java获取authorization_Java架构笔记:用JWT对SpringCloud进行认证和鉴权

最新推荐文章于 2023-04-18 14:17:42 发布
最新推荐文章于 2023-04-18 14:17:42 发布
阅读量420 收藏
点赞数
文章标签: java获取authorization java鉴权 jwt token 太长 jwt token 过期刷新 jwt判断token是否过期 jwt如何防止token被窃取
40e14cf88f15a1194e4c4c4b914009fd.png

JWT(JSON WEB TOKEN)是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对来进行签名。

JWT通常由头部(Header),负载(Payload),签名(Signature)三个部分组成,中间以.号分隔,其格式为Header.Payload.Signature

Header:声明令牌的类型和使用的算法

alg:签名的算法

typ:token的类型,比如JWT

Payload:也称为JWT Claims,包含用户的一些信息

系统保留的声明(Reserved claims):

iss (issuer):签发人

exp (expiration time):过期时间

sub (subject):主题

aud (audience):受众用户

nbf (Not Before):在此之前不可用

iat (Issued At):签发时间

jti (JWT ID):JWT唯一标识,能用于防止JWT重复使用

公共的声明(public):

见 http://www.iana.org/assignments/jwt/jwt.xhtml

私有的声明(private claims):

根据业务需要自己定义的数据

Signature:签名

签名格式:

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

4c7209e0790e1c3f1e159e7303473ac0.png

JWT的特点

  • JWT默认是不加密的,不能把用户敏感类信息放在Payload部分。
  • JWT 不仅可以用于认证,也可以用于交换信息。
  • JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。
  • JWT本身包含认证信息,为了减少盗用,JWT的有效期不宜设置太长。
  • 为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。

首次生成token比较慢,比较耗CPU,在高并发的情况下需要考虑CPU占用问题。

生成的token比较长,可能需要考虑流量问题。

认证原理

客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。

JWT的使用方式

一种做法是放在HTTP请求的头信息Authorization字段里面,格式如下:

Authorization:

需要将服务器设置为接受来自所有域的请求,用Access-Control-Allow-Origin: *

另一种做法是,跨域的时候,JWT就放在POST请求的数据体里面。

对JWT实现token续签的做法

1、额外生成一个refreshToken用于获取新token,refreshToken需存储于服务端,其过期时间比JWT的过期时间要稍长。

2、用户携带refreshToken参数请求token刷新接口,服务端在判断refreshToken未过期后,取出关联的用户信息和当前token。

3、使用当前用户信息重新生成token,并将旧的token置于黑名单中,返回新的token。

21f8b0ca2ffe1b1109994961407477ff.png

创建用于登录认证的工程auth-service

1、 创建pom.xml文件

Xml代码 

4.0.0com.seasy.springcloud  auth-service  1.0.0jarorg.springframework.boot  spring-boot-starter-parent  2.0.8.RELEASE1.8UTF-8UTF-8org.springframework.boot  spring-boot-starter-web  org.springframework.boot  spring-boot-starter-actuator  org.springframework.cloud  spring-cloud-starter-netflix-eureka-client  org.springframework.boot  spring-boot-starter-data-redis  org.apache.commons  commons-pool2  com.auth0  java-jwt  3.7.0org.springframework.cloud  spring-cloud-dependencies  Finchley.RELEASEpomimport

2、JWT工具类

Java代码 

public class JWTUtil {  public static final String SECRET_KEY = "123456"; //秘钥  public static final long TOKEN_EXPIRE_TIME = 5 * 60 * 1000; //token过期时间  public static final long REFRESH_TOKEN_EXPIRE_TIME = 10 * 60 * 1000; //refreshToken过期时间  private static final String ISSUER = "issuer"; //签发人   /**  * 生成签名  */  public static String generateToken(String username){  Date now = new Date();  Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY); //算法   String token = JWT.create()  .withIssuer(ISSUER) //签发人  .withIssuedAt(now) //签发时间  .withExpiresAt(new Date(now.getTime() + TOKEN_EXPIRE_TIME)) //过期时间  .withClaim("username
weixin_39818691
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java获取authorization_java动态代理实现Authorization(授权)
weixin_39782832的博客
12-19 1405
动态代理实现Authorization(授权)*java.lang.reflect包中的Proxy和InvocationHandler接口提供了创建(指定类[接口更准确些]的)动态代理类的能力。我们知道,对象是类的实例,一般使用内存来模拟对象,对象是依据类为模板来创建的,创建时使用new来分配一块内存区(其布局参考相应类的内存布局),为变量做一些赋值便是对象的初始化了。我们知道通常类是设计时的产物...
java 获取Authorization信息
weixin_45873444的博客
01-18 4743
java 获取Authorization信息
java获取authorization_Java SimpleAuthorizationInfo.addRole方法代码示例
weixin_39610468的博客
12-19 2077
本文整理汇总了Java中org.apache.shiro.authz.SimpleAuthorizationInfo.addRole方法的典型用法代码示例。如果您正苦于以下问题:Java SimpleAuthorizationInfo.addRole方法的具体用法?Java SimpleAuthorizationInfo.addRole怎么用?Java SimpleAuthorizationInf...
Java获取Token,含Authorization参数以及body参数
小屁孩大帅-保密的博客
03-16 4220
Java获取Token,含Authorizatio...
Sa-Token:这可能是史上功能最全的Java权限认证框架!目前已集成——登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0、踢人下线、Redis集成、前后台分离、记住我模式、模拟他人账号、临时身份切换、账号封禁、多账号认证体系、注解式鉴权、路由拦截式鉴权、花式token生成、自动续签、同端互斥登录、会话治理、密码加密、jwt集成、Spring集成、WebFlux集成..
07-23
Sa-Token v1.23.0 这可能是史上功能最全的 Java 权限认证框架! 在线资料 Sa-Token 介绍 Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题 框架集成简单、开箱即用、API设计清爽,通过Sa-Token,你将以一种极其简单的方式实现系统的权限认证部分 登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录 权限认证 —— 权限认证、角色认证、会话二级认证 Session会话 —— 全端共享Session、单端独享Session、自定义Session 踢人下线 —— 根据账号id踢人下线、根据Token值踢人下线 账号封禁 —— 指定天数封禁、永久封禁、设定解封时间 持久层扩展 —— 可集成Redis、Memcached等专业缓存中间件,重启数
详解用JWTSpringCloud进行认证鉴权
08-26
"详解用JWTSpringCloud进行认证鉴权" 本文主要介绍了使用JSON WEB TOKENJWT)对SpringCloud进行认证鉴权的详细过程。JWT是一种基于RFC 7519标准定义的可以安全传输的小巧和自包含的JSON对象。由于数据是...
spring-boot-jwt:使用JWT保护Spring Boot Rest端点的简单演示
01-29
标签中提到了`SpringBootJava`,这意味着这个项目是用Java语言和Spring Boot框架编写的。Spring Boot简化了Java应用的开发,提供了自动配置、内嵌的HTTP服务器以及许多依赖项的默认配置。 `java jwt`标签表明这个...
spring_cloud_kafka_jwt:PoC-通过Apache Kafka在微服务之间传播Spring Cloud JWT安全上下文
05-18
标题中的“spring_cloud_kafka_jwt”是一个项目,旨在演示如何在基于Spring Cloud的微服务架构中,通过Apache Kafka来传播JWT(JSON Web Token)安全上下文。JWT是一种轻量级的身份验证和授权机制,常用于分布式系统...
SpringAuth:使用JWT身份验证进行Spring授权的示例项目
03-07
SpringAuth项目是一个基于Java开发的示例应用,它展示了如何在Spring框架中集成JWT(JSON Web Token进行用户身份验证和授权。JWT是一种轻量级的身份验证机制,它允许服务端在客户端之间安全地传递信息,而无需在...
java高手真经_系统架构卷:java.web系统设计与架构
02-25
Java的安全特性,如JAAS(Java Authentication and Authorization Service)和SSL/TLS协议,以及Spring Security等第三方库的使用,都可能是书中涉及的话题。 此外,书中还会介绍如何进行测试驱动开发(TDD),使用...
jwt token 附加用户信息_[入门篇] Jwt 认证
weixin_35974217的博客
01-09 563
认证和授权的区别首先我们要弄清楚认证(Authentication)和授权(Authorization)的区别,以免混淆了。认证是确认的过程中你是谁,而授权围绕是你被允许做什么,即权限。显然,在确认允许用户做什么之前,你需要知道他们是谁,因此,在需要授权时,还必须以某种方式对用户进行身份验证。什么是Jwt根据维基百科的定义,JSON WEB Token(JWT),是一种...
Spring Cloud系列 Spring Cloud OAuth2授权码模式(authorization code)
ssaiwey的博客
06-22 1975
OAuth 2 有四种授权模式,分别是授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials),具体 OAuth2 是什么,可以参考这篇文章(http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html) 实现统一认证功能 本篇先介绍密码模式实现的单点登录,下一篇再继续说授权码模式 ...
jwt token 附加用户信息_JSON WEB TOKENJWT)详解以及JAVA项目实战
weixin_35648264的博客
01-17 886
1.我们为什么要是用tokenToken, 令牌,代表执行某些操作的权利,也就是我们进行某些操作的通行证。1.1 在很久很久以前,我们使用什么做身份认证?我们都知道 HTTP 是无状态(stateless)的协议:HTTP 对于事务处理没有记忆能力,不对请求和响应之间的通信状态进行保存。使用 HTTP 协议,每当有新的请求发送时,就会有对应的新响应产生。协议本身并不保留之前一切的请求或响应报文的信...
java获取authorization_java 获取HttpRequest Header的几种方法(必看篇)
weixin_39722759的博客
12-19 5144
在开发应用程序的过程中,如果有多个应用,通常会通过一个portal 门户来集成,这个portal 是所有应用程序的入口,用户一旦在portal 登录之后,进入另外一个系统,就需要类似的单点登录(SSO). 进入各个子系统的时候,就不需要再次登录, 当然类似的功能,你可以通过专业的单点登录软件来实现,也可以自己写数据库token 等方式来实现。其实还有一个比较简单的方法,就是通过 portal 封...
如何设置Java Spring Boot JWT授权和认证
08-19 487
In the past month, I had a chance to implement JWT auth for a side project. I have previously worked with JWT in Ruby on Rails, but this was my first time in Spring. 在过去的一个月中,我有机会为辅助项目实现JWT auth。 我以前...
Spring Cloud系列之客户端请求带“Authorization”请求头,经过zuul转发后丢失了
f45056231p的博客
05-20 4335
Spring Cloud系列之客户端请求带“Authorization”请求头,经过zuul转发后丢失了 先摆解决方案: 方法一: 方法二: zuul.routes.<routeName>.sensitive-headers= zuul.routes.<routeName>.custom-sensitive-headers=true 原因:Zuul进行...
jwt token 附加用户信息_掌握基于 JWT 实现的 Token 身份认证
weixin_35411438的博客
12-24 548
引语最近正好在独立开发一个后台管理系统,涉及到了基于Token的身份认证,自己边学边用边做整理和总结,对基于JWT实现的Token的身份认证做一次相对比较全面的认识。一、基于session的跨域身份验证Internet服务无法与用户身份验证分开。一般过程如下。用户向服务器发送用户名和密码。验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。服务器向用户返回session_id,se...
如何使用java获取postman中的Authorization的bearer token
m0_64998696的博客
04-18 1695
java获取bearer token
java 添加authorization_使用httpUrlConnection在Header中添加authorization身份认证信息
最新发布
05-31
好的,针对您的问题,我可以为您提供以下的 Java 代码示例来添加 Authorization 身份认证信息到 HTTP 请求的 Header 中: ``` import java.net.HttpURLConnection; import java.net.URL; public class ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值