孤尽班第十一次课-用户系统实现JWT
JWT
Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准((RFC 7519).定义了⼀种简洁的,⾃包含的⽅法⽤于通信双⽅之间以JSON对象的形式安全的传递信息。因为数 字签名的存在,这些信息是可信的,JWT可以使⽤HMAC算法或者是RSA的公私秘钥对进⾏签名。
1.1 什么是JWT
1.1.1 JWT组成
1.1.2 Header头部
头部包含了两部分,token 类型和 采用的加密算法
{
“alg”:"HS256",
"type":"JWT"
}
1.2.3 Payload负载
这部分就是我们存放信息的地方了,你可以把用户ID 等 信息放到这里, jwt 规范里面对这部分有进行了比较详细的介绍, 常用的由iss(签发者), exp(过期时间), sub(面向用户), aud(接收方), iat(签发时间)。
"iss": "lion1ou JWT",
"iat": 1441593502,
"exp": 1441594722,
"aud": "www.example.com",
"sub": "lion1ou@163.com"
同样的,它会使⽤ Base64 编码组成 JWT 结构的第⼆部分。
1.2.4 Signature签名
前⾯两部分都是使⽤ Base64 进⾏编码的,即前端可以解开知道⾥⾯的信息。Signature 需要使⽤编码 后的 header 和 payload 以及我们提供的⼀个密钥,然后使⽤ header 中指定的签名算法(HS256)进 ⾏签名。签名的作⽤是保证 JWT 没有被篡改过。
签名的目的
最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被篡改。
如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名是不一样的。
如果要对新的头部和负载进行签名,在不知道服务器加密时用密钥的话,得出的签名也是不一样的。
为什么要用JWT
传统token 认证
资源服务器授权流程如上图,客户端先去授权服务器申请令牌,申请令牌后,携带令牌访问 资源服务器,资源服务器访问授权服务校验令牌的合法性,授权服务会返回校验结果,如果校验 成功会返回⽤户信息给资源服务器,资源服务器如果接收到的校验结果通过了,则返回资源给客 户端。传统授权⽅法的问题是⽤户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校 验令牌的合法性,并根 据令牌获取⽤户的相关信息,性能低下。
JWT 认证
传统的授权模式性能低下,每次都需要请求授权服务校验令牌合法性,我们可以利⽤公钥私 钥完成对令牌的加密,如果加密解密成功,则表示令牌合法,如果加密解密失败,则表示令牌⽆ 效不合法,合法则允许访问资源服务器的资源,解密失败,则不允许访问资源服务器资源。
JWT 使用
1.2.1 公钥和私钥
1. 授权中心和资源中心持有私钥和公钥
2. 私钥颁发令牌
3. 公钥验证令牌
1.2.2 生成私钥公钥
我们采用JWT 私钥颁发令牌,公钥校验令牌,这里先使用keytool 工具生成公钥私钥证书
4. ⽣成密钥证书 下边命令⽣成密钥证书,采⽤RSA 算法每个证书包含公钥和私钥
## Keytool 是⼀个java提供的证书管理⼯具
JWT 测试
引⼊oauth2依赖构件
<!--oauth2-->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
2 . kaikeba.jks
测试需要公钥和私钥,准备好
3. 测试代码
用户角色管理
2.1 RBAC模型
系统管理⼯程完成了对于rbac数据的管理 RBAC(基于⻆⾊的权限控制 role base access control)是⼀种设计模式,是⽤来设计和管 理权限相关数据的⼀种模型.
2.2 关键代码
- UserController
搭建授权中心
2.1 搭建授权中⼼⼯程
1. pom.xml
<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<parent>
<artifactId>t31-parent</artifactId>
<groupId>com.kaikeba</groupId>
<version>1.0-SNAPSHOT</version>
</parent>
<modelVersion>4.0.0</modelVersion>
<artifactId>t31-auth-center</artifactId>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId> <scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-openfeign</artifactId> </dependency>
<!--SpringCloud ailibaba nacos -->
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-nacos- discovery
</artifactId>
</dependency>
<!--nacos-config-->
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-nacos- config</artifactId>
</dependency> <!--SpringCloud ailibaba sentinel -->
<dependency>
<groupId>com.alibaba.cloud</groupId>
<artifactId>spring-cloud-starter-alibaba-sentinel</artifactId> </dependency>
<!--oauth2-->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.46</version>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>com.kaikeba</groupId>
<artifactId>t31-admin-instance</artifactId>
<version>${project.version}</version>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-resources-plugin</artifactId>
<configuration>
<nonFilteredFileExtensions>
<nonFilteredFileExtension>jks</nonFilteredFileExtension>
</nonFilteredFileExtensions>
</configuration>
</plugin>
</plugins>
</build>
</project>
2. 配置
application.yml
spring:
application:
name: auth-center
profiles:
active: dev
- bootstrap.yml
spring:
cloud:
nacos:
config:
server-addr: localhost:8848
file-extension: yaml
extension-configs[0]:
data-id: common.yaml
refresh: true
extension-configs[1]:
data-id: db.yaml
refresh: true
# 多个接⼝上的@FeignClient(“相同服务名”)会报错,overriding is disabled。
# 设置 为true ,即 允许 同名
main:
allow-bean-definition-overriding: true
拷⻉之前⽣成的密钥对⽂件kaikeba.jks
package com.kaikeba.t31.auth;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.jdbc.DataSourceAutoConfiguration;
import org.springframework.cloud.client.circuitbreaker.EnableCircuitBreaker;
import org.springframework.cloud.client.discovery.EnableDiscoveryClient;
import org.springframework.cloud.openfeign.EnableFeignClients;
import org.springframework.security.oauth2.config.annotation.web.configuration.En ableResourceServer;
@SpringBootApplication
@EnableDiscoveryClient
@EnableFeignClients
@EnableCircuitBreaker
public class AuthApplication {
public static void main(String[] args) {
SpringApplication.run(AuthApplication.class, args);
}
}