php如何实现无状态,springCloud-依赖Spring Security使用 JWT实现无状态的分布式会话...

最新推荐文章于 2022-01-18 21:41:51 发布
最新推荐文章于 2022-01-18 21:41:51 发布
阅读量218 收藏
点赞数
文章标签: php如何实现无状态

案例

在前后端分离的,后端微服务的情况下,会话已经不再适合保存在服务端,使用redis可以保存会话,但是需要在redis集群之间进行复制,如果用户较多,保存的数据量也比较大。

JWT实现无状态的会话机制,是一个解决方案。

1、什么是无状态?

微服务集群中的每个服务,对外提供的都使用RESTful风格的接口。而RESTful风格的一个最重要的规范就是:服务的无状态性,即:

1、服务端不保存任何客户端请求者信息

2、客户端的每次请求必须具备自描述信息,通过这些信息识别客户端身份

2、如何实现无状态?

1、首先客户端发送账户名/密码到服务端进行认证

2、认证通过后,服务端将用户信息加密并且编码成一个token,返回给客户端

3、以后客户端每次发送请求,都需要携带认证的token

4、服务端对客户端发送来的token进行解密,判断是否有效,并且获取用户登录信息

3、JWT

JWT 作为一种规范,并没有和某一种语言绑定在一起,常用的Java 实现是GitHub 上的开源项目 jjwt,地址如下:https://github.com/jwtk/jjwt

代码

说明:

1、一个登陆接口/login,用于获取token

2、一个用户接口/hello,用户角色可以访问

3、一个管理接口/admin,管理角色可以访问

1、启动文件

package com.baiziwan.authorize;

import org.mybatis.spring.annotation.MapperScan;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.boot.SpringApplication;

import org.springframework.boot.autoconfigure.SpringBootApplication;

import org.springframework.cloud.client.discovery.EnableDiscoveryClient;

import org.springframework.scheduling.annotation.EnableAsync;

@SpringBootApplication

@EnableDiscoveryClient

@MapperScan({"com.baiziwan.authorize.*.dao", "com.baiziwan.authorize.*.*.dao"})

@EnableAsync

public class AuthorizeApplication {

private static final Logger LOGGER = LoggerFactory.getLogger(AuthorizeApplication.class);

public static void main(String[] args) {

try {

SpringApplication.run(AuthorizeApplication.class, args);

} catch (Exception e) {

LOGGER.error("启动失败!", e);

}

}

}

2、pom文件主要依赖

org.springframework.boot

spring-boot-starter-security

org.springframework.boot

spring-boot-starter-web

io.jsonwebtoken

jjwt

0.9.1

org.springframework.security

spring-security-oauth2-resource-server

5.1.3.RELEASE

3、User文件

package com.baiziwan.authorize.model;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;

import java.util.List;

public class User implements UserDetails {

private String username;

private String password;

private List authorities;

@Override

public Collection extends GrantedAuthority> getAuthorities() {

return authorities;

}

@Override

public String getPassword() {

return password;

}

public String getUsername() {

return username;

}

@Override

public boolean isAccountNonExpired() {

return true;

}

@Override

public boolean isAccountNonLocked() {

return true;

}

@Override

public boolean isCredentialsNonExpired() {

return true;

}

@Override

public boolean isEnabled() {

return true;

}

}

4、控制器url

package com.baiziwan.authorize.controller;

import org.springframework.web.bind.annotation.GetMapping;

import org.springframework.web.bind.annotation.RestController;

@RestController

public class HelloController {

//需要jwt访问,user角色可以访问

@GetMapping("/hello")

public String hello() {

return "hello jwt !";

}

//需要jwt访问,admin角色可以访问

@GetMapping("/admin")

public String admin() {

return "hello admin !";

}

}

5、JWT 过滤器配置

1、一个是用户登录的过滤器,在用户的登录的过滤器中校验用户是否登录成功,如果登录成功,则生成一个token返回给客户端,登录失败则给前端一个登录失败的提示。

2、第二个过滤器则是当其他请求发送来,校验token的过滤器,如果校验成功,就让请求继续执行。

package com.baiziwan.authorize.filter;

import io.jsonwebtoken.Claims;

import io.jsonwebtoken.Jwts;

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.authority.AuthorityUtils;

import org.springframework.security.core.context.SecurityContextHolder;

import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.FilterChain;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import java.io.IOException;

import java.util.List;

public class JwtFilter extends GenericFilterBean {

@Override

public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

HttpServletRequest req = (HttpServletRequest) servletRequest;

String jwtToken = req.getHeader("authorization");

System.out.println(jwtToken);

Claims claims = Jwts.parser().setSigningKey("sang@123").parseClaimsJws(jwtToken.replace("Bearer",""))

.getBody();

String username = claims.getSubject();//获取当前登录用户名

List authorities = AuthorityUtils.commaSeparatedStringToAuthorityList((String) claims.get("authorities"));

UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, null, authorities);

SecurityContextHolder.getContext().setAuthentication(token);

filterChain.doFilter(req,servletResponse);

}

}

package com.baiziwan.authorize.filter;

import com.baiziwan.authorize.model.User;

import com.fasterxml.jackson.databind.ObjectMapper;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import org.springframework.security.authentication.AuthenticationManager;

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;

import org.springframework.security.core.Authentication;

import org.springframework.security.core.AuthenticationException;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;

import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import javax.servlet.FilterChain;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.io.PrintWriter;

import java.util.Collection;

import java.util.Date;

public class JwtLoginFilter extends AbstractAuthenticationProcessingFilter {

public JwtLoginFilter(String defaultFilterProcessesUrl, AuthenticationManager authenticationManager) {

super(new AntPathRequestMatcher(defaultFilterProcessesUrl));

setAuthenticationManager(authenticationManager);

}

@Override

public Authentication attemptAuthentication(HttpServletRequest req, HttpServletResponse resp) throws AuthenticationException, IOException, ServletException {

User user = new ObjectMapper().readValue(req.getInputStream(), User.class);

return getAuthenticationManager().authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword()));

}

@Override

protected void successfulAuthentication(HttpServletRequest req, HttpServletResponse resp, FilterChain chain, Authentication authResult) throws IOException, ServletException {

Collection extends GrantedAuthority> authorities = authResult.getAuthorities();

StringBuffer as = new StringBuffer();

for (GrantedAuthority authority : authorities) {

as.append(authority.getAuthority())

.append(",");

}

String jwt = Jwts.builder()

.claim("authorities", as)//配置用户角色

.setSubject(authResult.getName())

.setExpiration(new Date(System.currentTimeMillis() + 10 * 60 * 1000))

.signWith(SignatureAlgorithm.HS512,"sang@123")

.compact();

resp.setContentType("application/json;charset=utf-8");

PrintWriter out = resp.getWriter();

out.write(new ObjectMapper().writeValueAsString(jwt));

out.flush();

out.close();

}

protected void unsuccessfulAuthentication(HttpServletRequest req, HttpServletResponse resp, AuthenticationException failed) throws IOException, ServletException {

resp.setContentType("application/json;charset=utf-8");

PrintWriter out = resp.getWriter();

out.write("登录失败!");

out.flush();

out.close();

}

}

6、Spring Security 配置

1、简单起见,这里并未连接数据库,我直接在内存中配置了两个用户,两个用户具备不同的角色。

2、配置路径规则时, /hello 接口必须要具备 user 角色才能访问, /admin 接口必须要具备 admin 角色才能访问,POST 请求并且是 /login 接口则可以直接通过,其他接口必须认证后才能访问。

package com.baiziwan.authorize.config;

import com.baiziwan.authorize.filter.JwtFilter;

import com.baiziwan.authorize.filter.JwtLoginFilter;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.http.HttpMethod;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.password.NoOpPasswordEncoder;

import org.springframework.security.crypto.password.PasswordEncoder;

import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

@Bean

PasswordEncoder passwordEncoder() {

return NoOpPasswordEncoder.getInstance();

}

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

auth.inMemoryAuthentication().withUser("admin")

.password("123").roles("admin")

.and()

.withUser("sang")

.password("456")

.roles("user");

}

@Override

protected void configure(HttpSecurity http) throws Exception {

http.authorizeRequests()

.antMatchers(HttpMethod.GET,"/.well-known/jwks.json").permitAll()

.antMatchers("/hello").hasRole("user")

.antMatchers("/admin").hasRole("admin")

.antMatchers(HttpMethod.POST, "/login").permitAll()

.anyRequest().authenticated()

.and()

.addFilterBefore(new JwtLoginFilter("/login",authenticationManager()),UsernamePasswordAuthenticationFilter.class)

.addFilterBefore(new JwtFilter(), UsernamePasswordAuthenticationFilter.class)

.csrf().disable();

}

}

7、测试效果

1、获取token

0b009794eb5fc8e0b8cde74ac41a3e9b.png

2、带令牌访问

2bb93dd2da64c384caf6111c9de0406c.png

茶未凉人已散
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使文件下载的自定义连接支持 FlashGet 的断点续传多线程链接下载! JSP/Servlet 实现!
playyuer㊣www.Microshaoft.com I Love UltraEditPlus
08-02 2万+
 /*  文件名可存为: Download.jsp  HTTP 协议的请求与响应的会话过程可通过使用 FlashGet 下载 Http:// 连接的过程监视:  蓝色部分为: 客户端请求  紫色部分为: 服务器端响应  如图:  http://blog.csdn.net/images/blog_csdn_net/playyuer/30110/o_FlashGet.gif  或参阅,后面的 Flas
史上最简单的Spring Security教程(四):成功登录页面
银河架构师的博客
06-24 5501
配置 大多数情况下,我们在访问一个系统时,会直接访问我们收藏的某个页面,或者首页,又或者是访问根路径,成功登录系统后,一般情况下,会重定向到这些页面。如果并没有明确的目的指向,或者说我们想要让系统在登录成功后,一直指向某个页面怎么办? 其实,这很简单,很显然,Spring Security 也考虑到了这一点,在原配置基础上,添加一项defaultSuccessUrl配置即可。 http.formLogin().loginPage("/login").defaultSuccessUrl...
php访问跳转下载,php download.php实现代码 跳转到下载文件(response.redirect)
weixin_29041195的博客
04-13 679
php download.php实现代码 跳转到下载文件(response.redirect)发布于 2014-10-23 15:55:23 | 178 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,...
Servlet-HttpServletResponse实现下载文件
Ara_Hu的博客
02-26 652
实现文件的下载,我们很清楚就会想到HttpServletResponse类向客户端写数据的方法,该类没有向外写数据的方法,于是我们找到其父类ServletResponse,父类中有如下两个方法: //文件流 public ServletOutputStream getOutputStream() throws IOException; //字符流 public PrintWriter getWr...
HttpServletResponse的使用:响应数据、下载文件
超级大洋葱的博客
01-22 4336
文章目录1.代码总览2. 常用响应3. 以字符流形式输出中文4. 以字节流输出中文5. 不区分字节流和字符流输出中文6. 下载文件 1.代码总览 package com.tx.servlet; import java.io.FileInputStream; import java.io.IOException; import java.io.InputStream; import java.io.OutputStream; import java.io.UnsupportedEncodingExcepti
javaweb-12:Response下载文件
工一木子
10-07 320
6.6、HttpServletResponse Web服务器接收到客户端的http请求,针对这个请求,分别创建一个代表请求的HttpServletRequest对象,代表响应的一个HttpServletResponse 如果要获取客户端请求过来的参数,找HttpServletRequest 如果要给客户端响应一些信息,找HttpServletResponse 1、简单分类 负责向浏览器发送数据的方法 public ServletOutputStream getOutputStream() throws
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送Maven依赖信息文件:spring-security-jwt-1.0.10.RELEASE.pom; 包含翻译后的API文档:spring-security-jwt-1.0.10.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:...
spring-security-jwt-1.0.10.RELEASE-API文档-中英对照版.zip
05-04
赠送Maven依赖信息文件:spring-security-jwt-1.0.10.RELEASE.pom; 包含翻译后的API文档:spring-security-jwt-1.0.10.RELEASE-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.springframework....
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
SpringSecurity+OAuth2+JWT分布式权限控制
Spring Boot Security 结合 JWT 实现状态分布式API接口
10-17
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。这篇文章主要介绍了Spring Boot Security 结合 JWT 实现状态分布式API接口 ,需要的朋友可以参考下
spring-security-jwt-demo.zip
11-19
spring-security-jwt-demo.zip
php使用servlet,用Tomcat和Eclipse开发Servlet程序_PHP教程
weixin_35540825的博客
03-17 180
1、 安装eclipse1)、 在官网上直接下载Eclipse IDE for Java EE Developers,解压即可;2、 eclipse安装tomcat插件:1)、 在http://www.eclipsetotale.com/tomcatPlugin.html上下载tomcatPluginV33.zip2)、 解压到eclipse目录下的plugins目录中3)、 重新启动eclips...
HttpServletResponse下载文件
halfsking的博客
09-12 169
使用HttpServletResponse下载文件   @RequestMapping("/down") public void down(HttpServletRequest request,HttpServletResponse response) throws Exception{ //1.获取要下载的文件的绝对路径 String...
HttpServletResponse下载文件功能
qq_53440851的博客
04-06 422
1、创建一个类,让类继承HttpServlet 2、重写doGeo和doPost,如下: public class FileSerlvet extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { //1.要获取下载文件的路径 Stri
利用response对象实现下载文件功能
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
01-18 1819
HttpServletResponse对象继承了ServletResponse接口,下面利用response对象实现下载的功能。 package com.dongmu.servlet; import javax.servlet.ServletException; import javax.servlet.ServletOutputStream; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletReque
php下载文件夹的解决方案
weixin_45525177的博客
08-06 255
一、功能性及非功能性需求: 文件批量下载,支持断点续传。支持批量下载1000个文件。 使用JS能够实现批量下载,能够提供接口从指定url中下载文件并保存在本地指定路径中。 服务器不需要打包。 支持大文件断点下载。比如下载10G的文件。 PC端全平台支持。Windows,macOS,Linux 全浏览器支持。ie6,ie7,ie8,ie9,ie10,ie11,edge,firefox,chrome,safari JavaWeb文件下载功能 文件下载的实质就是文件拷贝,将文件从服务器端拷..
Servlet的综合案例 —— 文件下载
余温0218的博客
03-15 169
对于文件下载案例,是综合了request的相关方法、response的相关方法、IO流、消息头的获取等知识。不积跬步,无以至千里;不积小流,无以成江海。所以还是建议要踏踏实实打好基础。 先给出一个用来展示的页面 <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>图片下载...
php 如何实现状态化,服务无状态化设计分析
weixin_31534091的博客
03-27 258
什么是无状态化设计?服务的无状态化就是冗余部署的多个服务模块(进程),使其完全对等。也就是部署多个相同服务,请求到任一服务的处理结果是一样的。这些模块不存储业务的上下文信息,比如session、登录、业务上下文相关的信息。只会根据每次请求携带的数据进行相应的业务处理。实质这些业务相关的信息是会存放在统一的一个地方,比如缓存、es等等。目的1.快速扩容2.弹性扩容具体案例实践用户Session数据登...
shiro实现状态会话,带源码分析
weixin_30763397的博客
11-09 179
转载请在页首明显处注明作者与出处 朱小杰   http://www.cnblogs.com/zhuxiaojie/p/7809767.html 一:说明 在网上都找不到相关的信息,还是翻了大半天shiro的源码才找到答案。亲试绝对可行,带源码分析 很多时候,开发的项目不仅仅是一个基于浏览器的项目,还可能是基于app的项目,基于小程序的项目,而这些项目都是无状态的...
spring-cloud-starter-securityspring-cloud-security的关系
最新发布
05-31
`spring-cloud-starter-security` 和 `spring-cloud-security` 是 Spring Cloud 中用于实现安全认证和授权的两个模块,它们之间的关系如下: - `spring-cloud-starter-security` 是 Spring Cloud 中的一个 Starter 模块,它依赖Spring SecuritySpring Boot Starter Security,提供了一些默认的安全配置,方便用户快速使用 Spring Security 进行安全认证和授权。 - `spring-cloud-security` 是 Spring Cloud 中的一个核心模块,它依赖Spring SecuritySpring Boot Starter Security,提供了一些基于微服务的安全解决方案,如基于 OAuth2 的安全认证和授权、基于 JWT 的安全认证等。`spring-cloud-security` 还提供了一些与 Spring Cloud 其他组件的集成,如 Zuul、Feign、Ribbon、Eureka 等,以实现全局的安全控制。 因此,`spring-cloud-starter-security` 是 `spring-cloud-security` 的一个子集,它提供了一些默认的安全配置,而 `spring-cloud-security` 则提供了更为全面的安全解决方案和与其他组件的集成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值