JWT在微服务系统中的如何应用,如何保证安全性?

已于 2022-03-23 15:45:09 修改
阅读量6k 收藏 10
点赞数 8
分类专栏: 【SpringCloud】 文章标签: JWT SpringCloud
于 2020-05-04 16:51:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40162735/article/details/105752127
版权

前言

       最近一直在思考如何重构现有的微服务架构安全认证的解决方案,于是与Baron同学针对JWT在不同架构演变的基础上进行了一次深入讨论,熟悉微服务的朋友都知道相比较传统项目架构JWT技术标准对扩展是非常有利,但是如果JWT使用不当的话对项目安全来说无疑是致命的,所以在使用JWT时要注意安全性,本文结合自己的实践以及整理JWT相关资料后,写下这篇文章给大家分享一下,希望对大家有所帮助,欢迎评论交流~

目录

JWT介绍

JWT使用场景

JWT的结构体

数据生成格式

JWT流程图

SpringCloud下如何使用JWT?

JWT 使用 pom文件中引入依赖

JWT令牌生成验证实例

关于JWT有效期与安全性

JWT介绍

        Json web token (JWT) 是目前最流行的跨域认证解决方案,JWT是一个开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,可以在客户端与服务器之间作为JSON对象安全地传输信息。

JWT使用场景

        在微服务架构下的服务基本都是无状态的,传统的使用session的方式不再适用,如果使用的话需要做同步session机制,所以产生了一些技术来对微服务架构进行保护,例如常用的鉴权框架Spring Security OAuth2和用Jwt来进行保护,相对于框架而言,jwt较轻,且可以自包含一些用户信息和设置过期时间,省去了Spring Security OAuth2繁琐的步骤

JWT的结构体

JWT由三部分组成,分别是Header、Payload、Signature中间以.隔开

Header:头部,通常头部有两部分信息

  • 声明类型,这里是JWT
  • 加密算法

Payload:载荷,就是有效数据,一般包含下面信息

  • 用户身份信息(注意,这里客户端是可解密的,所以不要存放敏感信息)
  • 注册声明:如token的签发时间,过期时间,签发人等

Signature:签名,是整个数据的认证信息。一般根据前两步的base64编码后的数据,再加上服务的的密钥secret(存在服务器不能泄露),通过加密算法生成。用于验证整个数据完整和可靠性

数据生成格式

osnzheciOiJIUzI1NiIsInR5cCI6Ifaqgag.tqgbeznOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaGdas35wiaWF0IjoxNTE2MjM5MDIyfe.vhsgKxwRJSMeKKF2QT4fwpMeJf36POk6yJVmnbw5dwqaf

JWT流程图

        用户在提交登录信息后,服务器校验数据后将通过密钥的方式来生成一个字符串token返回给客户端,客户端在之后的请求会把token放在header里,在请求到达服务器后,服务器会检验和解密token,如果token被篡改或者失效将会拒绝请求,如果有效则服务器可以获得用户的相关信息并执行请求内容,最后将结果返回

SpringCloud下如何使用JWT?

        在微服务架构下,通常有单独一个服务Auth去管理相关认证,为了安全不会直接让用户访问某个服务,会开放一个入口服务作为网关gateway,只允许外网网关,所有请求首先访问gateway,由gateway将请求路由到各个服务,那么我们通常的做法在网关里进行请求拦截,来保证项目安全性,下图是JWT在微服务中流程图(图中采用非对称加密算法,利用私钥在auth加密,公钥在网关gateway中解密,由此来减轻auth压力,可根据场景灵活运用JWT)

JWT 使用 pom文件中引入依赖

<!-- JWT核心依赖 -->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.3.0</version>
</dependency>

JWT令牌生成验证实例

package com.giantfind.common.util;

import com.giantfind.common.component.IDGenerator;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.lang.Collections;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.annotation.Resource;
import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Key;
import java.util.Date;
import java.util.Hashtable;
import java.util.Map;

/**
 * @ProjectName: auth-service-api
 * @Package: com.giantfind.common.util
 * @ClassName: JwtUtils
 * @Author: liuyaolong
 * @Description: JWT 工具类
 * @Version: 1.0
 */
public class JwtUtils {

    private static final Logger logger = LoggerFactory.getLogger(JwtUtils.class);

    private static final String SECRET = "7ejklf96z0ebhsnefkfoxuiciybv";

    /**
     * 生成token
     * @param issuer 签发者
     * @param subject JWT所面向的用户,可选
     * @param ttlMillis 过期时间,可选
     * @param audience 接收该JWT的一方,可选
     * @param claimHashtable 自定义荷载
     * @return
     */
    public static String createToken(String issuer,String subject,long ttlMillis, String audience,Hashtable<String,Object> claimHashtable){

        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        long nowMillis = System.currentTimeMillis();

        Date now = new Date(nowMillis);

        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(SECRET);

        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

        JwtBuilder jwtBuilder = Jwts.builder()
                .setHeaderParam("alg", "HS256")
                .setId(String.valueOf(new IDGenerator().getGlobalId()))
                .setSubject(subject)
                .setIssuedAt(now)
                .setIssuer(issuer)
                .setAudience(audience)
                .signWith(signatureAlgorithm,signingKey);

        if (!Collections.isEmpty(claimHashtable)) {
            //自定义业务荷载
            for(Map.Entry<String, Object> entry: claimHashtable.entrySet()){
                jwtBuilder.claim(entry.getKey(),entry.getValue());
            }
        }

        //设置Token的过期时间
        if(ttlMillis >= 0){
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            jwtBuilder.setExpiration(exp);
        }

        return jwtBuilder.compact();
    }

    /**
     * 私钥解密token信息
     * @param token
     * @return
     */
    public static Claims getClaims(String token) {
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey(DatatypeConverter.parseBase64Binary(SECRET))
                    .parseClaimsJws(token).getBody();
            return claims;
        } catch (Exception e) {
            logger.info("Token令牌已过期或不存在:{}",token);
            return null;
        }
    }

    public static void main(String[] args) {
        //自定义参数荷载
        Hashtable<String,Object> claimHashtable = new Hashtable<>();
        claimHashtable.put("userName","admin");
        claimHashtable.put("nickName","devin");
        String token = createToken("devin","wechat",10000000L,"all",claimHashtable);
        System.out.println(token);
        System.out.println(getClaims(token).get("userName"));
    }

}

关于JWT有效期与安全性

JWT如果使用不当,服务器如同裸奔~~~

假如黑客监控电脑,抓包获取到token,伪造http 请求,对服务器是非常不安全的,常见的问题如下

  • 客户端修改token中body的信息进行操作(修改了之后签名信息就不正确,然后就无法验证签名,说明数据被修改)
  • 客户端伪造用户token进行访问进行操作(无法使用服务器的签名,所以在保证密钥不被泄露的情况下,不会被渗透)
  • 客户端截取token,模仿真实用户进行操作(解决办法:对敏感api接口,采用https,https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密证书。或者在代码层面进行优化做安全检测:比如根据ip地址,设备码,一次性token机制,token时效期等措施来解决项目安全性问题,或者其他的解决方案评论交流)

以上就是本文的全部内容,希望对大家的学习有所帮助,欢迎评论交流。能get到知识点不要忘了关注点赞~~~

破茧重生ys
关注
专栏目录
JWT安全问题—学习笔记(2)
m0_57781768的博客
11-17 1174
有了签名之后,即使 JWT 被泄露或者解惑,黑客也没办法同时篡改 Signature 、Header 、Payload这是为什么呢?因为服务端拿到 JWT 之后,会解析出其包含的 Header、Payload 以及 Signature。服务端会根据 Header、Payload、密钥再次生成一个 Signature。拿新生成的 Signature 和 JWT 的 Signature 作对比,如果一样就说明 Header 和 Payload 没有被修改。
微服务基于JWT的安全认证使用示例
colin5的专栏
03-04 178
微服务系统有多种方案来保持用户的状态及安全认证,比如session方案,token方案,本文讨论比较主流的JWT方案的使用示例。基于JWT的认证方案有着诸多优势,比如能够携带一些基本信息,使用了加密算法和加签算法防止字符串被篡改,在网关层就可以实现有效性验证而无需再次到认证服务去校验,极大地减轻了认证服务的压力。但在状态的注销方面存在劣势,实际使用需要结合其他方案来处理。
如何保证JWT token 的安全性和用户登录状态的保存
weixin_42594419的博客
12-22 731
JWT (JSON Web Token) 是一种常用的用于在后端 API 与客户端之间传递身份验证信息的方式。为了保证 JWT安全性,你可以采用以下几种方法: 使用 HTTPS:JWT 会在客户端和服务端之间通过 HTTP 协议传输,所以为了防止间人攻击,你应该使用 HTTPS 保护 JWT 的传输过程。 使用长期有效的 JWTJWT 可以指定一个有效期,在这段时间内 JWT 仍然有效...
面试官:怎么保证JWT安全性
最新发布
猿脑2.0的博客
06-17 484
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种简洁、自包含的方式,用于通信双方之间以 JSON 对象的形式安全地传输信息。
深入解析JWT,从根源上保障你的网络安全
wuli1024的博客
12-07 1762
JWT结构 JWT由三部分组成,分别是头部、载荷和签名。头部用于描述签名算法和类型,载荷用于存储用户信息和过期时间等,签名用于验证Token的合法性和完整性。JWT优点 相比于传统的Session认证方式,JWT具有以下优点:无状态、可扩展、安全性高、跨平台、可自定义负载等。JWT使用场景 JWT适用于前后端分离的Web应用,如SPA单页面应用,APP等场景下。同时,JWT也可以用于微服务架构的服务认证和授权。
jwt来保护你的接口服务
架构师小秘圈
08-03 181
以前写过一篇关于接口服务规范的文章,里面关于安全性问题重点讲述了通过appid,appkey,timestamp,nonce以及sign来获取token,使用token来保障接口服务的安全...
畅购的《微服务商城系统》Spring Security Oauth2 + JWT 用户认证微服务
03-20
微服务商城系统》是基于Spring Security Oauth2与JWT技术实现用户...以上就是基于Spring Security Oauth2和JWT的用户认证微服务的核心知识,这个系统的设计和实现充分体现了现代电商系统安全性、可扩展性和灵活性。
Spring Cloud OAuth2和JWT保护微服务.docx
01-12
微服务,可以利用 JWT 实现单点登录。 四、案例工程架构 工程架构图包括三个工程:eureka-server、auth-service 和 user-service。 1. eureka-server:注册服务心,端口 8761。 2. auth-service:负责授权...
JWT微服务架构的身份确认与认证
## 1.2 身份确认与认证在微服务架构的重要性 ## 1.3 JWT的背景和作用 在当今互联网应用的开发微服务架构已经成为一种十分流行和被广泛采用的架构方式。相较于传统的单体应用架构,微服务架构具有灵活性高、...
JSON Web令牌(JWT)在微服务认证应用
在本章,我们将深入探讨JSON Web令牌(JWT)的基本原理,包括其结构和组成,加密机制和安全性,以及在微服务的优势。 #### 1. JWT的结构和组成 JWT由头部(Header)、载荷(Payload)和签名(Signature)三部
使用JWT确保API的安全
weixin_34148508的博客
10-10 382
未经安全保护的API非常的危险 未经安全保护的API非常的危险,其和裸奔无异。即使API文档没有被人为泄露,通过简单的抓包也可以非常容易的获取到API的URL以及对应的请求参数。下面举几个未经保护的API可能将会造成的安全事故: 通过抓包,找到发送短信验证码的API。然后利用该API恶意的发送短信验证码。而发送短信验证码是需要收费的,这...
微服务下的登录验证JWT的使用
失忆๑的博客
09-24 317
一)微服务下的登录验证JWT的使用 1)JWT(JSON WEN TOKEN) 微服务下登录检验解决方案 JWT讲解 简介:微服务下登录检验解决方案 JWT讲解 json wen token 1、JWT 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。 JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行...
微服务学习系列四:JWT单点登录
yangyanping20108的博客
03-03 521
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密
使用JWT保护你的Spring Boot应用 - Spring Security实战
weixin_33720078的博客
04-28 141
使用JWT保护你的Spring Boot应用 - Spring Security实战 作者 freewolf 原创文章转载请标明出处 关键词 Spring Boot、OAuth 2.0、JWT、Spring Security、SSO、UAA 写在前面 最近安静下来,重新学习一些东西,最近一年几乎没写过代码。整天疲于奔命的日子终于结束了。坐...
JWT微服务
m0_56164246的博客
05-27 676
Jwt微服务及其运用 jwt简介 全称 json wen token Jwt 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。(加密) 简单来说,就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息 优点 1)生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库 2)存储在客户端,不占用服务端的内存资源 缺点 t
JWT 实现微服务鉴权
weixin_45588345的博客
06-07 573
什么是微服务鉴权: 判断用户是否有权限进行微服务的访问,微服务的鉴权比较适合在网关进行权限的校验 我们可以采用 JWT的方式来实现鉴权校验 JWT: JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名 1.头部(Header): 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象 如: {“typ”:“JWT”,“
微服务JWT的介绍与使用
xuewenyu_的博客
01-22 1541
​ RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,“由已知加密密钥推导出解密密钥在计算上是不可逆的”密码体制。​ 在公开密钥密码体制,加密密钥(即公开密钥)PK是公开信息,而解密密钥(即秘密密钥)SK是需要保密的。加密算法E和解密算法D也都是公开的。虽然解密密钥SK是由公开密钥PK决定的,但却不能根据PK计算出SK [2]。​ RSA加密:非对称加密。​ 同时生产一对秘钥:公钥和私钥。​ 公钥秘钥:用于加密​ 私钥秘钥:用于解密。
微服务网关与JWT令牌在Java应用的角色
本文档主要讨论了JavaJWT(JSON Web Token)令牌在微服务网关应用,以及微服务网关在解决分布式系统所面临问题的重要性。 微服务网关是一个集式的入口点,用于处理客户端与多个微服务间的交互。在没有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破茧重生ys

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值