密码加密与微服务鉴权JWT-微服务鉴权

最新推荐文章于 2023-05-24 07:00:39 发布
最新推荐文章于 2023-05-24 07:00:39 发布
阅读量509 收藏 2
点赞数
分类专栏: 【JWT】 【微服务】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenzhen_zsw/article/details/90798716
版权

密码加密与微服务鉴权JWT-微服务鉴权

微服务鉴权

JWT工具类编写

1)tensquare_common工程引入依赖(考虑到工具类的通用性)

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.6.0</version>
        </dependency>

2)修改tensquare_common工程,创建util.JwtUtil

package util;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.boot.context.properties.ConfigurationProperties;

import java.util.Date;

/**
 * Created by Administrator on 2018/4/11.
 */
@ConfigurationProperties("jwt.config")
public class JwtUtil {

    private String key ;

    private long ttl ;//一个小时

    public String getKey() {
        return key;
    }

    public void setKey(String key) {
        this.key = key;
    }

    public long getTtl() {
        return ttl;
    }

    public void setTtl(long ttl) {
        this.ttl = ttl;
    }

    /**
     * 生成JWT
     *
     * @param id
     * @param subject
     * @return
     */
    public String createJWT(String id, String subject, String roles) {
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        JwtBuilder builder = Jwts.builder().setId(id)
                .setSubject(subject)
                .setIssuedAt(now)
                .signWith(SignatureAlgorithm.HS256, key).claim("roles", roles);
        if (ttl > 0) {
            builder.setExpiration( new Date( nowMillis + ttl));
        }
        return builder.compact();
    }

    /**
     * 解析JWT
     * @param jwtStr
     * @return
     */
    public Claims parseJWT(String jwtStr){
        return  Jwts.parser()
                .setSigningKey(key)
                .parseClaimsJws(jwtStr)
                .getBody();
    }
}

3)修改tensquare_user工程的application.yml, 添加配置

jwt:
  config:
     key: youcan
     ttl: 86400000

管理员登陆后台签发token

1)配置bean .修改tensquare_user工程Application类

	@Bean
	public JwtUtil jwtUtil(){
		return new JwtUtil();
	}

2)修改AdminController的login方法

	@RequestMapping(value = "/login", method = RequestMethod.POST)
	public Result login(@RequestBody Admin admin){
		Admin adminLogin = adminService.login(admin);
		if(adminLogin==null){
			return new Result(false, StatusCode.LOGINERROR, "登录失败");
		}
		//使得前后端可以通话的操作。采用JWT来实现。
		//生成令牌
		String token = jwtUtil.createJWT(adminLogin.getId(), adminLogin.getLoginname(), "admin");
		Map<String, Object> map = new HashMap<>();
		map.put("token", token);
		map.put("role", "admin");
		return new Result(true, StatusCode.OK, "登录成功", map);
	}

测试运行结果

{
  "flag": true,
  "code": 20000,
  "message": "登陆成功",
  "data": {
    "token":
"eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI5ODQzMjc1MDc4ODI5MzgzNjgiLCJzdWIiOiJ4aWF
vbWkiLCJpYXQiOjE1MjM1MjQxNTksInJvbGVzIjoiYWRtaW4iLCJleHAiOjE1MjM1MjQ1MTl9
._YF3oftRNTbq9WCD8Jg1tqcez3cSWoQiDIxMuPmp73o",
    "name":"admin"
  }
}

删除用户功能鉴权

需求:删除用户,必须拥有管理员权限,否则不能删除。
前后端约定:前端请求微服务时需要添加头信息Authorization ,内容为Bearer+空格+token;

1)修改UserController的delete方法 ,判断请求中的头信息,提取token并验证权限。

	@RequestMapping(value="/{id}",method= RequestMethod.DELETE)
	public Result delete(@PathVariable String id ){
		String authHeader = request.getHeader("Authorization");//获取头信息
		if(authHeader==null){        
			return new Result(false,StatusCode.ACCESSERROR,"权限不足");            
		}

		if(!authHeader.startsWith("Bearer ")){        
			return new Result(false,StatusCode.ACCESSERROR,"权限不足");            
		}

		String token = authHeader.substring(7);//提取token
		Claims claims = jwtUtil.parseJWT(token);
		if(claims==null){        
			return new Result(false,StatusCode.ACCESSERROR,"权限不足");            
		}
		if(!"admin".equals(claims.get("roles"))){        
			return new Result(false,StatusCode.ACCESSERROR,"权限不足");            
		}
		userService.deleteById(id);
		return new Result(true,StatusCode.OK,"删除成功");        
	}

使用拦截器方式实现token鉴权

如果我们每个方法都去写一段代码,冗余度太高,不利于维护,那如何做使我们的代码看起来更清爽呢?我们可以将这段代码放入拦截器去实现

添加拦截器

Spring为我们提供了org.springframework.web.servlet.handler.HandlerInterceptorAdapter这个适配器,承此类,可以非常方便的实现自己的拦截器。

他有三个方法分别实现:
1)预处理;
2)后处理(调用了Service并返回ModelAndView,但未进行页面渲染);
3)返回处理(已经渲染了页面);

在preHandle中,可以进行编码、安全控制等处理;
在postHandle中,有机会修改ModelAndView;
在afterCompletion中,可以根据ex是否为null判断是否发生了异常,进行日志记录。

1)创建拦截器类。

创建 com.tensquare.user.interceptor.JwtInterceptor ;

package com.tensquare.user.interceptor;

import io.jsonwebtoken.Claims;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import util.JwtUtil;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class JwtInterceptor implements HandlerInterceptor{
    @Autowired
    private JwtUtil jwtUtil;

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("经过了拦截器");
        return true;
    }
}

2)配置拦截器类,创建com.tensquare.user.ApplicationConfig

package com.tensquare.user.config;

import com.tensquare.user.interceptor.JwtInterceptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;
@Configuration
public class InterceptorConfig extends WebMvcConfigurationSupport {

    @Autowired
    private JwtInterceptor jwtInterceptor;
    protected void addInterceptors(InterceptorRegistry registry) {
        //注册拦截器要声明拦截器对象和要拦截的请求
        registry.addInterceptor(jwtInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/**/login/**");
    }
}

拦截器验证token

1)修改拦截器类 JwtFilter

package com.tensquare.user.interceptor;

import io.jsonwebtoken.Claims;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import util.JwtUtil;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Component
public class JwtInterceptor implements HandlerInterceptor{
    @Autowired
    private JwtUtil jwtUtil;

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        System.out.println("经过了拦截器");
        //无论如何都放行。具体能不能操作还是在具体的操作中去判断。
        //拦截器只是负责把头请求头中包含token的令牌进行一个解析验证。
        String header = request.getHeader("Authorization");

        if(header!=null && !"".equals(header)){
            //如果有包含有Authorization头信息,就对其进行解析
            if(header.startsWith("Bearer ")){
                //得到token
                String token = header.substring(7);
                //对令牌进行验证
                try {
                    Claims claims = jwtUtil.parseJWT(token);
                    String roles = (String) claims.get("roles");
                    if(roles!=null && roles.equals("admin")){           // 如果是管理员
                        request.setAttribute("claims_admin", token);
                    }
                    if(roles!=null && roles.equals("user")){            // 如果是用户
                        request.setAttribute("claims_user", token);
                    }
                }catch (Exception e){
                    throw new RuntimeException("令牌不正确!");
                }
            }
        }
        return true;
    }
}

2)修改UserController的delete方法

	/**
	 * 删除 必须有admin角色才能删除
	 * @param id
	 */
	@RequestMapping(value="/{id}",method= RequestMethod.DELETE)
	public Result delete(@PathVariable String id ){
		Claims claims=(Claims) request.getAttribute("admin_claims");
		if(claims==null){        
			return new Result(true,StatusCode.ACCESSERROR,"无权访问");
		}
		userService.deleteById(id);
		return new Result(true,StatusCode.OK,"删除成功");
	}
shenzhen_zsw
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rpc 微服务架构下的安全认证与鉴权1
08-08
微服务架构中,安全认证和鉴权是至关重要的,因为它们确保了服务之间的通信以及用户访问的正确性和安全性。随着从单体应用向微服务的转变,传统的认证和鉴权机制面临着新的挑战。本文将探讨这些挑战以及相应的解决...
十次方微服务开发v1.0--第6章1
08-03
微服务鉴权JWT** JWT是现代Web应用中广泛采用的一种身份验证机制,它允许服务端生成一个包含用户信息的令牌,该令牌由三部分组成:Header、Payload和Signature。Header通常包含令牌的类型(JWT)和加密算法,...
微服务鉴权:gateway使用、网关限流使用、用户密码加密JWT鉴权
最新发布
独行侠梦的博客
05-24 1639
目标掌握微服务网关Gateway的系统搭建掌握网关限流的实现能够使用BCrypt实现对密码加密与验证了解加密算法能够使用JWT实现微服务鉴权1.微服务网关Gateway1.1 微服务网关概述不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题:客户端会多次请求不同的微服务,增加了客户端的复杂性存在跨域请求...
JWT基础介绍
Alan0517
03-13 2217
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?服务端保存大量数据,增加服务端压力服务端保存用户状态,无法进行水平扩展客户端请求依赖服务端,多次请求必须访问同一台服务器。
微服务中使用jwt进行登录并进行验证
YxinMiracle's Studio.
08-16 1213
文章目录1、使用JWT进行用户登录1.1 什么是JWT1.2 jwt的构成1.3 测试1.4 编写工具类 1、使用JWT进行用户登录 ​ 用于本项目使用的是多微服务架构,所以在用户进行登录的时候,微服务微服务之间是没有联系的,那么怎么才能在用户进行登录之后,让其他的微服务知道这个用户登录了呢,这里就可使用jwt。 ​ 我们之前已经搭建过了网关,使用网关在网关系统中比较适合进行权限校验。 ​ 上图的执行过程: 用户访问顶订单系统/api/order 网关判断没有权限,返回让用户去登录 用户访问登录页面/
微服务统一认证方案Spring Cloud OAuth2+JWT
Ginnnnnnn的博客
11-07 3319
微服务统一认证方案
使用JWT微服务的登录方案
热门推荐
Hello World ^—^
03-06 3万+
由于微服务大都是分布式的,需要几台服务器部署,当一个用户在其中一台服务器登录后,传统的方式是session保存其登录信息,然后可以使用共享存储共享,比如redis共享,这种方案的缺点在于共享存储需要一定保护机制,因此需要通过安全链接来访问,这时解决方案的实现就通常具有相当高的复杂性了,所以这里使用基于令牌的方式做登录。 JWT简介 简介网上都有,下面是摘抄的一部分,做做笔记。。。 JWT(J...
jwt鉴权】SPI无侵入式鉴权微服务模块 注解齐全一看就懂
03-30
jwt鉴权单独模块的微服务,良好的扩展性,代码规范注解齐全功能丰富。 可通过yaml自定义jwt过期时间、jwt签发机构、作者以及加密次数、盐值等操作。 基于spring.factories实现的SPI接口注入,在调用层直接autowired...
十次方微服务开发v1.1--第6章1
08-03
2. 微服务鉴权JWTJWT是一种轻量级的身份验证机制,用于在客户端和服务端之间安全地传递信息。JWT由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部和载荷通常被JSON编码,并用Base64URL...
Sa-Token:这可能是史上功能最全的Java权限认证框架!目前已集成——登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0、踢人下线、Redis集成、前后台分离、记住我模式、模拟他人账号、临时身份切换、账号封禁、多账号认证体系、注解式鉴权、路由拦截式鉴权、花式token生成、自动续签、同端互斥登录、会话治理、密码加密jwt集成、Spring集成、WebFlux集成..
07-23
在线资料Sa-Token 介绍Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题框架集成简单、开箱即用、API设计清爽,通过Sa...
JWT 实现微服务鉴权
L-李俊漩的博客
07-11 923
一、JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等,这也可以被表示成一个JSON对象。 {"typ":"JWT","alg":"HS256"} 载荷(...
微服务项目 -- day06 密码加密微服务鉴权JWT
wingzhezhe的博客
07-15 1771
一、BCript加密二、常见的认证机制三、基于JWT的Token认证机制实现四、Java的JJWT实现JWT五、项目中加入鉴权功能
微服务密码加密微服务鉴权JWT
zhibinLi的博客
07-30 1203
学习目标: 能够使用BCrypt密码加密算法实现注册与登陆功能 能够说出常见的认证机制 能够说出JWT的组成部分,以及使用JWT的优点 能够使用JJWT 创建和解析token 能够使用JJWT完成微服务鉴权 1 BCrypt密码加密 1.1 准备工作 任何应用考虑到安全,绝不能明文的方式保存密码密码应该通过哈希算法进行加密。 有很多标准的算法比如SHA或者MD5...
密码加密微服务鉴权JWT
RookieMZL 的博客
11-27 1186
博客学习目标 1、用户注册时候,对数据库中用户的密码进行加密存储(使用 SpringSecurity)。 2、使用 JWT 鉴权认证。 一、BCrypt 密码加密 1、常见的加密方式 任何应用考虑到安全,绝不能明文的方式保存密码密码应该通过哈希算法进行加密。 有很多标准的算法比如SHA或者MD5,结合salt(盐)是一个不错的选择。 Spring Security 提供了BCryptPas...
Jwt令牌
weixin_45626288的博客
09-26 685
GateWay网关和Jwt令牌JWT令牌案例:mysc-parent31. 在公共模块添加依赖2. 在工具包(utils)下创建 JwtUtil 工具类3. 创建测试类,运行main方法就能得出jwt令牌4. 模块测试I. 在 UserServiceImpl 类下添加生成 jwt 的方法II. 在 controller 暴露API 接口IV. 在 Postman 上测试 JWT令牌 案例:mysc-parent3 1. 在公共模块添加依赖 <!-- Jwt令牌依赖 -->
Spring Boot:Consider defining a bean of type '*.*.*' in your configuration
xiaofanren1111的博客
03-29 5302
Description:Field mapper in com.demo.service.impl.UserServiceImpl required a bean of type 'com.demo.mapper.UserMapper' that could not be found.Action:Consider defining a bean of type 'com.demo.mapper....
Spring Cloud Gateway——(三)微服务网关实现JWT鉴权
Zack_tzh的博客
01-01 2万+
微服务网关实现JWT鉴权 JJWT快速入门 在微服务中实现jjwt鉴权 JwtUtil 用于jjwt token生成和解析的工具类
密码服务与微服务鉴权JWT
nanxuan_heng的博客
02-27 419
密码服务与微服务鉴权JWT 1 使用BCrypt密码加密算法实现注册于登陆功能 BCrypt加密原理:Spring security提供了BCryptPasswordEncoder类,实现spring的PasswordEncoder接口使用BCrypt强哈希方法来加密密码 管理员登陆的业务逻辑: 1 从前台获取登陆的用户名,密码 2 判断用户名是不是null,说明登陆成功,否则登陆用户名或密...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值