用户认证与授权(登录功能)

最新推荐文章于 2024-05-06 10:43:43 发布
最新推荐文章于 2024-05-06 10:43:43 发布
阅读量3.5k 收藏 10
点赞数 2
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43063585/article/details/117409351
版权

截至目前,项目已经完成了在线学习功能,用户通过在线学习页面点播视频进行学习。如何去记录学生的学习过程呢?要想掌握学生的学习情况就需要知道用户的身份信息,记录哪个用户在什么时间学习什么课程;如果用户要购买课程也需要知道用户的身份信息。所以,去管理学生的学习过程最基本的要实现用户的身份认证。
什么是用户身份认证?
用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。
什么是用户授权?
用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问,这个过程叫用户授权。

本项目包括多个子项目(微服务),如:学习系统,教学管理中心、系统管理中心等,为了提高用户体验性需要实现用户只认证一次便可以在多个拥有访问权限的系统中访问,这个功能叫做单点登录。

本项目采用 Spring security + Oauth2完成用户认证及用户授权。流程如下:
1、用户请求认证服务完成认证。
2、认证服务下发用户身份令牌,拥有身份令牌表示身份合法。
3、用户携带令牌请求资源服务,请求资源服务必先经过网关。
4、网关校验用户身份令牌的合法,不合法表示用户没有登录,如果合法则放行继续访问。
5、资源服务获取令牌,根据令牌完成授权。
6、资源服务完成授权则响应资源信息。

一、 Spring security Oauth2认证解决方案
搭建认证服务器
创建xc-service-ucenter-auth工程,该工程是基于Spring Security Oauth2的一个二次封装的工程。

创建用户数据库
在这里插入图片描述
以“oauth_”开头的表都是spring Security 自带的表。
本项目中spring Security 主要使用oauth_client_details表:
在这里插入图片描述
client_id:客户端id
resource_ids:资源id(暂时不用)
client_secret:客户端密码
scope:范围
access_token_validity:访问token的有效期(秒)
refresh_token_validity:刷新token的有效期(秒)
authorized_grant_type:授权类型,authorization_code,password,refresh_token,client_credentials

Oauth2授权模式
Oauth2有以下授权模式: 授权码模式(Authorization Code) 隐式授权模式(Implicit) 密码模式(Resource Owner Password Credentials) 客户端模式(Client Credentials) 其中授权码模式和密码模式应用较多。
密码模式与授权码模式的区别是申请令牌不再使用授权码,而是直接通过用户名和密码即可申请令牌。
Oauth2授权码模式和密码模式的使用教程见讲义。

本项目使用密码模式。

二、资源服务授权
资源服务授权流程
在这里插入图片描述
1、客户端请求认证服务申请令牌
2、认证服务生成令牌
认证服务采用非对称加密算法,使用私钥生成令牌。
3、客户端携带令牌访问资源服务
客户端在Http header 中添加: Authorization:Bearer 令牌。
4、资源服务请求认证服务校验令牌的有效性
资源服务接收到令牌,使用公钥校验令牌的合法性。
5、令牌有效,资源服务向客户端响应资源信息

资源服务授权配置
基本上所有微服务都是资源服务,这里我们在课程管理服务上配置授权控制,当配置了授权控制后如要访问课程信息则必须提供令牌。
1、配置公钥
认证服务生成令牌采用非对称加密算法,认证服务采用私钥加密生成令牌,对外向资源服务提供公钥,资源服务使 用公钥来校验令牌的合法性。
将公钥拷贝到 publickey.txt文件中,将此文件拷贝到资源服务工程的classpath下:
在这里插入图片描述
2、添加依赖

<dependency> 
	<groupId>org.springframework.cloud</groupId> 
	<artifactId>spring‐cloud‐starter‐oauth2</artifactId> 
</dependency>

3、在config包下创建ResourceServerConfig类:

@Configuration 
@EnableResourceServer 
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)//激活方法上的 PreAuthorize注解 
public class ResourceServerConfig extends ResourceServerConfigurerAdapter { 
	//公钥 
	private static final String PUBLIC_KEY = "publickey.txt";
	//定义JwtTokenStore,使用jwt令牌 
	@Bean 
	public TokenStore tokenStore(JwtAccessTokenConverter jwtAccessTokenConverter) { 
		return new JwtTokenStore(jwtAccessTokenConverter); 
	}
	//定义JJwtAccessTokenConverter,使用jwt令牌 
	@Bean 
	public JwtAccessTokenConverter jwtAccessTokenConverter() { 
		JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); 
		converter.setVerifierKey(getPubKey()); 
		return converter; 
	}
	/*** 获取非对称加密公钥 Key * @return 公钥 Key */ 
	private String getPubKey() { 
		Resource resource = new ClassPathResource(PUBLIC_KEY); 
		try {
			InputStreamReader inputStreamReader = new InputStreamReader(resource.getInputStream()); 
			BufferedReader br = new BufferedReader(inputStreamReader); 
			return br.lines().collect(Collectors.joining("\n")); 
		} catch (IOException ioe) { 
			return null; 
		} 
	}
	//Http安全配置,对每个到达系统的http请求链接进行校验 
	@Override 
	public void configure(HttpSecurity http) throws Exception { 
		//所有请求必须认证通过 
		http.authorizeRequests().anyRequest().authenticated(); 
	} 
}

JWT介绍
在介绍JWT之前先看一下传统校验令牌的方法,如下图:
在这里插入图片描述
问题:
传统授权方法的问题是用户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,并根据令牌获取用户的相关信息,性能低下。
解决:
使用JWT的思路是,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验(使用公钥),无需每次都请求认证服务完成授权。
JWT令牌授权过程如下图:
在这里插入图片描述
JWT令牌结构
JWT令牌由三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz。
Header 头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC SHA256或RSA),
例子如下:

{
	"alg": "HS256", 
	"typ": "JWT" 
}

将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。
Payload
第二部分是负载,内容也是一个json对象,它是存放有效信息的地方,它可以存放jwt提供的现成字段,比 如:iss(签发者),exp(过期时间戳), sub(面向的用户)等,也可自定义字段。 此部分不建议存放敏感信息,因为此部分可以解码还原原始内容。 最后将第二部分负载使用Base64Url编码,得到一个字符串就是JWT令牌的第二部分。
Signature
第三部分是签名,此部分用于防止jwt内容被篡改。 这个部分使用base64url将前两部分进行编码,编码后使用点(.)连接组成字符串,最后使用header中声明 签名算法进行签名。
一个例子:

HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

base64UrlEncode(header):jwt令牌的第一部分。 base64UrlEncode(payload):jwt令牌的第二部分。 secret:签名所使用的密钥。
Spring Security 提供JwtHelper来实现创建JWT令牌,校验JWT令牌等操作。

三、认证接口开发
在这里插入图片描述
执行流程:
1、用户登录,请求认证服务
2、认证服务认证通过,生成jwt令牌,将jwt令牌及相关信息写入Redis,并且将身份令牌写入cookie
3、用户访问资源页面,带着cookie到网关
4、网关从cookie获取token,并查询Redis校验token,如果token不存在则拒绝访问,否则放行
5、用户退出,请求认证服务,清除redis中的token,并且删除cookie中的token
使用redis存储用户的身份令牌有以下作用: 1、实现用户退出注销功能,服务端清除令牌后,即使客户端请求携带token也是无效的。 2、由于jwt令牌过长,不宜存储在cookie中,所以将jwt令牌存储在redis,由客户端请求服务端获取并在客户端存储。

下一篇继续。

统一GR和QFT
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务实战项目-学成在线-认证授权模块(有项目实战实现)
爪蛙毁一生的博客
07-22 3367
截至目前,项目已经完成了课程发布功能,课程发布后用户通过在线学习页面点播视频进行学习。如何去记录学生的学习过程呢?要想掌握学生的学习情况就需要知道用户身份信息,记录哪个用户在什么时间学习什么课程,如果用户要购买课程也需要知道用户身份信息。所以,去管理学生的学习过程最基本的要实现用户身份认证认证授权模块实现平台所有用户身份认证用户授权功能。什么是用户身份认证用户身份认证用户去访问系统资源时系统要求验证用户身份信息,身份合法方可继续访问。常见的用户身份认证的表现形式有:用户名密码登录,微信扫码
OAuth三方授权登录
Shawn的个人博客
10-24 2791
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。协议特点简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用;安全:没有涉及到用户密钥等信息,更安全更灵活;开放:任何服务提供商都可以实现OAuth,任何软件开发商都可以使用OAuth;
单点登录和统一身份认证的区别
最新发布
wd90119的博客
05-06 1497
这种系统使用统一的身份标识符来关联用户在不同系统中的身份,确保身份的一致性和安全性。同样地,统一身份认证系统就是这样一个“身份证中心”,它确保你在多个平台或应用上都可以使用同一个身份(比如用户名和密码)进行登录。相比之下,单点登录(SSO)虽然也提高了安全性,因为它减少了用户在多个系统中输入凭据的需求,降低了密码泄露的风险,但其安全性主要取决于实现方式和配置。因为一旦你在一个系统上登录,就可以访问所有关联的系统,这意味着如果一个系统被黑客攻击,那么你的所有关联系统的安全都可能受到威胁。
登录与授权
Yes_You_Can 的博客
01-06 915
登录与授权是两个不关联的事情,登录是为了使用微信的用户体系,即每个微信用户都有一个唯一的openid。授权,比如之前的获取用户头像昵称需要授权,获取地理位置、手机号码需要授权
Spring Security Oauth2.0认证授权
weixin_37536020的博客
02-09 4777
认证: 用户认证就是判断一个用户身份是否合法的过程 ,用户去访问系统资源时系统要求验证用户身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。会话:用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。授权
小程序登录&授权&获取用户信息
热门推荐
只是一只程序媛
01-16 16万+
一  登录 时序图如下: wx.login() 获取js_code 示例代码: App({   onLaunch: function() {     wx.login({       success: function(res) {         if (res.code) {           //TODO         } else {    
Shiro登录授权认证功能
09-26
2. 创建自定义的`Realm`类,实现用户认证逻辑。 3. 配置Shiro的`SecurityManager`,包括设置`Realm`和会话管理策略。 4. 创建过滤器链配置,定义访问控制规则。 5. 在Spring Boot的启动类或配置类中初始化`...
Java课程实验 Spring Security 实现用户认证授权管理
07-07
要在Spring Boot中实现用户认证授权管理,你可以使用Spring Security框架。Spring Security提供了一套强大的功能来处理用户身份验证和授权,以下是一些常见的步骤: 1.添加Spring Security依赖: 在项目的 pom.xml...
SpringSecutiry实现认证授权功能,整合SpringBoot
07-02
本资源通过SpringBoot整合SpringSecurity框架,实现对用户认证授权功能,其中写了多个小demo,并且对SpringSecuirty进行了相应的配置,读者通过本资源可以得到关于SpringSecurity的认证授权知识,以及相关的流程。
基于springboot实现整合shiro实现登录认证以及授权过程解析
08-25
基于Spring Boot实现整合Shiro实现登录认证以及授权过程解析 在本文中,我们将详细介绍如何使用Spring Boot框架实现整合Shiro进行登录认证授权过程的解析。Shiro是Apache软件基金会下的一个基于Java的开源安全...
ABP框架之OpenIddict分布式认证授权学习手册v1.0
06-13
它实现了OAuth2和OpenID Connect协议,使开发者能够轻松地在应用中添加用户认证授权功能。 3. **分布式认证授权**: 在分布式系统中,认证授权涉及到多个节点间的协作,确保用户身份的安全验证和权限控制。...
认证授权”学习笔记
Lee_01的博客
02-21 1645
认证授权 认证,Authentication 认证用户认证就是判断一个用户身份是否合法的过程,用户去访问系统资源时系统要求验证用户身份信息,身份合法方可继续访问,不合法则拒绝访问。 常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。 授权,Authorization 授权是系统通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。 认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,授权是在认证
权限管理——用户认证用户授权
许小乖……是总攻
07-16 2万+
因为做了权限的项目经理,so,恶补一下一个权限框架:shiro。其实作为框架首要目标是易于使用和理解。安全有时候是很复杂的,甚至是痛苦的,但框架没有必要这样。框架应该尽可能掩盖复杂的地方,露出一个干净而直观的API,来简化开发人员在使他们的应用程序安全上的努力。             Apche Shiro就是一个强大而灵活的开源安全框架,它干净利落地处理身份认证授权,企业会话管理和加密。说
什么是用户认证授权(二)
梁老师教你编程序
10-25 441
服务器创建session出来后,会把session的id号,以cookie的形式回写给客户机,这样,只要客户机的浏览器不关,再去访问服务器时,都会带着session的id号去,服务器发现客户机浏览器带session id过来了,就会使用内存中与之对应的session为之服务。用户B,再开一个浏览器的时候,访问到web服务器,此时,web服务器也会创建一个session,这个session对象与用户A的是不同的对象。每个用户经过认证之后,我们的应用都要在服务端做一次记录,以便识别该用户的请求,而通常来说,
shiro框架---通过系统介绍shiro框架中的实现逻辑
凌大大的博客
02-13 7224
接上一篇文章shiro框架—关于用户登录和权限验证功能的实现步骤(一) 本篇主要通过一个已经实现用户登录和权限验证的系统,结合sql,展示一下我的实现。 首先我设置的权限,即功能表,其中func_type 字段分为四类(系统、模块、菜单、操作)。 一、系统的展示   下边对于同一个系统内,一个用户,我在不同授权下的展示情况:   不好意思,公司系统,我还是不要全贴出来了。...
微信小程序开发用户授权登录
程序员哆啦A梦,蓝胖子
11-06 2万+
用wx.login获取登录凭证code &lt;!--pages/user/index.wxml--&gt; &lt;view hidden='{{boolean}}'&gt; &lt;view wx:if="{{isLogin == 1}}"&gt; &lt;!-- 个人信息 --&gt; &lt;view class='infomation'&gt; &lt;!-- 基本信息 ..
微信小程序授权登录
IT__zz的博客
08-09 311
微信小程序开发用户授权登录 用wx.login获取登录凭证code <!--pages/user/index.wxml--> <view hidden='{{boolean}}'> <view wx:if="{{isLogin == 1}}"> <!-- 个人信息 --> <view class='infomation'> <!-- 基本信息 --> <view class="gameTitle">
Spring Security登录的认证授权
S mile0804的博客
02-21 4208
一、Spring Security简介 Spring Security是一个专注于为Java应用程序提供身份认证授权的框架,是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了......
4种认证(authentication)或授权(authorization)方式
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
第5章 认证授权v3.1
10-29
在IT领域,尤其是在开发具有安全功能的Web应用程序时,认证授权是至关重要的组件。这一章深入探讨了这两个概念及其在实际项目中的应用。 1.1 用户身份认证 用户身份认证是确保系统能够识别和验证用户身份的过程。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值