JWT 实现微服务鉴权

最新推荐文章于 2024-04-26 17:46:11 发布
最新推荐文章于 2024-04-26 17:46:11 发布
阅读量546 收藏 1
点赞数
分类专栏: 加密 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45588345/article/details/106601833
版权

什么是微服务鉴权:
判断用户是否有权限进行微服务的访问,微服务的鉴权比较适合在网关中进行权限的校验
去111
我们可以采用 JWT的方式来实现鉴权校验
JWT
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名
1.头部(Header):
头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象 如:
{“typ”:“JWT”,“alg”:“HS256”} 在头部指明了签名算法是HS256算法。 我们进行BASE64编码http://base64.xpcha.com/,编码后的字符串如下:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
2.载荷(playload)
载荷就是存放有效信息的地方。
定义一个payload:
{“sub”:“1234567890”,“name”:“John Doe”,“admin”:true}
然后将其进行base64加密,得到Jwt的第二部分: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
3.签证(signature)
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
header (base64后的)
payload (base64后的)
secret
这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分:TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
将这三部分用.连接成一个完整的字符串,构成了最终的jwt:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

JJWT 签发与验证token
JWT令牌生成步骤:
1.导入对应的坐标

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

2.创建测试类,代码如下:

package com.sq.Demo;

import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;

public class Demo1_JWT {
    public static void main(String[] args) {
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId("888") //设置唯一编号
                .setSubject("小白")   //设置主题,可以是JSON数据
                .setIssuedAt(new Date())//设置签发日期
                .signWith(SignatureAlgorithm.HS256, "abcd");//设置签名,使用HS256算法,地二个参数为密钥,暂时设置为abcd

        String jwtToken = jwtBuilder.compact(); //生成jwt令牌
        System.out.println(jwtToken);
        //输出结果为:eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1OTE1MTY5OTF9.HyEkdq18Jca65jrs0f3BYBYafgLG9goJy7mPT9FKr-4
    }
}

解析token
我们刚才已经创建了 token ,在web应用中这个操作是由服务端进行然后发给客户端,客
户端在下次向服务端发送请求时需要携带这个token(这就好像是拿着一张门票一样),
那服务端接到这个token 应该解析出token中的信息(例如用户id),根据这些信息查询数
据库返回相应的结果。

package com.sq.Demo; 

import io.jsonwebtoken.*;
import java.util.Date;

public class Demo1_JWT {
    public static void main(String[] args) {
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId("888") //设置唯一编号
                .setSubject("小白")   //设置主题,可以是JSON数据
                .setIssuedAt(new Date())//设置签发日期
                .signWith(SignatureAlgorithm.HS256, "abcd");//设置签名,使用HS256算法,地二个参数为密钥,暂时设置为abcd

        String jwtToken = jwtBuilder.compact(); //生成jwt令牌
        System.out.println(jwtToken);
        //输出结果为:eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1OTE1MTY5OTF9.HyEkdq18Jca65jrs0f3BYBYafgLG9goJy7mPT9FKr-4

        
        
       /* .setSigningKey("abcd") 设置签名密钥,必须要和生成的密钥一致
        .parseClaimsJws(jwtToken) 对jwt进行解析
        .getBody();//获取jwt令牌里内容*/
        Claims abcd = Jwts.parser().setSigningKey("abcd").parseClaimsJws(jwtToken).getBody();
        System.out.println(abcd);
        //输出结果为:{jti=888, sub=小白, iat=1591517491}
    }
}

试着将token或签名秘钥篡改一下,会发现运行时就会报错,所以解析token也就是验证token

设置过期时间
有很多时候,我们并不希望签发的token是永久生效的,所以我们可以为token添加一个过期时间
1.创建token 并设置过期时间

package com.sq.Demo;

import io.jsonwebtoken.*;

import java.util.Date;

public class Demo1_JWT {
    public static void main(String[] args) {

        long timeMillis = System.currentTimeMillis();
        timeMillis += 1800000L;
        Date date = new Date(timeMillis);

        JwtBuilder jwtBuilder = Jwts.builder()
                .setId("888") //设置唯一编号
                .setSubject("小白")   //设置主题,可以是JSON数据
                .setIssuedAt(new Date())//设置签发日期
                .setExpiration(date) //设置令牌30分钟后过期
                .signWith(SignatureAlgorithm.HS256, "abcd");//设置签名,使用HS256算法,地二个参数为密钥,暂时设置为abcd

        String jwtToken = jwtBuilder.compact(); //生成jwt令牌
        System.out.println(jwtToken);
        //输出结果为:eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1OTE1MTgyOTEsImV4cCI6MTU5MTUyMDA5MX0.sVg00VgEN21f7r40fu7ODc1dRUAHxSGOP_EJmiTYi8o



       /* .setSigningKey("abcd") 设置签名密钥,必须要和生成的密钥一致
        .parseClaimsJws(jwtToken) 对jwt进行解析
        .getBody();//获取jwt令牌里内容*/
        Claims abcd = Jwts.parser().setSigningKey("abcd").parseClaimsJws(jwtToken).getBody();
        System.out.println(abcd);
        //输出结果为:{jti=888, sub=小白, iat=1591518291, exp=1591520091}
    }
}

自定义claims
我们刚才的例子只是存储了id和subject两个信息,如果你想存储更多的信息(例如角色)可以定义自定义claims。创建测试类,并设置测试方法:

package com.sq.Demo;

import io.jsonwebtoken.*;

import java.util.Date;

public class Demo1_JWT {
    public static void main(String[] args) {

        long timeMillis = System.currentTimeMillis();
        timeMillis += 1800000L;
        Date date = new Date(timeMillis);

        JwtBuilder jwtBuilder = Jwts.builder()
                .setId("888") //设置唯一编号
                .setSubject("小白")   //设置主题,可以是JSON数据
                .setIssuedAt(new Date())//设置签发日期
                .setExpiration(date) //设置令牌30分钟后过期
                .claim("湖南", "长沙")      //.claim 方法可以自定义往JWT令牌里面设置自定义的内容
                .claim("湖北", "武汉")
                .signWith(SignatureAlgorithm.HS256, "abcd");//设置签名,使用HS256算法,地二个参数为密钥,暂时设置为abcd

        String jwtToken = jwtBuilder.compact(); //生成jwt令牌
        System.out.println(jwtToken);
        //输出结果为:eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiLlsI_nmb0iLCJpYXQiOjE1OTE1MTg3MTksImV4cCI6MTU5MTUyMDUxOCwi5rmW5Y2XIjoi6ZW_5rKZIiwi5rmW5YyXIjoi5q2m5rGJIn0.5GNAJFD56g3x4pgX-mxPWZZWnp7wzbh2AyAFII25eh4



       /* .setSigningKey("abcd") 设置签名密钥,必须要和生成的密钥一致
        .parseClaimsJws(jwtToken) 对jwt进行解析
        .getBody();//获取jwt令牌里内容*/
        Claims abcd = Jwts.parser().setSigningKey("abcd").parseClaimsJws(jwtToken).getBody();
        System.out.println(abcd);
        //输出结果为:{jti=888, sub=小白, iat=1591518719, exp=1591520518, 湖南=长沙, 湖北=武汉}
    }
}

玩jwt令牌里面设置自定义内容后可以发现jwt令牌的长度相比之前的要长

将jwt令牌鉴权集成到微服务中
在这里插入图片描述

1.  用户进入网关开始登陆,网关过滤器进行判断,如果是登录,则路由到后台管理微服务进
行登录
2. 用户登录成功,后台管理微服务签发JWT TOKEN信息返回给用户
3. 用户再次进入网关开始访问,网关过滤器接收用户携带的TOKEN 
4. 网关过滤器解析TOKEN ,判断是否有权限,如果有,则放行,如果没有则返回未认证错误

不知名帅哥
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
怎么实现微服务鉴权JWT
weixin_55542845的博客
02-17 978
怎么实现微服务鉴权
微服务中的鉴权怎么做?
最新发布
一个成长中的程序员,期待用技术的眼光生活
05-16 615
一文讲透如何做微服务鉴权
一文全面介绍JWT框架知识
m0_73311735的博客
11-27 2503
复制代码每次调用claim时,它只是将键-值对附加到内部的Claims实例,可能会覆盖任何现有的同名键/值对。显然,您不需要为任何标准的claim名称调用claim,建议相反调用标准的setter方法,这样可以增强可读性。
Java中间件-JWT
m0_68006260的博客
05-24 1697
一、简介 1、JWT JWT为Json Web Token,是一种令牌生成算法。使用JWT能够保证Token的安全性,且能够进行Token时效性的检验。 2、JWT结构 JWT共由三部分组成,分别是数据头(Header)、Payload(数据体)、验证签名(Verify Signature)组成。其中,Header中的内容为加密信息以及Token的类别,Payload为用户数据、Verify Signature为校验数据。 二、依赖 JWT需要两个依赖java-jwt、jjwt &l.
Jwt 报错 : Cannot resolve method ‘parseClaimsJws‘ in ‘JwtParserBuilder‘
weixin_61899890的博客
04-26 682
这里也提到了或者把jdk改成1.8 我这边用的是17 然后我这边去查了一下官网 最新版的要这样写就不会报错。值得注意的是这里传进来的token是去除了头部Bearer 这个字段和空格的 不然会报错。网上说因为你用的是最新的0.12.5的版本所以你可以降低一下版本。
token系列2—解析(解码)及实际应用
yzw3270978316的博客
03-31 3946
Jwt系列2-解析及应用
JWT SpingBoot原理
我亦无他,唯手熟尔
04-06 179
SpringBoot的自动配置就是当Spring容器启动后,一些配置类、bean对象就自动存入到了IOC容器中,不需要我们手动去声明,从而简化了开发,省去了繁琐的配置操作。比如:我们要进行事务管理、要进行AOP程序的开发,此时就不需要我们再去手动的声明这些bean对象了,我们直接使用就可以从而大大的简化程序的开发,省去了繁琐的配置操作。下面我们打开idea,一起来看下自动配置的效果:运行SpringBoot启动类。
JWT渗透姿势一篇通
2401_84253089的博客
04-12 636
JWT的Header中alg的值用于告诉服务器使用哪种算法对令牌进行签名,从而告诉服务器在验证签名时需要使用哪种算法,目前可以选择HS256,即HMAC和SHA256,JWT同时也支持将算法设定为"None",如果"alg"字段设为"None",则标识不签名,这样一来任何token都是有效的,设定该功能的最初目的是为了方便调试,但是若不在生产环境中关闭该功能,攻击者可以通过将alg字段设置为"None"来伪造他们想要的任何token,接着便可以使用伪造的token冒充任意用户登陆网站。
JWT登录认证
qq_45709416的博客
08-06 299
WebMvcConfigurer配置类其实是Spring内部的一种配置方式,采用JavaBean的形式来代替传统的xml配置文件形式进行针对框架个性化定制,可以自定义一些Handler,Interceptor,ViewResolver,MessageConverter。如果您使用的是带有 JWS 签名的 JWT,则必须使用 parseClaimsJws 方法才能正确解析 JWT 并验证签名。如果使用的是未签名的 JWT,则可以使用 parseClaimsJwt 方法;
前后端分离之JWT用户认证
热门推荐
kevin_lcq的博客
07-08 3万+
在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时它就把刚刚的资料忘了。于是我们的程序就不知道谁是谁,就要再验证一次。所以为了保证系统安全,我们就需要验证用户否处于登录状态。
JAVA——JWT帮助类(生成token字符串,获取token其中的内容)
鹏举的博客
05-13 1337
JWT帮助类 主要用来协助生成token,解析token字符串 /** * Jwt帮助类 */ public class JwtHelper { //过期时间 private static long tokenExpiration = 24*60*60*1000; //签名秘钥 private static String tokenSignKey = "123456"; //根据参数生成token public static String cre
微服务JWT的介绍与使用
xuewenyu_的博客
01-22 1496
​ RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,“由已知加密密钥推导出解密密钥在计算上是不可逆的”密码体制。​ 在公开密钥密码体制中,加密密钥(即公开密钥)PK是公开信息,而解密密钥(即秘密密钥)SK是需要保密的。加密算法E和解密算法D也都是公开的。虽然解密密钥SK是由公开密钥PK决定的,但却不能根据PK计算出SK [2]。​ RSA加密:非对称加密。​ 同时生产一对秘钥:公钥和私钥。​ 公钥秘钥:用于加密​ 私钥秘钥:用于解密。
基于Spring Boot 3与JWT构建现代化登录认证机制
Yaml4的博客
03-26 865
Spring Boot 3 整合 JWT(JSON Web Tokens)用于登录开发涉及多个步骤。JWT 是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。这些信息可以被验证和信任,因为它们是数字签名的。
微服务学习系列四:JWT单点登录
yangyanping20108的博客
03-03 495
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密
Token认证之Jwts原理及使用
piaolaoshi的博客
03-18 9493
Jwts的原理及具体使用方式
JWT解密Token报错解决
李家小二
04-24 3024
JWT SignatureException
微服务鉴权:gateway使用、网关限流使用、用户密码加密、JWT鉴权
独行侠梦的博客
05-24 1655
目标掌握微服务网关Gateway的系统搭建掌握网关限流的实现能够使用BCrypt实现对密码的加密与验证了解加密算法能够使用JWT实现微服务鉴权1.微服务网关Gateway1.1 微服务网关概述不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题:客户端会多次请求不同的微服务,增加了客户端的复杂性存在跨域请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值