JwtAccessTokenConverter SigningKey 设置每个clientID都不一样 jwt 权限

已于 2024-06-18 12:15:55 修改
阅读量195 收藏
点赞数 1
文章标签: spring cloud mybatis spring boot
于 2024-06-18 12:15:11 首次发布
本文链接:https://blog.csdn.net/weixin_53618802/article/details/139769364
版权

        在开发中各种需求都能遇见,我司的系统权限控制的比较糙(只有菜单权限没有接口权限,潜在的风险,随时都能出现越权的查询),这块咱也是接过来的锅,只能在上面堆。。

        只要在auth服务获取token后就可以访问系统中所有的资源,现在我司让将token隔离开,就是PC的token只能访问PC的资源,APP只能访问APP的资源。之前可虑过在网关上显示限制访问的权限,但是感觉不够优雅,所以尝试扩展JwtAccessTokenConverter来解决上面的业务需求。这种扩展只能用于在网关拦截器中做权限的系统,这样的话子系统是不存在携带token远程调用的。我司的系统是每个子系统在做权限验证所以不适合这种扩展。

1.用于存储signingKey

public class ClientKeyStore implements Serializable {
    private static final Map<String, String> clientKeys = new HashMap<>();

    static {
        clientKeys.put("client", "Anh4V1dDRCM0QUQ2ZiZlcXo=");
        clientKeys.put("mobile", "YXBwLWhlYWx0aC0yMDI0LTA2MTg=");
        // 添加其他客户端和它们的密钥
    }

    public static String getKey(String clientId) {
        return clientKeys.get(clientId);
    }

}

2.用于 signingKey 的适配

public class CustomJwtAccessTokenConverter extends JwtAccessTokenConverter {
    @Override
    protected String encode(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        String clientId = authentication.getOAuth2Request().getClientId();
        String signingKey = ClientKeyStore.getKey(clientId);

        if (signingKey != null) {
            this.setSigningKey(signingKey);
        }

        return super.encode(accessToken, authentication);
    }

    @Override
    protected Map<String, Object> decode(String token) {
        String clientId = extractClientId(token);
        String signingKey = ClientKeyStore.getKey(clientId);

        if (signingKey != null) {
            this.setSigningKey(signingKey);
        }

        return super.decode(token);
    }

    private String extractClientId(String token) {
        // 从 token 中提取 clientId 的逻辑
        // 这可以根据你的 token 的具体结构来实现
        Map<String, Object> decode = super.decode(token);
        return (String) decode.get("client_id");
    }
}

@Bean
public JwtAccessTokenConverter accessTokenConverter() {
    CustomJwtAccessTokenConverter converter = new CustomJwtAccessTokenConverter();
    return converter;
}

李大胖、
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
jwt实现oauth2.0 java_SpringBoot 整合 oauth2(五)实现 jwt 及 扩展
weixin_34175919的博客
02-17 363
什么是jwt,即 json web tokenJWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。也是一种token,但是和token有一些不同。jwt优点:自包含防篡改可自定义扩展JWT的结构JWT包含了使用.分割的三部分:Header 头部Payload 负载Signature 签名比如:eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0M...
java jwt实战,详解Spring Boot实战之Filter实现使用JWT进行接口认证
weixin_33040687的博客
03-11 485
本文介绍了spring Boot实战之Filter实现使用JWT进行接口认证,分享给大家jwt(json web token)用户发送按照约定,向服务端发送 Header、Payload 和 Signature,并包含认证信息(密码),验证通过后服务端返回一个token,之后用户使用该token作为登录凭证,适合于移动端和apijwt使用流程本文示例接上面几篇文章中的代码进行编写,请阅读本文的同时...
JWT改造统一认证授权中心的令牌存储机制
凉茶铺的博客
09-01 824
通过上边的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能。解决上边问题: 令牌采用JWT格式即可解决上边的问题,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信 息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证 服务完成授权。...
SpringCloud(六) 微服务安全实战 JWT认证
xy294636185的博客
05-24 556
前后端分离的微服务间安全通讯: 之前的认证方式存在三个问题: 1.效率低,每次认证都需要去认证服务器去调用认证服务 2.不安全,传递用户身份是通过在请求头中通过明文传递 3.服务间传递信息比较麻烦,需要在请求头中存储用户信息才能处理 以上问题解决方案就需要使用JWTJWT(Java Web Token): code: 在auth服务器中修改 /** * @author aric * @create 2021-04-06-10:54 ...
Using JWT with Spring Security OAuth
zhao1949的专栏
03-29 2531
http://www.baeldung.com/spring-security-oauth-jwt **************************************************** 1. Overview In this tutorial we’ll discuss how to get our Spring Security OAuth2 implement
使用JWT作为Spring Security OAuth2的token存储
拾级而上
12-15 478
Spring Security OAuth2的demo在前几篇文章中已经讲过了,在那些模式中使用的都是RemoteTokenService调用授权服务器来校验token,返回校验通过的用户信息供上下文中获取 这种方式会加重授权服务器的负载,你想啊,当用户没授权时候获取token得找授权服务器,有token了访问资源服务器还要访问授权服务器,相当于说每次请求都要访问授权服务器,这样对授...
OAuth2+JWT认证
qq_28326501的博客
06-22 683
一:OAuth2认证 思路: 【1】:服务创建及pom文件
spring cloud oauth2 jwt 使用说明
weixin_43931625的博客
02-06 2794
spring cloud oauth2 jwt 使用说明 ************************* jwt签名、验签相关类及接口 JwtAccessTokenConvertertoken转换类 public class JwtAccessTokenConverter implements TokenEnhancer, AccessTokenConverter, I...
OAuth2与 JWT 做认证授权服务(四)
weixin_44400390的博客
07-31 866
OAuth2与 JWT 做认证授权服务 为了保证服务对外的安全性,往往都会在服务接口采用权限校验机制,为了防止客户端在发起请求中途被篡改数据等安全方面的考虑,还会有一些签名校验的机制。 在分布式微服务架构的系统中,我们把原本复杂的系统业务拆分成了若干个独立的微服务应用,我们不得不在每个微服务中都实现这样一套校验逻辑,这样就会有很多的代码和功能冗余,随着服务的扩大和业务需求的复杂度不断变化,修改校验...
spring boot整合jwt:filter实现jwt进行接口认证
qq_41644069的博客
11-28 4540
本文为代码实现,关于jwt的原理请看这篇文章。 jwt的使用流程: ①用户使用账号和面发出post请求;②服务器使用私钥创建一个jwt;③服务器返回这个jwt给浏览器;④浏览器将该jwt串在请求头中像服务器发送请求;⑤服务器验证该jwt;⑥返回响应的资源给浏览器。 1.pom.xml <dependency> <groupId>org.springframework.boot</groupId> .
使用Spring Security OAuth2使用JWT生成token及自定义token携带的信息(十)
FAIRYTAIL的博客
08-31 6240
自定义token携带信息很简单,主要步骤就是自定义TokenEnhancer,然后将自定义的TokenEnhancer加入到TokenEnhancerChain中,最后设置到端点中endpoints.tokenEnhancer(tokenEnhancerChain)。
SpringSecurity OAuth2中关于TokenStore实现类JwtTokenStore的详解
向心行者
01-17 6692
1、前言   在《SpringSecurity OAuth2中真正创建Token的实现类DefaultTokenServices、TokenStore(Token存储管理)的详解》中,我们分析了在OAuth2中,Token是如何创建的,同时也了解了TokenStore是如何管理Token的,并详细分析了InMemoryTokenStore 实现类的逻辑,而JdbcTokenStore 和 RedisTokenStore 实现思路是类似的,但是JwtTokenStore 的实现类就和InMemoryToken
OAuth2 and Friends Resource Server
来啊 快活啊
06-29 1650
security: oauth2: resource: token-info-uri: http://localhost:8080/uaa/introspect user-info-uri: # jwk: # key-set-uri: http://localhost:8080/uaa/token_keys prefer-...
springsecurity整合oauth2+JWT,数据库配置客户端
zifengye520的专栏
07-13 7361
springsecurity整合oauth2+JWT,数据库配置客户端
Spring Security OAuth2实现使用JWT
热门推荐
不想当码农的程序员
11-22 4万+
1、概括在博客中,我们将讨论如何让Spring Security OAuth2实现使用JSON Web Tokens。2、Maven 配置首先,我们需要在我们的pom.xml中添加spring-security-jwt依赖项。<dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-
Spring Security OAuth2笔记系列】- App认证框架- 使用JWT替换默认令牌
代码有毒的博客
08-31 2932
使用JWT替换默认令牌 什么是jwtJWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 优点:在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题。 缺点:是无法作废已颁布的令牌/不易应对数据过期。 特点: 自包含...
jwt signingkey
最新发布
04-09
关于JWT签名密钥的问题,我可以给您一些基本的信息。JWT(JSON Web Token)是一种用于身份验证的令牌,它可以通过数字签名来保证信息的可靠性。签名密钥是用于生成数字签名的秘密密钥,只有知道该密钥的人才能验证...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值