JWT+RSA鉴权

已于 2024-04-07 13:51:37 修改
阅读量253 收藏 2
点赞数
文章标签: java
于 2022-03-20 17:41:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50195609/article/details/123616193
版权

目录

1、JWT

1.1 JWT简介

1.2 JWT数据格式  

2、 登录和鉴权流程:JWT+HS256算法

3、RSA非对称加密

  4、 登录和鉴权流程:JWT+RSA

4.1 RSA工具类

4.2 JWT工具类

1、JWT

1.1 JWT简介

JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:JSON Web Tokens - jwt.io (JWT,生成Token加密字符串的一个标准或格式!)

GitHub上jwt的java客户端:https://github.com/jwtk/jjwt

1.2 JWT数据格式  

JWT包含三部分数据:

  • Header:头部,通常头部有两部分信息:

    • 声明类型,这里是JWT

    • 签名算法,自定义

    我们会对头部进行base64编码,得到第一部分数据

    如图所示:头部是不具备安全性的。

    Payload:载荷,就是有效数据,一般包含下面信息:

  • 用户身份信息(注意,这里因为采用base64加密,可解密,因此不要存放敏感信息)

  • tokenID:当前这个JWT的唯一标示

  • 注册声明:如token的签发时间,过期时间,签发人等

  • 这部分也会采用base64加密,得到第二部分数据

    如图所示:载荷也不具备安全性。

  • Signature:签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的的密钥(secret)(不要泄漏,最好周期性更换),通过加密算法生成。用于验证整个数据完整和可靠性

2、 登录和鉴权流程:JWT+HS256算法

3、RSA非对称加密

  • 对称加密,如AES

    • 基本原理:将明文分成N个组,然后使用密钥对各个组进行加密,形成各自的密文,最后把所有的分组密文进行合并,形成最终的密文。

    • 优势:算法公开、计算量小、加密速度快、加密效率高

    • 缺陷:双方都使用同样密钥,安全性得不到保证

  • 非对称加密,如RSA

    • 基本原理:同时生成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端

    • 私钥加密,持有私钥或公钥才可以解密

    • 公钥加密,持有私钥才可解密

    • 优点:安全,难以破解

    • 缺点:算法比较耗时

不可逆加密,如MD5,SHA,HS加密

  • 基本原理:加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,无法根据密文推算出明文。

  4、 登录和鉴权流程:JWT+RSA

有了非对称加密,我们就可以改变签名和验签的方式了:

  • 生成RSA密钥对,私钥存放在授权中心,公钥下发给微服务

  • 在授权中心利用私钥对JWT签名

  • 在微服务利用公钥验证签名有效性

因为非对称加密的特性,不用担心公钥泄漏问题,因为公钥是无法伪造签名的,但要确保私钥的安全和隐秘

非对称加密后的授权和鉴权流程:

4.1 RSA工具类

public class RsaUtils {

    private static final int DEFAULT_KEY_SIZE = 2048;
    /**
     * 从文件中读取公钥
     *
     * @param filename 公钥保存路径,相对于classpath
     * @return 公钥对象
     * @throws Exception
     */
    public static PublicKey getPublicKey(String filename) throws Exception {
        byte[] bytes = readFile(filename);
        return getPublicKey(bytes);
    }

    /**
     * 从文件中读取密钥
     *
     * @param filename 私钥保存路径,相对于classpath
     * @return 私钥对象
     * @throws Exception
     */
    public static PrivateKey getPrivateKey(String filename) throws Exception {
        byte[] bytes = readFile(filename);
        return getPrivateKey(bytes);
    }

    /**
     * 获取公钥
     *
     * @param bytes 公钥的字节形式
     * @return
     * @throws Exception
     */
    private static PublicKey getPublicKey(byte[] bytes) throws Exception {
        bytes = Base64.getDecoder().decode(bytes);
        X509EncodedKeySpec spec = new X509EncodedKeySpec(bytes);
        KeyFactory factory = KeyFactory.getInstance("RSA");
        return factory.generatePublic(spec);
    }

    /**
     * 获取密钥
     *
     * @param bytes 私钥的字节形式
     * @return
     * @throws Exception
     */
    private static PrivateKey getPrivateKey(byte[] bytes) throws NoSuchAlgorithmException, InvalidKeySpecException {
        bytes = Base64.getDecoder().decode(bytes);
        PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(bytes);
        KeyFactory factory = KeyFactory.getInstance("RSA");
        return factory.generatePrivate(spec);
    }

    /**
     * 根据密文,生存rsa公钥和私钥,并写入指定文件
     *
     * @param publicKeyFilename  公钥文件路径
     * @param privateKeyFilename 私钥文件路径
     * @param secret             生成密钥的密文
     */
    public static void generateKey(String publicKeyFilename, String privateKeyFilename, String secret, int keySize) throws Exception {
        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
        SecureRandom secureRandom = new SecureRandom(secret.getBytes());
        keyPairGenerator.initialize(Math.max(keySize, DEFAULT_KEY_SIZE), secureRandom);
        KeyPair keyPair = keyPairGenerator.genKeyPair();
        // 获取公钥并写出
        byte[] publicKeyBytes = keyPair.getPublic().getEncoded();
        publicKeyBytes = Base64.getEncoder().encode(publicKeyBytes);
        writeFile(publicKeyFilename, publicKeyBytes);
        // 获取私钥并写出
        byte[] privateKeyBytes = keyPair.getPrivate().getEncoded();
        privateKeyBytes = Base64.getEncoder().encode(privateKeyBytes);
        writeFile(privateKeyFilename, privateKeyBytes);
    }

    private static byte[] readFile(String fileName) throws Exception {
        return Files.readAllBytes(new File(fileName).toPath());
    }

    private static void writeFile(String destPath, byte[] bytes) throws IOException {
        File dest = new File(destPath);
        if (!dest.exists()) {
            dest.createNewFile();
        }
        Files.write(dest.toPath(), bytes);
    }
}

4.2 JWT工具类

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.10.5</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.10.5</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.10.5</version>
    <scope>runtime</scope>
</dependency>

JWT中,会保存载荷数据,我们计划存储3部分:

  • id:jwt的id

  • 用户信息:用户数据,不确定,可以是任意类型

  • 过期时间:Date

为了方便后期获取,我们定义一个类来封装

@Data
public class Payload<T> {
    private String id;
    private T info;
    private Date expiration;
}

封装用户信息类:UserInfo

@Data
@AllArgsConstructor
@NoArgsConstructor
public class UserInfo {
    private Long id;//用户ID
    private String username;//用户名称
    private String role;//用户角色
}

JWT工具

public class JwtUtils {

    private static final String JWT_PAYLOAD_USER_KEY = "user";

    /**
     * 私钥加密token
     *
     * @param info   载荷中的数据
     * @param privateKey 私钥
     * @param expire     过期时间,单位分钟
     * @return JWT
     */
    public static String generateTokenExpireInMinutes(Object info, PrivateKey privateKey, int expire) {
        return Jwts.builder()
                //claim: 往Jwt的载荷存入数据
                .claim(JWT_PAYLOAD_USER_KEY, JsonUtils.toString(info))
                //往Jwt的载荷存入数据,设置固定id的key
                .setId(createJTI())
                //往Jwt的载荷存入数据,设置固定exp的key
                .setExpiration(DateTime.now().plusMinutes(expire).toDate())
                //设置token的签名
                .signWith(privateKey, SignatureAlgorithm.RS256)
                .compact();
    }

    /**
     * 私钥加密token
     *
     * @param info   载荷中的数据
     * @param privateKey 私钥
     * @param expire     过期时间,单位秒
     * @return JWT
     */
    public static String generateTokenExpireInSeconds(Object info, PrivateKey privateKey, int expire) {
        return Jwts.builder()
                .claim(JWT_PAYLOAD_USER_KEY, JsonUtils.toString(info))
                .setId(createJTI())
                .setExpiration(DateTime.now().plusSeconds(expire).toDate())
                .signWith(privateKey, SignatureAlgorithm.RS256)
                .compact();
    }

    /**
     * 公钥解析token
     *
     * @param token     用户请求中的token
     * @param publicKey 公钥
     * @return Jws<Claims>
     */
    private static Jws<Claims> parserToken(String token, PublicKey publicKey) {
        return Jwts.parser().setSigningKey(publicKey).parseClaimsJws(token);
    }

    private static String createJTI() {
        return new String(Base64.getEncoder().encode(UUID.randomUUID().toString().getBytes()));
    }

    /**
     * 获取token中的用户信息
     *
     * @param token     用户请求中的令牌
     * @param publicKey 公钥
     * @return 用户信息
     */
    public static <T> Payload<T> getInfoFromToken(String token, PublicKey publicKey, Class<T> userType) {
        Jws<Claims> claimsJws = parserToken(token, publicKey);
        Claims body = claimsJws.getBody();
        Payload<T> claims = new Payload<>();
        claims.setId(body.getId());
        claims.setInfo(JsonUtils.toBean(body.get(JWT_PAYLOAD_USER_KEY).toString(), userType));
        claims.setExpiration(body.getExpiration());
        return claims;
    }

    /**
     * 获取token中的载荷信息
     *
     * @param token     用户请求中的令牌
     * @param publicKey 公钥
     * @return 用户信息
     */
    public static <T> Payload<T> getInfoFromToken(String token, PublicKey publicKey) {
        Jws<Claims> claimsJws = parserToken(token, publicKey);
        Claims body = claimsJws.getBody();
        Payload<T> claims = new Payload<>();
        claims.setId(body.getId());
        claims.setExpiration(body.getExpiration());
        return claims;
    }
}

weixin_50195609
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT+RSA 登录 注销 续租 请求 流程图 + 代码
10-28
在这个场景中,JWT+RSA通常用于构建安全的登录、注销、续租(刷新令牌)和请求流程。以下是这些概念的详细解释: 1. JWT(JSON Web Tokens): - JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。...
新版前后端接口安全技术JWT+RSA加密
06-18
- 老版本只使用jwt进行加密的弊端? ? ? ? ? ? ?- 授权中心的授权流程? ? ? ? ? ? ?- 如何整合网关组件实现jwt安全验证? ? ? ? ? ? ?- 理解什么是公钥什么是私钥 ? ? ?- 深刻理解授权流程什么是有状态? 有状态服务,...
JWT 介绍和使用,对称加密,非对称加密,RSA, Tocken
weixin_44917365的博客
04-06 1745
有状态登录:服务器当中记录每一次的登录信息,从而根据客户端发送的数据来判断登录过来的用户是否合法。无状态登录:服务器当中不记录用户的登录信息,而是将登录成功后的合法用户信息以token方式保存到客户端当中,用户每次请求都携带token信息。
JWT签名算法
weixin_30745641的博客
08-17 1732
JWT签名算法 JWT签名算法中,一般有两个选择,一个采用HS256,另外一个就是采用RS256。 签名实际上是一个加密的过程,生成一段标识(也是JWT的一部分)作为接收方验证信息是否被篡改的依据。 RS256 (采用SHA-256 的 RSA 签名) 是一种非对称算法, 它使用公共/私钥对: 标识提供方采用私钥生成签名, JWT 的使用方获取公钥以验证签名。由于公钥 (与私钥...
JWT整合Gateway实现鉴权(RSA与公私密钥工具类)
最新发布
qq_52351978的博客
06-19 1312
Component@Slf4j@Autowired@Autowired//核心过滤器方法@Override//设置白名单,白名单里面的请求路径,直接放行//判断path是否以allowPath开头//放行//1.获取请求中的tokenif (cookie!=null){try {//2.解析token//3.放行=null){//如果出现异常,设置异常状态//过滤器执行顺序@Override。
无状态认证 JWT+RSA鉴权
weixin_45262834的博客
03-17 829
JWT+RSA鉴权使用场景一, 有状态认证及无状态认证的区别有状态认证:无状态认证:二、JWT什么是jwtJWT格式的三部分数据:三、RSA加密算法(1)JWT+HS256算法:jwt + RSA非对称加密登录和鉴权流程:总结: 使用场景 当我们将网站部署在多台服务器时 ,使用传统的登录认证(有状态认证),当我们在A服务器 记录登录信息,但访问另一台服务器时,反而需要重新授权,引出了cookie的共享的问题。 一, 有状态认证及无状态认证的区别 有状态认证: 有状态认证,服务端需要记录每次会话的客户端
jwt+rsa鉴权中心,及cookie写入问题(遇到的坑)
qq_42338293的博客
05-30 411
无状态登陆原理 首先说一下有状态: 有状态服务,就是服务每次会话都会记录客户端的信息,从而识别客户端身份,更具用户身份进行请求得处理,比如tomcat中的session 缺点: 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法水平扩展,(比如其他机器上的服务不会知道别台机器上的session) 客户端请求依赖服务端,多次请求必须访问同一台服务器 无状态: 微服务集群中每个服务对外提供的都是restful风格的接口,二rest风格最重要的规范就是无状态。 服务端不保存任何客
JWT+RSA无状态鉴权基本原理与使用
沙滩上的拖鞋
02-26 7351
JWT+RSA无状态鉴权基本原理与使用1.无状态登录原理1.1 什么是无状态?2 JWT2.1简介2.2数据格式2.3JWT交互流程2.4.非对称加密3 使用3.1使用JWT 1.无状态登录原理 1.1 什么是无状态? 1.1.1有状态服务:即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们...
leyou商城day12 JWT+RSA用户权鉴
gugugubird的博客
08-18 796
JWT+RSA用户权鉴
无状态单点登录方案--jwt+rsa
LC的博客
01-11 3249
无状态单点登录方案–jwt+rsa思路: jwt(token格式)+RSA(非对称对token进行加密)+rsa(生成公、私钥;私钥加密,公钥解密) 分布式认证流程分为两种: 有状态登录:服务器需要存储token 无状态登录:服务器不用存储token #无状态登录的流程: 当客户端第一次请求服务时,服务端对用户进行信息认证(登录) 认证通过,将用户信息进行加密形成token,返回给客户端,作为登录凭证 以后每次请求,客户端都携带认证的token 服务的对token进行解密,判断是否有效。 流程图: 整
JWT+RSA 无状态SSO原理
worn_xiao的博客
10-11 699
1.1.有状态登陆 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展 客户端请求依赖服务端,多次请求必须访问
Java单点登录基础实现(jwt+rsa
xiaozhuzhuyang的博客
06-10 5011
分布式单点登录 介绍: 单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 登录方式的分类: 按用户状态分: 有状态登录 服务器需要保存用户的信息,登录成功后将用户存在session中,通过cookie保存Jsessionid,下次访问携带id,获得服务器中的用户信息。 问题:session只能保存再一个服务器中,其他服务访问需要再次登录。 无状态登录 将信息保存到客户端(使
springboot+security+mybatis+redis+jwt鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
springboot + jwt + websocket + 拦截
09-02
在IT行业中,Spring Boot、JWT(JSON Web Token)和WebSocket是三个非常重要的技术概念,而“拦截”通常指的是在系统中实现的一种中间件机制,用于处理请求或响应。结合提供的标题和描述,我们可以深入探讨这四个...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
在本项目中,我们主要探讨的是如何利用Spring Boot、Spring Security、JWT(JSON Web Tokens)、MyBatis-Plus以及MySQL数据库来构建一个完整的权限管理系统。下面将详细解析这些技术及其在项目中的应用。 1. Spring...
springboot+mybatis-plus+jwt+redis的简易后端框架
04-10
一个简单的后端框架,实现步骤可以根据文章 ...2.springboot+JWT+redis实现token身份令牌验证(附代码)(超详细) https://blog.csdn.net/pengpm/article/details/124077041?spm=1001.2014.3001.5501
Shiro + Java-JWT无状态鉴权认证机制
07-30
《Shiro + Java-JWT无状态鉴权认证机制在SpringBoot环境中的应用》 在现代Web应用程序中,安全性和权限管理是至关重要的组成部分。本文将深入探讨如何在SpringBoot项目中结合Apache Shiro和Java JSON Web Tokens ...
springboot+springseurity+jwt进行登录鉴权
08-03
Spring Boot是一个基于Spring框架的快速开发的工具,它简化了Spring应用程序的配置和部署。 Spring Security是一个用于身份验证和授权的强大框架,它提供了一种灵活的方式来保护应用程序的安全性。 JWT(JSON Web Token)是一种用于安全传输信息的开放标准,它使用JSON对象进行安全传输。它是一种无状态的鉴权方式,服务器不需要存储用户的状态信息。 在使用Spring Boot和Spring Security进行登录鉴权时,可以借助JWT来进行身份验证。 首先,需要配置Spring Security来处理用户的登录请求和验证。可以使用Spring Security提供的身份验证过滤器来进行用户名和密码的验证。验证成功后,可以生成一个JWT,并返回给客户端。 在客户端接收到JWT后,将其存储在本地(通常是在前端的Cookie或LocalStorage中)。在进行后续的请求时,需要将JWT作为请求的头部信息中的Authorization字段发送给服务器。 服务器在接收到请求时,会先验证JWT的合法性,验证通过后可以根据JWT中的信息来进行后续的鉴权操作。 可以在服务器端配置一个自定义的JWT过滤器,用于验证JWT的合法性,并根据JWT中的信息来进行鉴权操作。可以根据需要从JWT中解析出用户的角色和权限信息,并根据这些信息来进行接口的访问控制。 通过以上的配置,可以实现基于Spring Boot、Spring Security和JWT的登录鉴权机制。这样可以保证系统的安全性,同时也能提高开发效率和灵活性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值