(
	base64UrlEncode(header) + "." +
	base64UrlEncode(payload),
	secret)
    base64UrlEncode(header):jwt令牌的第⼀部分。
    base64UrlEncode(payload):jwt令牌的第⼆部分。
    secret:签名所使⽤的密钥。
第三部分Signature是防止篡改的,即使我们知道第一部分和第二部分的值,并且进行相同的机密算法后,但是我们不知道secret的值,所以会防止被篡改

在这里插入图片描述

馒头太帅了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springCloudShop:用spring-cloud基于tcc做的简单下单流程
02-04
本系统参考[spring-cloud-rest-tcc](https://github.com/FurionCS/spring-cloud-rest-tcc) 项目进行学习 Spring Cloud为开发者提供了快速构建分布式系统中的一些常见工具, 如分布式配置中心, 服务发现与注册中心, ...
【十一】统⼀认证方案 Spring Cloud OAuth2
程序猿
04-14 235
OAuth(开放授权)是⼀个开放协议/标准,允许用户授权第三⽅应⽤访问他们存储在另外的服务提供者上的信息,而不需要将⽤户名和密码提供给第三方应用或分享他们数据的所有内容资源所有者(Resource Owner):可以理解为用户自己客户端(Client):我们想登陆的网站或应用,比如拉勾网认证服务器(Authorization Server):可以理解为微信或者QQ资源服务器(Resource Server):可以理解为微信或者QQ。
Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
最新发布
weixin_47600724的博客
12-29 1774
接下来我们就可以搭建网关服务了,它将作为Oauth2的资源服务、客户端服务使用,对访问微服务的请求进行统一的校验认证和鉴权操作。我们首先来搭建认证服务,它将作为Oauth2的认证服务使用,并且网关服务的鉴权功能也需要依赖它。最后我们搭建一个API服务,它不会集成和实现任何安全相关逻辑,全靠网关来保护它。接下来我们来演示下微服务系统中的统一认证鉴权功能,所有请求均通过网关访问。
实战干货!Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权!
竹林幽深
04-17 2338
新建一个JwtAuthenticationManager,需要实现ReactiveAuthenticationManager这个接口。认证管理的作用就是获取传递过来的令牌,对其进行解析、验签、过期时间判定。详细代码如下:逻辑很简单,就是通过JWT令牌服务解析客户端传递的令牌,并对其进行校验,比如上传三处校验失败,抛出令牌无效的异常。抛出的异常如何处理?如何定制返回的结果?这里抛出的异常可以通过Spring Cloud Gateway的全局异常进行捕获,这个内容在。
实战讲解网关接口统一认证SpringCloudGateway(图+文)
天然玩家的博客
11-21 3139
- 白名单配置有两种方式, (1)在启动的文件application.yml中配置; (2)在数据库Redis或MySQL中配置,启动应用时,需要将数据加载到内存(JVM), 如何在SpringBoot启动时加载外部数据到内存参见:[https://blog.csdn.net/Xin_101/article/details/127945236](https://blog.csdn.net/Xin_101/article/details/127945236); - 网关拦截请求核心是实现GlobalFilte
SpringCloud + Gateway + Security 搭建微服务统一认证授权(附源码)
Java精选
05-30 3567
大家好,我是东哥!1 概述SpringCloud Gateway Security oauth2.0 搭建微服务统一认证授权。项目概述:common:公用代码,实体、工具类等等…gateway:网关uaa:用户登录认证服务school:微服务环境概述:SpringBoot 版本:2.3.1.RELEASESpringCloud版本:Hoxton.SR6SpringClou...
spring-boot-jwt-sample:spring-boot-jwt-sample
05-16
spring-boot-jwt-sample spring boot整合jwt完成接口授权认证 1、注册用户(POST) { "id": 1, "userName": "admin", "loginName": "admin", "password": "admin", "roles": "admin", "email": "admin@ameizi...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-jwt-demo.zip
11-19
spring-security-jwt-demo.zip
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
SpringBoot-JWT-Token:JWT令牌,Spring-Security
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
Spring Cloud 安全:集成OAuth2实现身份认证和单点登录 示例代码
Cloud-Admin是国内首个基于SpringCloud微服务化开发平台具有统一授权认证后台管理系统
08-08
Cloud-Admin是国内首个基于Spring Cloud微服务化开发平台,具有统一授权、认证后台管理系统,其中包含具备用户管理、资源权限管理、网关API管理等多个模块,支持多业务系统并行开发,可以作为后端服务的开发脚手架。代码简洁,架构清晰,适合学习和直接项目中使用。核心技术采用Spring Boot2以及Spring Cloud Gateway相关核心组件,前端采用vue-element-admin组件。
spring cloud oauth2 zuul 单点登录 认证授权
01-08
spring cloud框架下的单点登录sso技术 oauth2实现认证 授权 以及zuul作为网关路由 可以参考学习使用
分布式权限验证之JWT
小小的人儿的博客
03-27 1526
JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {“typ”:“JWT”,“alg”:“HS256”} 在头部指明了签名算法...
微服务统一认证方案Spring Cloud OAuth2+JWT
Ginnnnnnn的博客
11-07 3147
微服务统一认证方案
SpringCloud系列——12Spring Cloud实战之统一认证与授权
Eclipse_2019的博客
07-15 1954
单体架构下的统一认证与授予;微服务架构下的统一认证与授权;微服务架构JWT+API实现统一认证与授权实战
JWT安全验证常见疑问解答
西涛offbye-移动全栈技术博客
07-05 1万+
最近做基于BFF架构分布式移动端API接口的系统设计。工作过程中发现有些工程师对JWT安全验证的认识存在一些偏差,重复讲解实在太麻烦了,在这里把关于JWT常见的一些疑问统一回答下吧。 什么是JWT?JSON Web Token (JWT)是一种基于 token 的认证方案。 JSON Web Tokens are an open, industry standard RFC 7519 metho
JWT详解
热门推荐
baobao的博客
07-07 26万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请
spring-cloud-starter-security和spring-cloud-security的关系
05-31
- `spring-cloud-security` 是 Spring Cloud 中的一个核心模块,它依赖于 Spring Security 和 Spring Boot Starter Security,提供了一些基于微服务的安全解决方案,如基于 OAuth2 的安全认证和授权、基于 JWT 的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值