2021-10-27

最新推荐文章于 2024-06-12 23:05:18 发布
最新推荐文章于 2024-06-12 23:05:18 发布
阅读量93 收藏
点赞数 1
分类专栏: 后端分层 微服务框架 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43645280/article/details/120991992
版权

Oauth2结合JWT使用

文章目录

前言

Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2还可以实现更多功能,比如使用JWT令牌存储信息,刷新令牌功能。

一、JWT

JWT token的格式:header.payload.signature;header中用于存放签名的生成算法,我们最常用的就是HS256;payload中用于存放数据,比如过期时间、用户名、用户所拥有的权限等;signature为以header和payload生成的签名,一旦header和payload被篡改,验证将失败,签名生效最主要的因素是因为签名中加salt,这种情况下保证了签名可以不被破解。
我们可以利用https://jwt.io/进行编解码,这个工具十分好用,建议初学者网上找一个Jwt实例,然后去进行编解码。

二、使用步骤

我们存储令牌的两种方式,一种是运用Redis去存储令牌,这个我们不在去详述,今天我们主要讲解使用JWT去存储令牌。
1.添加使用JWT存储令牌的配置

@Configuration
public class JwtTokenStoreConfig {

    @Bean
    public TokenStore jwtTokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();
        accessTokenConverter.setSigningKey("test_key");//配置JWT使用的秘钥
        return accessTokenConverter;
    }
}

2 .在认证服务器配置中指定令牌的存储策略为JWT

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserService userService;

    @Autowired
    @Qualifier("jwtTokenStore")
    private TokenStore tokenStore;
    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;
    @Autowired
    private JwtTokenEnhancer jwtTokenEnhancer;

    /**
     * 使用密码模式需要配置
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints.authenticationManager(authenticationManager)
                .userDetailsService(userService)
                .tokenStore(tokenStore) //配置令牌存储策略
                .accessTokenConverter(jwtAccessTokenConverter);
    }

    //省略代码...
}

运行项目后使用密码模式来获取令牌,访问如下地址:http://localhost:9401/oauth/token.
在这里插入图片描述
发现获取到的令牌已经变成了JWT令牌,将access_token拿到https://jwt.io/ 网站上去解析下可以获得其中内容。
有时候我们需要扩展JWT中存储的内容,这里我们在JWT中扩展一个key为enhance,value为enhance info的数据。
1.继承TokenEnhancer实现一个JWT内容增强器

public class JwtTokenEnhancer implements TokenEnhancer {
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        Map<String, Object> info = new HashMap<>();
        info.put("enhance", "enhance info");
        ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(info);
        return accessToken;
    }
}

//返回一个JwtTokenEnhancer实例,我们可以去操作这个实例
@Configuration
public class JwtTokenStoreConfig {

    //省略代码...

    @Bean
    public JwtTokenEnhancer jwtTokenEnhancer() {
        return new JwtTokenEnhancer();
    }
}

2 .在认证服务中配置相应内容增强器功能

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UserService userService;

    @Autowired
    @Qualifier("jwtTokenStore")
    private TokenStore tokenStore;
    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;
    @Autowired
    private JwtTokenEnhancer jwtTokenEnhancer;

    /**
     * 使用密码模式需要配置
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        TokenEnhancerChain enhancerChain = new TokenEnhancerChain();
        List<TokenEnhancer> delegates = new ArrayList<>();
        delegates.add(jwtTokenEnhancer); //配置JWT的内容增强器
        delegates.add(jwtAccessTokenConverter);
        enhancerChain.setTokenEnhancers(delegates);
        endpoints.authenticationManager(authenticationManager)
                .userDetailsService(userService)
                .tokenStore(tokenStore) //配置令牌存储策略
                .accessTokenConverter(jwtAccessTokenConverter)
                .tokenEnhancer(enhancerChain);
    }

    //省略代码...
}

后面的流程就和上面的流程是一样的,再返回的token中,我们解码一下,应该可以发现会多了一个key-value的增强数据结构。

三、刷新令牌

在Spring Cloud Security 中使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("admin")
                .secret(passwordEncoder.encode("admin123456"))
                .accessTokenValiditySeconds(3600)
                .refreshTokenValiditySeconds(864000)
                .redirectUris("http://www.baidu.com")
                .autoApprove(true) //自动授权配置
                .scopes("all")
                .authorizedGrantTypes("authorization_code","password","refresh_token"); //添加授权模式
    }
}

使用刷新令牌模式来获取新的令牌,访问如下地址:http://localhost:9401/oauth/token,我们发现token已经刷新。

总结

在这个模块,我们使用了 oauth2-jwt-server ,这个模块提供了使用jwt的oauth2认证测试服务,在我们使用token来进行验证时,token是存在客户端的,这个和我们之前的验证的sessionID存在服务端还是有区别的,在数据量特别庞大的情况下,我们使用token存储信息,能够极大地减轻服务端的存储压力。这就是token的好处,目前我们使用JWT存储token,当然是一种较好的思路,但是我们要考虑到作为分布式服务,这种JWT是不方便共享的,如果我们要实现共享,当然是使用分布式缓存去Redis去存储token,这种情况下我们就可以共享。

允文
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jwt token长度限制_OAUTH.令牌存储介绍以及JWT实现强制登出、登录个数控制
weixin_39755873的博客
11-29 1854
1、令牌存储介绍TokenStore的实现类,有InMemoryTokenStore、JdbcTokenStore、JwkTokenStore、RedisTokenStore。1.1 基于内存的 InMemoryTokenStore优点:单机、简单易用缺点:a) 重启服务器导致令牌全部丢失,用户需要重新授权。 b) 微服务、分布式系统中无法共享令牌信息。1.2 基于数据库的 JdbcTokenSt...
2021-10-16
IeiTianci的博客
10-16 6556
本人是一所双非大学的本科生,专业是软件工程,但是压抑的高三生活让我在自由的大一生活中得到解脱,这也使得我的编程基础很差,和我一个宿舍的同学已经能参加各种比赛并且获奖了。大一下学期偶然从B站上了解到了比特科技,让我对编程又重拾信心,我相信通过我的努力和比特各位老师的栽培,我的未来一定是光明的。 ...
2021-01-18
weixin_54641072的博客
01-18 1731
找程序猿哥哥!!!!编制App或者小程序
2021-05-05
樊金良的博客
05-05 648
你需要努力,fighting!
CVE-2021-3156 漏洞复现笔记
热门推荐
weixin_46483787的博客
07-01 1万+
CVE-2021-3156复现笔记
SQL中#和--+的区别——2021-10-27
stumiss的博客
10-27 1196
SQL中#和–+的区别 https://www.cnblogs.com/impulse-/p/13184023.html
2021-10-30
java557的博客
10-30 5000
1、 当Leader崩溃或者Leader失去大多数的Follower,这时候ZooKeeper会进行什么操作? B、 恢复模式 2、 以下关于云计算安全性描述中,正确的是? B、 尽管云计算提供各项安全服务,但是我们仍然需要注意备份 3、 下面哪个公司是OpenShift的开发公司? D、  红帽 4、 在mdadm管理RAID阵列的动作当中,Assemble的作用是什么? D、 监控状态 5、 下列选项当中,哪个不属于数据库的性能优化? A、 数据库配置优
CVE-2021-40116|CVE-2021-34783等——Cicso多个安全漏洞
LiBai'S BLOG
11-14 6597
漏洞复现漏洞概述影响版本漏洞复现漏洞详情处置建议 漏洞概述 20211027日,Cisco发布安全公告,修复了Cisco Firepower 威胁防御 (FTD)、Cisco思科自适应安全设备 (ASA)和Firepower 管理中心 (FMC)中的多个安全漏洞。 CISCO ASA远程任意文件读取 Cisco Adaptive Security Appliance (ASA)是思科的一种防火墙设备。 Cisco Adaptive Security Appliance (ASA)防火墙设备以及Ci
nacos未授权-CVE-2021-29441复现
crowsec
07-21 7520
Nacos 是阿里巴巴推出来的一个新开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。 该漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单。。。...
CVE-2021-3156 漏洞复现
wuuconix's blog
05-13 4063
CVE-2021-3156 漏洞复现 漏洞描述 这个漏洞被披露于2021年1月26日。漏洞的载体是我们常用的sudo命令。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或-i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。因此只要存在sudoers文件(通常是/etc/sudoers),攻击者就可以使用本地普通用户利用sudo获得系统root权限。研究人员利用该漏洞在多个Linux发行版上成功获得了完整的root权
CRM集成接口技术说明文档-2021-10-27.docx
11-01
CRM集成接口技术说明文档-2021-10-27.docx
材料学院2021-10-27上机题(2).doc
12-01
材料学院2021-10-27上机题(2).doc
CVE-2021-26121
02-13
= 4.12.x(最新) 日期:2020-01-08 12:49 CVE:CVE-2021-26121披露时间表2020-01-26 –发送给CS-Cart开发团队2020-01-27 – CS-Cart开发团队收到通知2020-02-10 – cs-cart的回应不是安全漏洞,限制了商店管理员的...
低功耗蓝牙之智能楼宇篇[2021-10-27](44页).pdf
05-20
低功耗蓝牙之智能楼宇篇[2021-10-27](44页).pdf
5G高精度定位 赋能行业数字化转型[2021-10-27](11页).pdf
05-18
5G高精度定位 赋能行业数字化转型[2021-10-27](11页).pdf
Java02】Java中数组的定义与初始化
饮冰室
06-10 575
推荐第一种方式。这种方式容易让人理解,数据类型是type[],对象名称是arrayName。第二种方式有些老旧了。由于数组是一种引用变量(也就是一个指针),所以定义的时候还没有指向任何有效的内存空间,因此在定义数组的时候不能指定数组的长度,也不能直接使用。必须进行初始化。可以使用var让系统自动推断变量类型,既可以用于静态初始化,也可以用于动态初始化。
【2024最新华为OD-C/D卷试题汇总】[支持在线评测] CPU算力分配(100分) - 三语言AC题解(Python/Java/Cpp)
清隆学长的博客
06-11 354
### 问题描述 K小姐是某公司运营部门的主管,最近她需要对公司的两组服务器进行算力分配。每组服务器有多个算力不同的 $CPU$,其中 $A$ 组第 $i$ 个 $CPU$ 的运算能力为 $A[i]$,而 $B$ 组第 $i$ 个 $CPU$ 的运算能力为 $B[i]$。一组服务器的总算力是各 $CPU$ 的算力之和。 为了让两组服务器的算力相等,K小姐允许从每组各选出一个 $CPU$ 进行一次交换。她希望从 $A$ 组服务器中选出算力尽可能小的 $CPU$ 来交换,你能帮她计算出应该选择哪两个 $CP
微型操作系统内核源码详解系列四(3):操作系统调度算法(FreeRTOS内核篇上)
最新发布
2301_77061352的博客
06-12 806
-uxTopPriority,被设定为是代表最大优先级的数字,自减操作代表从就绪列表最后一个链表(优先级最高的链表)开始查找,直到找到任务链表不为空的优先级任务,那么这个任务肯定也是所有任务中优先级最大的任务,然后获取这个任务的TCB并更新pxCurrentTCB(切换的具体函数),最后更新uxTopReadyPriority的值。容笔者说一下个人看法,从c语言和数据结构算法的层面学习,只能说是舍本逐末,透过Freertos这个小型系统,窥见庞大的操作系统架构的一角,这才是我们学习的重点。
Invalid keystore format,获取安全码SHA1值出错
yfy1907的博客
06-11 187
Invalid keystore format 错误
结果是这样的,没有根据id排:start_date end_date 0 2020-01-15 2020-04-27 1 2020-09-30 2020-10-10 2 2021-02-07 2021-02-22 3 2021-03-06 2021-03-24 4 2020-01-21 2020-03-03 .. ... ... 639 2021-03-09 2021-03-18 640 2021-03-24 2021-04-01 641 2020-01-12 2020-04-19 642 2021-02-09 2021-02-18 643 2020-01-18 2020-03-09
06-03
如果你想根据企业id对结果进行排序,可以在输出结果之前加上一行代码: ```python result = result.sort_values(by=['id']) ``` 此代码将会根据id对结果进行排序,使得每个企业的结果排在一起。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值