spring security token 有效期_记一次token安全认证的实践

最新推荐文章于 2024-05-27 20:07:33 发布
最新推荐文章于 2024-05-27 20:07:33 发布
阅读量640 收藏 1
点赞数
文章标签: spring security token 有效期 unexpected token vue token过期 当前页数据丢失

763343e7f741c60457a6bd98fe9117e5.png
本文作者:[Java知音] 瑾似流年

推荐阅读

1. Java 性能优化:教你提高代码运行的效率

2. 基于token的多平台身份认证架构设计

3. select count(*)底层究竟做了什么?

4. Springboot启动原理解析

阅读此文前请先阅读上一篇SpringBoot整合JWT实现用户认证了解JWT

背景介绍:

因项目需求,有PC端 APP端和小程序端,但登陆接口是同一个,然而微服务也无法使用传统的session解决用户登录问题(注意这里是传统的session不是spring session),使用户信息在其他服务共享。

如此一来就想到了token安全认证,而JWT生成token可以包含用户信息,也就果断选择了JWT作为SpringCloud gateway网关的token校验工具,这样,我们便可以直接解析token获取用户信息了。

具体实现思路:

  1. 让JWT在其他所有服务可以共同使用,父工程需要引入JWT jar。避免在其他服务重复引入。
  2. 如何使用JWT生成token。
  3. 如何解析token。
  4. 如何让网关拦截用户请求校验token。
  5. 如何避免首次登录被网关拦截。

代码实现:

1.创建SpringCloud项目

SpringCloud子项目包含 eureka,gateway,auth三个工程,父工程maven依赖如下。

<dependency>

2.Auth和gateway编写TOKEN工具类

public

特别提示:以上工具类可以在用户登录授权接口中调用,用以生成token,示例代码如下(可以借鉴不可复制哦,请根据自己业务逻辑在合适的地方调用TOKEN工具)

@RestController

好了,此时呢,我们已经通过auth工程完成了用户登录授权,并且生成了token。那么如何在gateway网关中进行token认证呢?

3.gateway网关中编写JwtCheckGatewayFilterFactory过滤器。

此类需要继承gateway的AbstractGatewayFilterFactory。

代码实现如下:

首先gateway网关yml文件中需要代理auth路由。

spring:
cloud:
    gateway:
      routes:
      - id: neo_route
        uri: lb://YUNXI-AUTH
        predicates:
        - Path=/auth/**
        filters:
        - StripPrefix=1
        - JwtCheck

自定义 JwtCheckGatewayFilterFactory 继承 AbstractGatewayFilterFactory 抽象类,代码如下:

public

编写config文件将JWT认证过滤器添加到Spring bean中。

@Configuration

此时我们就完成了整个token认证过程,其实简单的来说就是:

  • 第一步:Auth工程配合用户登录生成token,并将token和用户信息存储在redis中。
  • 第二步:在gayeway中编写JWT认证过滤器,用以校验用户请求中携带的token。

有图有真相

8a3b34f151256e148e6842eab1dac653.png

特别提示:我的auth工程端口是8766,登录认证接口路由是/currency/login。而此时我请求的认证接口是/main/currency/login,端口是8765,我们在文章开头就已说明,gateway网关在yml文件中配置auth代理为auth/,和这里的main是同一个道理。

如果此时我们再去请求项目中其他端口携带过期的token试试看效果:

91726b1dd04e047d3d5f5009d96eaff9.png

我们登陆认证返回的token是:

eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsInN0YSI6MTU1NjcxODU2Nzc3NCwiY29tcGFueUlkIjowLCJkZXB0SWQiOjEwMCwidXNlclR5cGUiOm51bGwsImV4cCI6MTU1ODAxNDU2Nzc3NH0.6oXx4Wk-eWHSWTHyJHmoiGowKnAmBdCHIRCzsMq5XlA;

携带的其他过期的token是:

eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsInN0YSI6MTU1NjQ1NjUwNzIwMiwiY29tcGFueUlkIjowLCJkZXB0SWQiOjEwMCwidXNlclR5cGUiOm51bGwsImV4cCI6MTU1Nzc1MjUwNzIwMn0._yF2TeaR4MTmF-Re9QciMZOeRKBOQmfvi3o4hWeGSMU

再携带错误的token试试看:

64383b382e6f64e573f51af7e92e9f13.png

登陆认证返回的token是:

eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsInN0YSI6MTU1NjcxODU2Nzc3NCwiY29tcGFueUlkIjowLCJkZXB0SWQiOjEwMCwidXNlclR5cGUiOm51bGwsImV4cCI6MTU1ODAxNDU2Nzc3NH0.6oXx4Wk-eWHSWTHyJHmoiGowKnAmBdCHIRCzsMq5XlA;

携带错误的token是:

eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsInN0YSI6MTU1NjcxODU2Nzc3NCwiY29tcGFueUlkIjowLCJkZXB0SWQiOjEwMCwidXNlclR5cGUiOm51bGwsImV4cCI6MTU1ODAxNDU2Nzc3NH0.6oXx4Wk-eWHSWTHyJHmoiGowKnAmBdCHIRCzsMq5XlD

携带正确的token:

7414bcbf3318c59fe84349a2e66bb673.png

到这里我么你的整个SpringCloud gateway网关+JWT安全认证就结束啦,非常抱歉,由于项目保密性不能为大家提供项目源码。但是整个过程我已经写的非常详细,也不希望大家做伸手党,如果有各种疑问欢迎留言,我可以帮大家一一解决。

weixin_39945915
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决JWT解析token数据时拿不到问题
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
03-26 1749
JWT误操作....
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者Token过期了,那么禁止访问系统。如果用户一直...
connect time out 获取token失败_PHP微信公众号网页授权登录 扫码登录 获取用户基本信息...
weixin_39540020的博客
11-23 326
前言现在微信登录是一个网站、APP的标配,所以微信授权登录是我们应该要掌握的。微信授权登录有4种方式:1、通过微信开放平台2、通过认证的微信服务号3、通过认证的微信订阅号4、通过微信小程序曲线救国今天我们就讲解的是微信服务号,通过OAuth2.0机制网页授权登录,获取用户基本信息。流程1、获取code2、获取access_token3、获取用户基本信息获取code通过以下接口即可获得,参数说明:h...
OAuth2.0 token的自动续期问题
最新发布
xiao_ying_bo_ke的博客
05-27 1376
OAuth2.0 的token自动续期源码分析及实现
前后端分离JWT token解析失败 BUG The Token‘s Signature resulte和 .IllegalArgumentException: Illegal base64
weixin_51488200的博客
06-29 1836
bug改进
SpringSecurity中使用JWT的Token解析报错
weixin_47129439的博客
03-29 427
把这个parseClaimsJwt方法改成parseClaimsJws即可。
JWT signature does not match locally computed signature:token解析失败原因
zerolea的博客
09-26 836
token解析失败
Springsecurity安全框架案例+多页面登录+redis+token
12-08
在本案例中,我们将深入探讨如何使用Spring Security构建安全框架,实现多页面登录功能,并结合Redis存储Token来提高系统的安全性与性能。 1. **Spring Security 基础** Spring Security 提供了全面的安全管理组件...
springSecurity-jwt:JWT access_token和refresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessToken和RefreshToken) version1太复杂,无法优化。accessToken refreshToken安全登录处理流程详细说明转到博客文章JWT异常处理安全异常处理(AuthenticationEntryPoint,...
SpringSecurity之JWT实现token认证和授权.zip
08-09
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,广泛用于构建安全的Java Web应用程序。它提供了全面的安全管理组件,包括用户认证、权限控制、会话管理等。在这个主题中,我们将深入探讨如何...
springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
02-16
这个“springboot+springSecurity+jwt实现的基于token的权限管理的一个demo”旨在演示如何在Spring Boot应用中集成这些技术,以创建一个安全的、基于令牌的身份验证系统。 首先,Spring Boot是Java领域的一个快速...
connect time out 获取token失败_一次token安全认证实践
weixin_39543835的博客
11-25 511
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!本文作者:[Java知音] 瑾似流年推荐阅读1.Java 性能优化:教你提高代码运行的效率2.基于token的多平台身份认证架构设计3.select count(*)底层究竟做了什么?4.Springboot启动原理解析阅读此文前请先阅读上一篇SpringBoot整合JWT实现用户认证了解JWT。背景介绍:因项目需...
jwt解析token报错:Signed Claims JWSs are not supported.
weixin_43549350的博客
03-25 4678
jwt解析token报错:Signed Claims JWSs are not supported. Exception in thread "main" io.jsonwebtoken.UnsupportedJwtException: Signed Claims JWSs are not supported. at io.jsonwebtoken.JwtHandlerAdapter.onClaimsJws(JwtHandlerAdapter.java:50) at io.jsonwebtoken.im
使用JWT获取token时报错
GWQ_CY的博客
11-09 1163
jwt 报错
vue项目使用jwt token验证登录 报错token无效验证失败 【已解决】
qq_40715438的博客
11-21 4181
检查了所有代码都没有问题,在所有需要token的地方都能拿到正确的token,但是在verify时仍然走的err,打印出的错误为 invalid token 最后在外网查到有人在获取token时使用了split,才注意到直接从请求头拿到的token打印出来是带双引号的,而这个双引号也被当做token的一部分进行验证了 把头尾的双引号去掉再做验证就成功了 ...
【已解决】jwt验证token的时候报错:io.jsonwebtoken.UnsupportedJwtException: Signed Claims JWSs are not supported.
热门推荐
CodingLJ
05-12 3万+
直接看代码,你确定你的checkJWT写对了吗!? Jwts.parser().setSigningKey(SECRET).parseClaimsJwt(token.replace(TOKEN_PREFIX, "")).getBody(); Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token.replace(TOKEN_PREFIX, "")).getBody(); 是parseClaimsJws 不是parseCla...
SpringBoot 实现 JWT token 自动续期
良月柒
01-17 1886
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 4 分钟。来自:blog.csdn.net/dreaming9420/article/details/1217507321.为什么要 token自动续期token中一般会包含用户的基本信息,为了保证token安全性,一般会将token过期时间设置的比较短,但是这样会导致用户因为token过期需要频繁登录,因此需要token自...
jwt如何解析token
阿杰
10-09 1565
解析jwt
【异常】postman能够请求成功获取到参数,前端请求的却请求不到
10年职场两茫茫,35岁凄凉奈若何
01-20 4968
【异常】postman能够请求成功获取到参数,前端请求的却请求不到
SpringSecurity Jwt Token 自动刷新有效期
06-02
Spring Security JWT Token 可以通过在 Token 中设置一个过期时间来实现自动刷新有效期。当 Token 过期前一段时间内,可以通过发送一个请求来触发 Token 的刷新,使其延长有效期。 具体实现可以通过在 Spring Security 的配置中添加一个 TokenRefreshFilter 来实现。该过滤器会检查 Token有效期,如果即将过期,则会发送一个请求到后端来刷新 Token。在 Token 刷新成功后,将新的 Token 返回给前端,并更新当前用户的 Token。 另外,为了保证 Token安全性,可以在 Token 中添加一个随机的 Salt 值,每次生成 Token 时都使用不同的 Salt 值,这样可以大大增加 Token 被破解的难度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值