微服务中基于JWT的Token机制认证实现(四)

最新推荐文章于 2024-03-11 09:25:32 发布
最新推荐文章于 2024-03-11 09:25:32 发布
阅读量639 收藏 3
点赞数
分类专栏: 微服务 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39566521/article/details/107931719
版权

编写JWT工具类

(1)在公共服务模块cloud-common的pom.xml中引入依赖

		<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

(2)在application.yml中配置jwt的key值和有效时长

jwt:
  config:
    key: ghytest
    ttl: 3600000

(3)创建util包,在包下创建 JWT工具类JwtUtil.java,通过@ConfigurationProperties(“jwt.config”)注解可以将application.yml中配置文件中的key值和有效时长引入,该工具类包含了生成jwt和解析jwt方法,代码如下

@ConfigurationProperties("jwt.config")
public class JwtUtil {
    //盐值
    private String key;
    //过期时间
    private long ttl;

    public String getKey() {
        return key;
    }

    public void setKey(String key) {
        this.key = key;
    }

    public long getTtl() {
        return ttl;
    }

    public void setTtl(long ttl) {
        this.ttl = ttl;
    }

    /**
     * 生成JWT
     * @param id
     * @param subject
     * @param roles
     * @return
     */
    public String createJWT(String id, String subject, String roles){
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        JwtBuilder builder = Jwts.builder()
                .setId(id)
                .setSubject(subject)
                .setIssuedAt(now)
                .signWith(SignatureAlgorithm.HS256, key)
                .claim("roles",roles);
        if(ttl>0){
            builder.setExpiration(new Date(nowMillis + ttl));
        }
        return builder.compact();
    }

    /**
     * 解析JWT
     * @param jwtStr
     * @return
     */
    public Claims parseJWT(String jwtStr){
        return Jwts.parser()
                .setSigningKey(key)
                .parseClaimsJws(jwtStr)
                .getBody();
    }
}

签发token

在用户成功登录系统后签发token。
(1)在用户管理模块cloud-user的pom.xml中引入公共服务模块cloud-common

  		<dependency>
			<groupId>com.example</groupId>
			<artifactId>cloud-common</artifactId>
			<version>1.0.0</version>
		</dependency>

(2)在启动类中配置bean

@SpringBootApplication
@EnableEurekaClient
@ComponentScan(basePackages={"com.config"})//引入swagger2
public class UserApplication {
    public static void main(String[] args) {
        SpringApplication.run(UserApplication.class, args);
    }
    @Bean
    public JwtUtil jwtUtil(){
        return new JwtUtil();
    }
}

(3)修改UserController的login方法

@RestController
@CrossOrigin
@RequestMapping("/user")
public class UserController {

    @Autowired
    private UserService userService;

    @Autowired
    private JwtUtil jwtUtil;

    @RequestMapping(value = "/login", method = RequestMethod.POST)
    public Result login(@RequestBody User user){
        User userLogin = userService.login(user);
        if(userLogin == null){
            return Result.ResultFailed( "登录失败");
        }
        //生成令牌
        String token = jwtUtil.createJWT(String.valueOf(userLogin.getId()), userLogin.getUserAccounts(), userRoleId);
        Map<String, Object> map = new HashMap<>();
        map.put("token", token);
        map.put("user", userLogin);
        return Result.LoginSuccess(map);
    }

    /**
     * 根据ID查询
     * @return
     */
    @RequestMapping(value = "/{id}", method = RequestMethod.GET)
    public Result findById(@PathVariable("id") Integer id){
        return Result.QuerySuccess(userService.findById(id));
    }
}

(4)启动服务,验证token是否生成。

token鉴权

可以通过拦截器对token进行鉴权,Spring为我们提供了org.springframework.web.servlet.handler.HandlerInterceptorAdapter这个适配器,继承此类,可以非常方便的实现自己的拦截器。他有三个方法,分别实现预处理、后处理(调用了Service并返回ModelAndView,但未进行页面渲染)、返回处理(已经渲染了页面):
在预处理preHandle中,可以进行编码、安全控制等处理;
在后处理postHandle中,有机会修改ModelAndView;
在返回处理afterCompletion中,可以根据ex是否为null判断是否发生了异常,进行日志记录。

(1)在预处理preHandle中对token进行鉴权,在用户管理模块cloud-user下新建一个interceptor包,包下创建拦截器类JwtInterceptor,并在拦截器中验证token

@Component
public class JwtInterceptor extends HandlerInterceptorAdapter {
 @Autowired
    private JwtUtil jwtUtil;

    @Override
    public boolean preHandle(HttpServletRequest httpServletRequest,
     HttpServletResponse httpServletResponse, Object o) throws Exception {
        System.out.println("经过了拦截器...");
        //无论如何都放行,具体能不能操作还是在具体的操作中去判断
        //拦截器只是负责把请求头中包含token的令牌进行一个解析验证
        String header = httpServletRequest.getHeader("Authorization");

        // 如果不是映射到方法直接通过
        if (!(o instanceof HandlerMethod)) {
            return true;
        }

        // OPTIONS请求类型直接返回不处理
        if ("OPTIONS".equals(httpServletRequest.getMethod())) {
            return false;
        }

        if (header != null && !"".equals(header)) {
            //如果包含有Authorization头信息,就对其进行解析
            if (header.startsWith("Bearer ")) {
                //得到token
                String token = header.substring(7);
                //对令牌进行验证
                try {
                    Claims claims = jwtUtil.parseJWT(token);
                    String userId = claims.getId();
                    String userName = claims.getSubject();
                    String userRoleId = (String) claims.get("roles");
                    if (userId != null) {
                        httpServletRequest.setAttribute("user_id", userId);
                    }
                    if (userName != null) {
                        httpServletRequest.setAttribute("user_name", userName);
                    }
                    if (userRoleId != null) {
                        httpServletRequest.setAttribute("user_roleId", userRoleId);
                    }
                } catch (Exception e) {
                    throw new RuntimeException("令牌不正确!");
                }
            }
        }
        return true;
    }
}

(2)新建一个config包,包下创建InterceptorConfig.java,配置拦截器类

@Configuration
public class InterceptorConfig extends WebMvcConfigurationSupport {

    @Autowired
    private JwtInterceptor jwtInterceptor;
    
    protected void addInterceptors(InterceptorRegistry registry){
        //注册拦截器要声明拦截器对象和要拦截的请求
        registry.addInterceptor(jwtInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/**/login/**");
    }
}

(3)启动服务,验证拦截器是否生效。

在微服务中,如果在每个服务中都定义相应的拦截器对token进行验证,这样会让我们重复写很多代码,我们可以将对token的鉴权写在网关的前置拦截器中。

赠柳一枝春
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python 基于jwt实现认证机制流程解析
09-16
主要介绍了python 基于jwt实现认证机制流程解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
微服务迁移记(六):集成jwt保护微服务接口安全
zhouyu629的专栏
03-05 97
JWT=json web token,是一种跨语言的身份校验机制,通信双方之间以Json对象的形式安全的传递信息,对数据进行加密传输,保证信息传递过程的身份可信。 微服务各模块或不同应用程序、终端之间的RPC调用,也应该保障数据传递的安全和可靠,避免身份伪造、传递数据被拦截获取和篡改等信息安全。 我们对前面的微服务API实现层进行如下改造: 第一步:调用接口前,先进行接口用户登录,获取令牌(T...
p2p_JWTFilter_BasicHttpAuthenticationFilter
maqingbin8888的专栏
10-01 7736
JWTFilter 继承BasicHttpAuthenticationFilter //是否是登录尝试 isLoginAttempt(ServletRequest request, ServletResponse response)  //获取验证信息 AuthenticationToken createToken(ServletRequest request, ServletResponse...
jwtUtil
最新发布
qq_47867967的博客
03-11 298
/接收token,验证token,并返回业务数据。//接收业务数据,生成token并返回。
SpringCloud搭建微服务Gateway+Jwt实现统一鉴权
liu320yj的博客
03-24 3597
微服务项目,需要对整个微服务系统进行权限校验,通常有两种方案,其一是每个微服务各自鉴权,其二是在网关统一鉴权,第二种方案只需要一次鉴权就行,避免了每个微服务重复鉴权的麻烦,本文以网关统一鉴权为例介绍如何搭建微服务鉴权项目
微服务网关gateWayJwt令牌
东风麦芽糖
09-28 7963
微服务网关概念详解 gateway跨域配置 过滤配置:host路由、路径匹配过滤、PrefixPath 过滤、StripPrefix过滤、LoadBalancerClient 路由过滤 网关限流、令牌桶、 将令牌信息添加到请求头 JWT讲解、JWT的构成、JJWT的介绍和使用、创建TOKENTOKEN解析、token过期设置 自定义claims载荷信息、gateway鉴权处理
使用JWT微服务的登录方案
热门推荐
Hello World ^—^
03-06 3万+
由于微服务大都是分布式的,需要几台服务器部署,当一个用户在其一台服务器登录后,传统的方式是session保存其登录信息,然后可以使用共享存储共享,比如redis共享,这种方案的缺点在于共享存储需要一定保护机制,因此需要通过安全链接来访问,这时解决方案的实现就通常具有相当高的复杂性了,所以这里使用基于令牌的方式做登录。 JWT简介 简介网上都有,下面是摘抄的一部分,做做笔记。。。 JWT(J...
Django+JWT实现Token认证实现方法
09-19
主要介绍了Django+JWT实现Token认证实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JWT Token实现方法及步骤详解
09-07
主要介绍了JWT Token实现方法及步骤详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
基于springboot+jwt实现刷新token过程解析
08-19
主要介绍了基于springboot+jwt实现刷新token过程解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
微服务Dubbo实战分布式服务调度视频教程
12-09
本课程讲述了当前微服务项目、分布式系统下接口与接口之前、服务与服务之间、项目与项目之间的调度/交互,采用的是dubbo加zookeeper的方式来实战。内容主要包括dubbo的认识与官网开发demo的实战,dubbo服务的开发与发布注册,dubbo服务的订阅与调用,dubbo服务调度之间接口的鉴权以及基于dubbo协议跟http协议以实际的业务场景实战服务与服务之间的调度等等!
微服务token设计方案
qq_38377190的博客
08-04 1427
项目初期(项目为微服务)为了快速开发使用了jwt生成token的无状态开发(未进行存储)并为生成的token指定一个过期时间为第二天的04:30,这样只要拿着今天生成的token就都可以用,这样不仅不利于项目自身安全,并且也无法实现以下功能。需求一:是否支持并发登录需求二:超时无操作过期设置需求三:记录在线人数为解决上述问题,微服务下需要管理有状态的token,并进行数据格式管理,实现上述需求。......
微服务之间传递token解决方案
Wzy000001的博客
09-11 5138
微服务之间传递token解决方案 在springcloud 微服务大部分是通过token来验证用户的,那么有个问题,假设现在有A服务,B服务,外部使用RESTApi请求调用A服务,在请求头上有token字段,A服务使用完后,B服务也要使用,如何才能把token也转发到B服务呢,最差的解决办法就是吧token放到请求参数,但是这样第一个是明文传输,第二个是比较麻烦,前端每次都要加个参数。 利用fegin去调用方法的时候,因为客户端有securtiy的防护,那么调用接口会返回401, 解决方案可能是webc
微服务关于用户token处理到的坑
tianlong1569的专栏
05-30 4115
当采用前后台完全分离,以微服务架构的搭建时。在搭建微服务过程,由于每个服务都是独立的应用,这样就会造成一个统一用户的问题。当用户从这个用户管理系统登录后,在其他系统的如何判断用户是否已经登录的问题。目前常用的有以下几种方案: 1、session 、redis共享处理 2、Header存储token机制 3、用户每个接口加入token参数 其3方案最简单,但是要求每个调用接口都需要传入...
springcloud 微服务之间传递token解决方案
码农笔录-微信公众号博客
04-19 2万+
在springcloud 微服务大部分是通过token来验证用户的,那么有个问题,假设现在有A服务,B服务,外部使用RESTApi请求调用A服务,在请求头上有token字段,A服务使用完后,B服务也要使用,如何才能把token也转发到B服务呢,最差的解决办法就是吧token放到请求参数,但是这样第一个是明文传输,第二个是比较麻烦,前端每次都要加个参数。 这里可以使用Feign的RequestI...
Spring Cloud OAuth 微服务内部Token传递的源码实现解析
weixin_33922672的博客
04-17 244
背景分析 1.客户端携带认证心发放的token,请求资源服务器A(Spring Security OAuth 发放Token 源码解析) 2.客户端携带令牌直接访问资源服务器,资源服务器通过对token 的校验 (Spring Cloud OAuth2 资源服务器CheckToken 源码解析 ) 判断用户的合法性,并保存到上下文 3.A服务接口接收到请求,需要通过Feign或者...
Springboot (五) 鉴权之Jwt实现token
大米饭
04-02 1601
Springboot (五) 鉴权之Jwt实现token 1. 导入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.5.0...
springboot @value("${sj.name}") 或者@ConfigurationProperties("jwt.config") 配置文件参数读取
风雨过后的博客
01-24 1678
可以利用@vlues 读取配置文件配置好的参数赋值 1. //需要注入到spring容器value才可以读取的到 @Component public class Item { @Value("${sj.name}") private String name ; public String getName() { return name; } public void se...
JWT的使用详解
snow_love_xia的博客
03-04 2698
背景 公司处在前后端分离的转折阶段,作为后端人员,要找到一个适用于接口验证的方式,公司仍保持后端使用Laravel框架,而laravel框架默认的是【web】方式,web 方式是使用 session 来进行用户认证,当然也是可以使用,但是有一定的不安全,经过调研,主流使用的Token验证方式。 介绍JWT JWT资料 项目Wiki 官方指导文档 The Anatomy of a JSON Web Token JWT:全称Json Web Token,是一种规范化的token。可以理解为对token这一技
ASP.NET WebApi 基于JWT实现Token签名认证(发布版)
05-17
首先,我们需要安装 `Microsoft.AspNet.WebApi` 和 `Microsoft.Owin.Security.Jwt` NuGet 包。 接下来,我们需要在 `WebApiConfig.cs` 文件配置 Web API 路由...这样,我们就成功地基于 JWT 实现Token 签名认证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值