Spring Cloud基于JWT创建统一的认证服务

最新推荐文章于 2024-10-12 22:44:59 发布
最新推荐文章于 2024-10-12 22:44:59 发布
阅读量402 收藏
点赞数
分类专栏: Spring Cloud 文章标签: spring cloud java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/unbelievevc/article/details/128338361
版权

认证服务肯定要有用户信息,不然怎么认证是否为合法用户?因为是内部的调用认证,可以简单一点,用数据库管理就是一种方式。或者可以配置用户信息,然后集成分布式配置管理就完美了。

表结构

本教程中的案例把查数据库这一步骤省略了,大家可以自行补充,但是表的设计还是要跟大家讲解的。用户表的形式如图 1 所示。


图 1 用户表

相关的代码如下所示。

  1. create table auth_user(
  2. id int(4) not null,
  3. accessKey varchar(100) not null,
  4. secretKey varchar(100) not null,
  5. Primary key (id)
  6. );
  7. Alter table auth_user comment '认证用户信息表';

这里只有简单的几个字段,若大家有别的需求可以自行去扩展。代码中的 accessKey 和 secretKey 是用户身份的标识。

JWT 工具类封装

JWT 的 GitHub 地址是:https://github.com/jwtk/jjwt,依赖配置代码如下所示。

  1. <dependency>
  2. <groupId>io.jsonwebtoken</groupId>
  3. <artifactId>jjwt</artifactId>
  4. <version>0.7.0</version>
  5. </dependency>

用工具类进行认证主要有以下几个方法:

  • 生成 Token。
  • 检查 Token 是否合法。
  • 刷新 RSA 公钥以及私钥。

生成 Token 是在进行用户身份认证之后,通过用户的 ID 来生成一个 Token,这个 Token 采用 RSA 加密的方式进行加密,Token 的内容包括用户的 ID 和过期时间。

检查 Token 则是根据调用方带来的 Token 检查是否为合法用户,就是对 Token 进行解密操作,能解密并且在有效期内表示合法,合法则返回用户 ID。

刷新 RSA 公钥及私钥的作用是防止公钥、私钥泄露,公钥、私钥一般是写死的,不过我们可以做成配置的。集成配置管理中心后,可以对公钥、私钥进行动态修改,修改之后需要重新初始化公钥、私钥的对象信息。

获取 Token 代码如下所示。

  1. /**
  2. * 获取 Token
  3. *
  4. * @param uid 用户 ID
  5. * @param exp 失效时间, 单位分钟
  6. * @return
  7. */
  8. public static String getToken(String uid, int exp) {
  9. Long endTime = System.currentTimeMillis() + 1000 * 60 * exp;
  10. return Jwts.builder().setSubject(uid).setExpiration(new Date(endTime))
  11. .signWith(SignatureAlgorithm.RS512, priKey).compact();
  12. }

检查 Token 是否合法代码如下所示。

  1. /**
  2. * 检查 Token 是否合法
  3. *
  4. * @param token
  5. * @return JWTResult
  6. */
  7. public JWTResult checkToken(String token) {
  8. try {
  9. Claims claims = Jwts.parser().setSigningKey(pubKey).parseClaimsJws(token).getBody();
  10. String sub = claims.get("sub", String.class);
  11. return new JWTResult(true, sub, "合法请求", ResponseCode.SUCCESS_CODE.getCode());
  12. } catch (ExpiredJwtException e) {
  13. // 在解析 JWT 字符串时, 如果'过期时间字段'已经早于当前时间,
  14. // 将会抛出 ExpiredJwtException 异常, 说明本次请求已经失效
  15. return new JWTResult(false, null, "token已过期 ", ResponseCode.TOKEN_TIMEOUT_CODE.getCode());
  16. } catch (SignatureException e) {
  17. // 在解析 JWT 字符串时, 如果密钥不正确, 将会解析失败, 抛出
  18. // SignatureException 异常, 说明该 JWT 字符串是伪造的
  19. return new JWTResult(false, null, "非法请求", ResponseCode.NO_AUTH_CODE.getCode());
  20. } catch (Exception e) {
  21. return new JWTResult(false, null, "非法请求", ResponseCode.NO_AUTH_CODE.getCode());
  22. }
  23. }

完整代码如下所示。

  1. /**
  2. * API调用认证工具类,采用RSA加密
  3. */
  4. public class JWTUtils {
  5. private static RSAPrivateKey priKey;
  6. private static RSAPublicKey pubKey;
  7. private static class SingletonHolder {
  8. private static final JWTUtils INSTANCE = new JWTUtils();
  9. }
  10. public synchronized static JWTUtils getInstance(String modulus, String privateExponent, String publicExponent) {
  11. if (priKey == null && pubKey == null) {
  12. priKey = RSAUtils.getPrivateKey(modulus, privateExponent);
  13. pubKey = RSAUtils.getPublicKey(modulus, publicExponent);
  14. }
  15. return SingletonHolder.INSTANCE;
  16. }
  17. public synchronized static void reload(String modulus, String privateExponent, String publicExponent) {
  18. priKey = RSAUtils.getPrivateKey(modulus, privateExponent);
  19. pubKey = RSAUtils.getPublicKey(modulus, publicExponent);
  20. }
  21. public synchronized static JWTUtils getInstance() {
  22. if (priKey == null && pubKey == null) {
  23. priKey = RSAUtils.getPrivateKey(RSAUtils.modulus, RSAUtils.private_exponent);
  24. pubKey = RSAUtils.getPublicKey(RSAUtils.modulus, RSAUtils.public_exponent);
  25. }
  26. return SingletonHolder.INSTANCE;
  27. }
  28. /**
  29. * 获取Token
  30. *
  31. * @param uid 用户ID
  32. * @param exp 失效时间,单位分钟
  33. * @return
  34. */
  35. public static String getToken(String uid, int exp) {
  36. long endTime = System.currentTimeMillis() + 1000 * 60 * exp;
  37. return Jwts.builder().setSubject(uid).setExpiration(new Date(endTime))
  38. .signWith(SignatureAlgorithm.RS512, priKey).compact();
  39. }
  40. /**
  41. * 获取Token
  42. *
  43. * @param uid 用户ID
  44. * @return
  45. */
  46. public String getToken(String uid) {
  47. long endTime = System.currentTimeMillis() + 1000 * 60 * 1440;
  48. return Jwts.builder().setSubject(uid).setExpiration(new Date(endTime))
  49. .signWith(SignatureAlgorithm.RS512, priKey).compact();
  50. }
  51. /**
  52. * 检查Token是否合法
  53. *
  54. * @param token
  55. * @return JWTResult
  56. */
  57. public JWTResult checkToken(String token) {
  58. try {
  59. Claims claims = Jwts.parser().setSigningKey(pubKey).parseClaimsJws(token).getBody();
  60. String sub = claims.get("sub", String.class);
  61. return new JWTResult(true, sub, "合法请求", ResponseCode.SUCCESS_CODE.getCode());
  62. } catch (ExpiredJwtException e) {
  63. // 在解析JWT字符串时,如果‘过期时间字段’已经早于当前时间,将会抛出ExpiredJwtException异常,说明本次请求已经失效
  64. return new JWTResult(false, null, "token已过期", ResponseCode.TOKEN_TIMEOUT_CODE.getCode());
  65. } catch (SignatureException e) {
  66. // 在解析JWT字符串时,如果密钥不正确,将会解析失败,抛出SignatureException异常,说明该JWT字符串是伪造的
  67. return new JWTResult(false, null, "非法请求", ResponseCode.NO_AUTH_CODE.getCode());
  68. } catch (Exception e) {
  69. return new JWTResult(false, null, "非法请求", ResponseCode.NO_AUTH_CODE.getCode());
  70. }
  71. }
  72. public static class JWTResult {
  73. private boolean status;
  74. private String uid;
  75. private String msg;
  76. private int code;
  77. public JWTResult() {
  78. super();
  79. }
  80. public JWTResult(boolean status, String uid, String msg, int code) {
  81. super();
  82. this.status = status;
  83. this.uid = uid;
  84. this.msg = msg;
  85. this.code = code;
  86. }
  87. public int getCode() {
  88. return code;
  89. }
  90. public void setCode(int code) {
  91. this.code = code;
  92. }
  93. public String getMsg() {
  94. return msg;
  95. }
  96. public void setMsg(String msg) {
  97. this.msg = msg;
  98. }
  99. public boolean isStatus() {
  100. return status;
  101. }
  102. public void setStatus(boolean status) {
  103. this.status = status;
  104. }
  105. public String getUid() {
  106. return uid;
  107. }
  108. public void setUid(String uid) {
  109. this.uid = uid;
  110. }
  111. }
  112. }

认证接口

认证接口用于调用方进行认证时,认证通过则返回一个加密的 Token 给对方,对方就可以用这个 Token 去请求别的服务了,认证获取 Token 代码如下所示。

  1. @PostMapping("/token")
  2. public ResponseData auth(@RequestBody AuthQuery query) throws Exception {
  3. if (StringUtils.isBlank(query.getAccessKey()) || StringUtils.isBlank(query.getSecretKey())) {
  4. return ResponseData.failByParam("accessKey and secretKey not null");
  5. }
  6. User user = authService.auth(query);
  7. if (user == null) {
  8. return ResponseData.failByParam(" 认证失败 ");
  9. }
  10. JWTUtils jwt = JWTUtils.getInstance();
  11. return ResponseData.ok(jwt.getToken(user.getId().toString()));
  12. }

认证参数代码如下所示。

  1. /**
  2. * API 用户认证参数类
  3. */
  4. public class AuthQuery {
  5. private String accessKey;
  6. private String secretKey;
  7. // get set ...
  8. }

AuthService 中的 auth 方法就是根据 accessKey 和 secretKey 判断是否有这个用户。

由于篇幅有限,请大家继续阅读以下教程:

  • 服务提供方进行调用认证
  • 服务消费方申请Token
  • Feign调用前统一申请Token传递到调用的服务中
  • RestTemplate调用前统一申请Token传递到调用的服务中
  • Zuul中传递Token到路由的服务中

 

使用JWT实现服务统一登录认证
weixin_39098944的博客
08-25 3699
前言 在开始JWT之前,我们弄清楚什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展 客户端
Spring Cloud Gateway整合JWT统一认证和鉴权
LynRaen的博客
03-02 4760
当下比较主流的微服务权限解决方案,在网关进行校验认证和鉴权,而系统其他的业务api服务只需要单纯的提供服务。从而实现业务逻辑代码和认证鉴权的解耦。 系统架构 架构方面可以抽象成三种类型的服务,分别是网关服务认证服务、API服务 主要maven依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-.
JWT实现统一认证服务应用
qq_41250616的博客
09-11 752
JWT实现统一认证服务应用 环境 redis: 4.0.9 nacos: 1.3.1 启动nacos cd /usr/local/nacos/bin sh startup.sh -m standalone 2.自定义注解获取此当前登录用户 1)配置依赖 2)修改客户端配置文件 配置nacos注册中心地址和redis相关配置 3)通过自定义注解获取参数 自定义注解类CurrentUser,@Target配置注解所修饰范围为参数,@Retention定义了该Annotation被保留的时间长短, RU
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
最新发布
gitblog_09811的博客
10-12 577
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权 SpringCloudGateway整合SpringSecurity统一登录认证鉴权 本项目是一个基于Spring Cloud Gateway的微服务框架,重点整合了Spring Security,实现统一的登录认证和鉴权...
Spring Gateway使用JWT实现统一身份认证
王广帅--游戏开发技术
05-23 1940
主要介绍JWT Token在网关统一鉴权中的使用
手摸手 Spring Cloud Gateway + JWT 实现登录认证
悟空聊架构的专栏
08-30 1731
你好,我是悟空,上篇我已经讲解了 Spring Cloud 的原理和实战,这次就要结合 JWT实现登录认证的功能了。本文已收录至《深入剖析 Spring Cloud 底层架构原理》,已更新 18 讲。如何用认证服务做登录认证。如何生成 JWT 令牌(Token)如何用 Gateway 对 Token 验证。Gateway 如何从 Token 中拿到用户信息并转发给业务服务。业务服务如何从请求中拿到身份信息处理业务逻辑。如何刷新令牌。本篇还是基于我的开源项目 PassJava 作为讲解。...
详解用JWTSpringCloud进行认证和鉴权
08-26
"详解用JWTSpringCloud进行认证和鉴权" 本文主要介绍了使用JSON WEB TOKEN(JWT)对SpringCloud进行认证和鉴权的详细过程。JWT是一种基于RFC 7519标准定义的可以安全传输的小巧和自包含的JSON对象。由于数据是...
spring cloud基于JWT的token认证实践
qq_24347541的博客
03-27 6万+
header里面放Authorization,Authorization里面放的就是token,就相当于每次发送请求的时候,拦截器都会拦截一次你的请求,把你请求头部的Authorization拿出来,与当前存在服务器上的token做对比 对比相同,拦截器就为你当前的请求放行,继续执行你的请求 如果不是同一个,那么服务器会截断你的请求并发送错误码给前端,让前端验证身份重新登陆。 post提交请求:h...
SpringCloud服务认证JWT
huxuhang的博客
07-02 3075
为什么要使用jwt? 在微服务架构下的服务基本都是无状态的,传统的使用session的方式不再适用。例如常用的鉴权框架Spring Security OAuth2和用Jwt来进行保护,相对于框架而言,jwt较轻,且可以自包含一些用户信息和设置过期时间,省去了Spring Security OAuth2繁琐的步骤。 什么是JWTjwt(JSON WEB TOKEN)是一种用来在网络上声明某种身份...
java jwt 统一认证
11-08
包含jwt包和源码 jwt打包成工具 可以直接使用 加密解密方法 快捷开发
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
Spring Cloud 安全:集成OAuth2实现身份认证和单点登录 示例代码
统一认证系统
12-05
完整的一个项目,数据库也有!是天眼教室教学项目,下载后导入IDEA,配置好JDBC等配置!即可启动项目
SpringCloud(六) 微服务安全实战 JWT认证
xy294636185的博客
05-24 576
前后端分离的微服务间安全通讯: 之前的认证方式存在三个问题: 1.效率低,每次认证都需要去认证服务器去调用认证服务 2.不安全,传递用户身份是通过在请求头中通过明文传递 3.服务间传递信息比较麻烦,需要在请求头中存储用户信息才能处理 以上问题解决方案就需要使用JWTJWT(Java Web Token): code: 在auth服务器中修改 /** * @author aric * @create 2021-04-06-10:54 ...
(五十七)springcloud+springboot+uniapp+vue b2b2c 分布式微服务电子商务商城之JWT(Json Web Token)是什么?
iteye_3750的博客
04-22 254
JWT(Json Web Token)是为了在网络应用环境间传递声明而执行的一种基于 Json 的开放标准。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。 比如用在用户登录上时,基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息的合法性;如果验证成功,会产生并返回一个 Token,用户可以使用这个 Token 访问服务器上受保护的资源。 JWT 由三部分构成,第一部分称为头部(Header),第二部分称为消息体(Payload),第
Spring Cloud Zuul网关集成JWT身份验证
sunhmm的博客
12-03 537
使用Spring Cloud服务开发项目,进行身份认证,将身份认证放在网关中做,实现统一的身份认证。使用JWT(Json Web Token)作为身份认证, jwt身份认证方式主要的特点是无状态,把信息放在客户端,服务器端不需要保存session,适合在分布式环境下使用。...
spring Cloud Gateway + JWT 实现统一认证授权
热门推荐
github_35976996的博客
07-10 7万+
Spring Cloud Gateway + shiro + JWT 实现统一认证授权 一、项目添加 Spring Cloud Gateway 依赖 参考:创建spring Cloud Gateway 二、添加shiro 1、加入shiro依赖 <dependency> <groupId>org.apache.shiro</groupId> <art...
SpringCloud+Spring Security OAuth2 实现服务统一认证授权
一行代码敲一天
12-07 9095
目前正在做了一个基于Spring Cloud的微服务项目,现在的好多项目都是基于APP移动端以及前后端分离的项目,之前基于Session的前后端放到一起的项目已经慢慢失宠并淡出我们视线,尤其是当基于SpringCloud的微服务架构以及Vue、React单页面应用流行起来,为此基于前后端分离的项目用户认证也受到众人关注的一个焦点,我们先来聊一聊在分布式项目认证需求以及解决方案。 分布式认证需求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

智慧浩海

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值