Jwt与网关鉴权

最新推荐文章于 2024-05-17 11:25:51 发布
最新推荐文章于 2024-05-17 11:25:51 发布
阅读量835 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43357821/article/details/110680314
版权
本文介绍了如何使用GateWay结合JWT实现网关鉴权。JWT是一种基于JSON的开放标准,用于在网络应用间传递声明。JWT由Header、Payload和Signature三部分组成,通过特定算法加密确保安全性。JWT的无状态特性适合微服务架构的鉴权需求。文章还详细阐述了JWT的生成、解析和验证过程,并提及了Java中的JJWT库在生成和验证JWT中的作用。
摘要由CSDN通过智能技术生成

使用GateWay+JWT实现网关鉴权

JWT

​ JWT(JSON Web Token), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT的组成

Header:base64编码的Json字符串

Payload:base64编码的Json字符串

Signature:使用指定算法,通过Header和Payload加盐计算的字符串

header

jwt的头部承载两部分信息:

{
   
  //声明类型
  'typ': 'JWT', 
  //签名加密的算法
  'alg': 'RS256' 
}

playload

​ 载荷就是存放有效信息的地方,比如用户名密码等登录信息

signature

​ jwt的第三部分是一个签证信息,这个签证信息由三部分组成

// 根据头部alg算法与私有秘钥进行加密得到的签名字符串;
// 这一段是最重要的敏感信息,只能在服务端解密;
HMACSHA256(  
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    SECREATE_KEY
)

​ 这个部分需要base64加密后的header和base64加密后的payload使用 “.” 连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。

​ 将这三部分用"."连接成一个完整的字符串,构成了最终的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

​ secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥。

加密及验证过程

加密

生成头JSON,荷载(playload) JSON

将头JSON Base64编码 + 荷载JSON Base64编码 +secret 三者拼接进行加密得到签名

JSON Base64编码 + 荷载JSON Base64编码 + 签名 三者通过 “.” 相连接

一条 hhh.ppp.sss 格式的JWT 即生成

解密

取得Jwt hhh.ppp.sss 格式字符,通过 “.” 将字符分为三段

对第一段进行Base64解析得到header json,获取加密算法类型

将第一段Header JSON Base64编码 + 第二段 荷载JSON Base64编码 + secret采用相应的加密算法加密得到签名

将步骤三得到的签名与步骤一分成的第三段也就是客户端传入的签名进行匹配,匹配成功说明该jwt为server自身产出;

获取playload内信息,通过信息可以做鉴权操作;

无状态登录

微服务集群中的每个服务,对外提供的都是Rest风格的接口,而Rest风格的一个最重要的规范就是:服务的无状态性, 即:

​ 服务端不保存任何客户端请求者状态信息

​ 客户端的每次请求必须具备自描述信息, 通过这些信息识别客户端身份

优点:

​ 客户端请求不依赖服务端的信息, 任何多次请求不需要必须访问到同一台服务

​ 服务端的集群和状态对客户端透明

​ 服务端可以任意的迁移和伸缩

​ 减小服务端存储压力

JJWT

JJwt是Java对jwt的支持库,使用该库创建解析token

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

生成JWT

客户端发送 POST 请求到服务器,提交登录处理的Controller层,调用认证服务进行用户名密码认证,如果认证通过,返回完整的用户信息及对应权限信息,利用 JJWT 对用户、权限信息、秘钥构建Token,返回构建好的Token。

    /**
     * 私钥加密生成token
     * @param user 载荷数据
     * @param privateKey 私钥字节数组
     * @param expireMinutes 过期时间,单位分钟
     * @return
     */
    public static String generateToken(ShopUser user, byte[] privateKey, Integer expireMinutes) throws Exception{
   
    return Jwts.builder()
            .claim(JWTConstants.JWT_KEY_ID, user.getId())
            .
最低0.47元/天 解锁文章
顺风才微笑
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网关jwt令牌
reShore的博客
09-26 195
跨域 修改网关配置文件 spring: application: name: gateway-notzull-server cloud: gateway: routes: - id: user-server # uri: http://127.0.0.1:9004 uri: lb://user-consumer-fegin predicates: - Path=/user-server/**
Jwt令牌及网关
weixin_45893072的博客
03-02 201
网关的配置类 spring: application: name: gateway-web cloud: gateway: globalcors: cors-configurations: '[/**]': #匹配所有请求 allowedOrigins: "*"#跨域处理允许所有的域 allowedMethods: #支持的方法 - GET .
什么是网关鉴权及其在Spring Cloud Gateway中的实现
最新发布
新生代码农的博客
05-17 1762
网关鉴权是指在请求到达系统之前对请求进行身份验证和授权的过程。身份验证:验证请求的发起者的身份是否合法,通常涉及用户的认证,确认其身份是否在系统中注册并且具有相应的权限。授权:确定请求发起者是否有权限访问所请求的资源,即对请求进行权限验证,保证用户只能访问其有权限的资源。
服务网关 - jwt
weixin_34309543的博客
06-30 124
1 转载于:https://www.cnblogs.com/tonyq/p/9248600.html
基于JWT实现的API网关
weixin_33701564的博客
04-21 843
2019独角兽企业重金招聘Python工程师标准>>> ...
微服务网关Jwt令牌 入门学习!
Java.慈祥
02-21 650
网关集群.加深 JWT GateWay 过滤器:
Oauth-jwt网关鉴权等项目系统认证的知识
09-01
"Oauth-jwt网关鉴权等项目系统认证的知识"涉及到的是如何确保用户和系统的交互过程是安全可靠的。OAuth(开放授权)和JWT(JSON Web Token)是两种广泛用于身份验证和授权的技术,通常会在网关层进行整合,以实现...
gateway+oauth2+jwt实现网关统一鉴权
12-27
将OAuth2与JWT结合起来,可以实现安全的鉴权流程。用户登录后,授权服务器会颁发一个JWT作为访问令牌。这个令牌包含了用户的权限信息,并且经过了加密和签名,确保在传输过程中不被篡改。当客户端(通常是微服务应用...
springcloud getway 示例 包含 网关 http websocket 两种转发包含网关JWT鉴权包含Clie
08-05
网关服务 包含 网关 http , websocket 两种转发包含网关 ,包含webSocket消息发送的流量监控 UserApplication 模拟WebSocket服务 PtGateClientTests 模拟WebSocket请求服务 http可以通过网页模拟 (开启鉴权之后...
API市场网关鉴权java
11-16
10. **代码示例**:`API市场网关鉴权java-demo`可能是包含一个Java实现API鉴权的示例项目,可能包括了配置Spring Security、JWT生成与验证、API Key管理等代码示例,供开发者参考和学习。 综上所述,"API市场网关...
springboot+security+mybatis+redis+jwt鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
网关Jwt令牌.doc
10-16
基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。 流程上是这样的: • 用户使用用户名密码来请求服务器 • 服务器进行验证用户的信息 • 服务器通过验证发送给用户一个token • 客户端存储token,并在每次请求时附送上这个token值 • 服务端验证token值,并返回数据
zuul网关登陆鉴权/动态路由
08-20
zuul 企业级应用
gateway和jwt网关认证实现过程解析
08-25
主要介绍了gateway和jwt网关认证实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
网关进行jwt鉴权
FourZeroZero's home
04-12 2741
前端接口都进过网关,然后通过网关进行分发。所以在网关鉴权,就可以把没有需要登录的请求在网关层进行拦截。 redis进行存储token和jwt实现token两种方案的对比 去中心化的JWT实现oken 优点: 去中心化,便于分布式系统使用 基本信息可以直接放在token中。 username,nickname,role 功能权限信息可以直接放在token中。用bit位表示用户所具有的功能权限 缺点:服务端无法主动让token失效 中心化的 redis token / memory session
spring Cloud Gateway + JWT 实现统一的认证授权
热门推荐
github_35976996的博客
07-10 7万+
Spring Cloud Gateway + shiro + JWT 实现统一的认证授权 一、项目添加 Spring Cloud Gateway 依赖 参考:创建spring Cloud Gateway 二、添加shiro 1、加入shiro依赖 <dependency> <groupId>org.apache.shiro</groupId> <art...
Gateway+JWT 实现登录认证
weixin_46685542的博客
12-14 244
Gateway+JWT 实现登录认证
SpringCloudAlibaba:4.3云原生网关higress的JWT 认证
m0_63040701的博客
05-08 858
简介JWT是一种用于双方之间传递安全信息的简洁的、URL安全的声明规范。定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息,特别适用于分布式站点的单点登录(SSO)场景session认证的缺点1.安全性:CSRF攻击因为基于cookie来进行用户识别, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。2.扩展性:对于分布式应用,需要实现 session 数据共享。
SpringCloud(四) gateway + JWT进行权限管理
古柏树下的博客
12-24 5824
jwt相关知识可以查看 https://blog.csdn.net/sinat_29774479/article/details/89884500 1.引入依赖 关于jwt的操作我们采用jjwt jjwt是一个Java对jwt的支持库,我们使用这个库来创建、解码token <dependency> <groupId>io.jsonwebtoken&...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值