服务网关Gateway实现用户鉴权_网关全局过滤器加入JWT鉴权

最新推荐文章于 2024-03-14 18:07:04 发布
最新推荐文章于 2024-03-14 18:07:04 发布
阅读量3k 收藏 17
点赞数 7
文章标签: gateway 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61498231/article/details/125974143
版权

服务网关Gateway实现用户鉴权_什么是JWT?

什么是JWT :

JWT是一种用于双方之间传递安全信息的简洁的、URL安全的声明规 范。定义了一种简洁的,自包含的方法用于通信双方之间以Json对 象的形式安全的传递信息。特别适用于分布式站点的单点登录 (SSO)场景.

 传统的session认证 每次提到无状态的 JWT 时相信都会看到另一种基于 Session 的用户 认证方案介绍,这里也不例外,Session 的认证流程通常会像这 样: 

 缺点

  • 安全性:CSRF攻击因为基于cookie来进行用户识别, cookie如果被截获,用户就会很容易受 到跨站请求伪造的攻击。
  • 扩展性:对于分布式应用,需要实现 session 数据共享
  • 性能:每一个用户经过后端应用认证之后,后端应用都要在服务端做一次记录,以方便用户 下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开 销会明显增大,与REST风格不匹配。因为它在一个无状态协议里注入了状态。

JWT方式

优点

  • 无状态
  • 适合移动端应用
  • 单点登录友好 

配置跳过验证路由yml文件配置

org:
 my:
   jwt:
      #跳过认证的路由
     skipAuthUrls:
         - /user/login

创建Response相应类

@Data
public class Response {
    //响应状态码
    private Integer code;
    //相应信息
    private String message;


    public Response(Integer code, String message) {
        this.code = code;
        this.message = message;
    }

    public Response() {

    }


}

创建JWT工具类JWTUtils

public class JWTUtil {
    // 秘钥
    public static final String SECRET_KEY =
"erbadagang-123456";
    // token过期时间
    public static final long
TOKEN_EXPIRE_TIME = 5 * 60 * 1000;
    // 签发人
    private static final String ISSUER =
"issuer";
    // 用户名
    private static final String USER_NAME =
"username";
    
}
//生成签名方法
public static String token(String
username) {
Date now = new Date();
        //SECRET_KEY是用来加密数据签名秘钥
        Algorithm algorithm =
Algorithm.HMAC256(SECRET_KEY);
        String token = JWT.create()
                // 签发人
               .withIssuer(ISSUER)
                // 签发时间
               .withIssuedAt(now)
                // 过期时间
               .withExpiresAt(new
Date(now.getTime() + TOKEN_EXPIRE_TIME))
                // 保存权限标记
               .withClaim(USER_NAME,
username)
               .sign(algorithm);
        log.info("jwt generated user={}",
username);
        return token;
   }
//验证签名
public static boolean verify(String token)
{
        try {
            //SECRET_KEY是用来加密数据签名秘钥
            Algorithm algorithm =
Algorithm.HMAC256(SECRET_KEY);
            JWTVerifier verifier =
JWT.require(algorithm)
                   .withIssuer(ISSUER)
                   .build();
            //如果校验有问题会抛出异常。
            verifier.verify(token);
            return true;
       } catch (Exception ex) {
            ex.printStackTrace();
       }
        return false;
   }

创建LoginGlobalFilter全局过滤器

@Data
@Slf4j
@Component
@ConfigurationProperties("org.my.jwt")
public class LoginGlobalFilter  implements
GlobalFilter, Ordered {
    // 跳过路由数组
    private String[] skipAuthUrls;
    @Override
public Mono<Void>
filter(ServerWebExchange exchange,
GatewayFilterChain chain) {
        //获取请求url地址
        String url =
exchange.getRequest().getURI().getPath();
        //跳过不需要验证的路径
        if (null != skipAuthUrls &&
isSkipUrl(url)) {
            return chain.filter(exchange);
       }
        //从请求头中取得token
        String token =
exchange.getRequest().getHeaders().getFirst(
"Authorization");
        if (StringUtils.isEmpty(token)) {
            return
createResponseObj(exchange,500,"token参数缺
失");
       }
        //请求中的token是否有效
        boolean verifyResult =
JWTUtil.verify(token);
        if (!verifyResult) {
            return
createResponseObj(exchange,500,"token 失效");
       }
//如果各种判断都通过,执行chain上的其他业
务逻辑
        return chain.filter(exchange);
   }
    @Override
    public int getOrder() {
        return 0;
   }
    /**
     * 判断当前访问的url是否开头URI是在配置的忽略
url列表中
     *
     * @param url
     * @return
     */
    public boolean isSkipUrl(String url) {
        for (String skipAuthUrl :
skipAuthUrls) {
            if (url.startsWith(skipAuthUrl))
{
                return true;
           }
       }
        return false;
   }
    // 组装返回数据
  private Mono<Void>
createResponseObj(ServerWebExchange
exchange,Integer code,String message){
        ServerHttpResponse response =
exchange.getResponse();
        // 设置响应状态码200
      
response.setStatusCode(HttpStatus.OK);
        // 设置响应头
        response.getHeaders().add("ContentType", "application/json;charset=UTF-8");
        // 创建响应对象
        Response res = new Response(code,
message);
        // 把对象转成字符串
        byte[] responseByte =
JSONObject.toJSONString(res).toString().getB
ytes(StandardCharsets.UTF_8);
        DataBuffer buffer =
response.bufferFactory().wrap(responseByte);
        return
response.writeWith(Flux.just(buffer));
   }
}

测试

 

 

哓拾柒
关注
  • 7
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SpringCloud Gateway网关 全局过滤器[header token] 实现用户鉴权,白名单
小哇
01-28 2257
前提:先保证Gateway网关项目 和 Nacos注册中心 等可以正常访问和调用,搭建方法可查看博文https://blog.csdn.net/qq_41712271/article/details/113358022 业务流程 核心代码 package cn.huawei.filter; import org.apache.commons.lang.StringUtils; import org.springframework.cloud.gateway.filter.GatewayFilterCh
springcloud-gateway-2-鉴权
Java自学笔记-springBoot微服务
12-23 1576
springCloud-gateway鉴权,GlobalFilter全局过滤器实现通用拦截,用GatewayFilter实现单个服务或指定服务的过滤拦截。
SpringCloudGateway之统一鉴权
最新发布
HMing的博客
03-14 1977
在客户端登录成功后,服务端生成一个包含用户信息和过期时间等数据的JWT令牌返回给客户端。客户端在后续请求中将此令牌放在请求头(如Authorization: Bearer token)中发送给网关网关层通过自定义的GatewayFilter Factory来拦截所有请求,并检查请求头中的JWT令牌,使用对应的解码器对其进行解密和校验,包括但不限于签名验证、过期时间检查等。
Gateway中使用SpringSecurity进行网关鉴权与权限控制
wangmj518的专栏
04-05 2571
之前说过GateWay的组件中有Filter(过滤器)这一功能,就是web开发的三大组件(Servlet、Filter、Listener)中的Filter,但是Gateway中使用的是WebFlux,而不是Servlet,有兴趣的可以了解下。在GateWay中有很多内置的过滤器,而且我们还可以自定义一个过滤器。自定义一个类实现这两个类就以了,直接上代码:我们的需求就是,只有当你的请求参数中的username=admin才给你放行。/*** 微信公众号 “小鱼与Java”*
服务的登录校验(gateway过滤器or拦截器实现
12-21
问题来源 在做找房微服务的时候,一般只有登录的用户能够预约房源操作,或者修改资料等密码操作,管理员也需要登录的情况下才能对房源进行管理上架、添加等操作。 假如我们没一个方法都分别对其权限鉴定,用户判断是否登录,那么一个团队的开发每一个成员涉及到需要鉴权或者判断用户是否登录的情况,都需要写一套相同的代码,或者调用相同的接口,可是这些实际上应该是与本次逻辑不相干的代码,开发小组的成员应该更专注于本次需要实现的逻辑与功能。 通过接口调用,或者写一套相同的鉴权、判断用户是否登录的方法,极大的干扰开发的进度,也及其不利于后续的迭代开发。例子:如果鉴权、登录判断逻辑或者接口方法发生改变,那么一套系统中很多
服务-gateway鉴权
王梦杰_MengJie
09-02 3327
网关是介于客户端和服务器端之间的中间层,所有的外部请求都会先经过 网关这一层。也就是说,API 的实现方面更多的考虑业务逻辑,而安全、性能、监控可以交由 网关来做,这样既提高业务灵活性又不缺安全性。RBAC基于角色访问控制,目前使用最为广泛的权限模型。相信大家对这种权限模型已经比较了解了。此模型有三个用户、角色和权限,在传统的权限模型用户直接关联加了角色,解耦了用户和权限,使得权限系统有了更清晰的职责划分和更高的灵活度。
快速搭建一个网关服务,动态路由、鉴权看完就会(含流程图)
Java笔记虾
12-25 590
点击关注公众号,利用碎片时间学习前言本文记录一下我是如何使用Gateway搭建网关服务实现动态路由的,帮助大家学习如何快速搭建一个网关服务,了解路由相关配置,鉴权的流程及业务处理,有兴趣...
SpringCloud:Gateway鉴权
热门推荐
拒绝熬夜啊的博客
11-03 2万+
一、JWT 实现服务鉴权 JWT一般用于实现单点登录。单点登录:如腾讯下的游戏有很多,包括lol,飞车等,在qq游戏对战平台上登录一次,然后这些不同的平台都可以直接登陆进去了,这就是单点登录的使用场景。JWT就是实现单点登录的一种技术,其他的还有oath2等。 1 什么是微服务鉴权 我们之前已经搭建过了网关,使用网关网关系统中比较适合进行权限校验。 那么我们可以采用JWT的方式来实现鉴权校验。 2.代码实现 思路分析 1. 用户进入网关开始登陆,网关过滤器进行判断,如果是登录,则路由到后台管理微服务
JAVA项目 畅购商城 微服务网关限流&鉴权
JAVA开发者@邢先生
02-12 886
第3章 微服务网关限流&鉴权 课程目标 掌握微服务网关Gateway的系统搭建 掌握网关限流的实现 能够使用BCrypt实现对密码的加密与验证 了解加密算法 能够使用JWT实现服务鉴权 1.微服务网关Gateway 1.1 微服务网关概述 不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题: 客户端会多次请求不同的微服务,增加了客户端的复杂性 存在跨域请求,在一定场景下处理相对复杂 认证复杂,每个服务都需
springcloud getway 示例 包含 网关 http websocket 两种转发包含网关JWT鉴权包含Clie
08-05
EurekaApplication Eureka也可以不用 gateway可直接转发外部的服务 PtGatewayApplication 网关服务 包含 网关 http , websocket 两种转发包含网关 ,包含webSocket消息发送的流量监控 UserApplication 模拟...
gateway+oauth2+jwt实现网关统一鉴权
12-27
gateway整合oauth2实现网关统一鉴权,适合有gateway和oauth鉴权使用经验的同学,代码已调试通过,下载后可以直接使用
gatewayjwt网关认证实现过程解析
08-25
主要介绍了gatewayjwt网关认证实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
主要介绍了Java中使用JWT生成Token进行接口鉴权实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Oauth-jwt网关鉴权等项目系统认证的知识
09-01
Oauth-jwt网关鉴权等项目系统认证的知识
springcloud gateway 鉴权_SpringCloud-gateway原理
weixin_39877182的博客
12-08 728
1.什么是gateway(网关)Spring Cloud Gateway是Spring Cloud官方推出的第二代网关框架,取代Zuul网关网关作为流量的,在微服务系统中有着非常作用,网关常见的功能有路由转发、权限校验、限流控制等作用。本文首先用官方的案例带领大家来体验下Spring Cloud的一些简单的功能,在后续会使用详细的案例和源码解析来详细讲解Spring Cloud Gateway....
Gateway网关鉴权
congge
09-17 8528
前言 说起鉴权,大多数会立马想到各种鉴权的技术,比如过滤器、拦截器、安全治理框架shiro、spring-security等等,它们在不同的业务场景下发挥的作用各不相同,但是总体来说都有一个相似的作用,就是作为后端服务的安全防护层 而在微服务架构越加流行的时代,网关作为一个独立的组件从众多的服务中拆分出来作为架构的一部分,承载着重大的作用,比如安全拦截,动态路由,负载均衡等,这一点之前的zuul和gateway篇章中都有所交代 一个被大家逐渐接受的共识就是,网关从微服务中独立出来作为一个服务进行治理,就不单
服务鉴权gateway使用、网关限流使用、用户密码加密、JWT鉴权
独行侠梦的博客
05-24 1576
目标掌握微服务网关Gateway的系统搭建掌握网关限流的实现能够使用BCrypt实现对密码的加密与验证了解加密算法能够使用JWT实现服务鉴权1.微服务网关Gateway1.1 微服务网关概述不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题:客户端会多次请求不同的微服务,增加了客户端的复杂性存在跨域请求...
GateWay网关自定义过滤器实现token校验完成统一鉴权
weixin_44894196的博客
03-02 2134
GateWay网关自定义过滤器实现token校验完成统一鉴权
万字解析微服务网关鉴权gateway使用、网关限流使用 用户密码加密 JWT鉴权
wdj_yyds的博客
07-15 897
客户端会多次请求不同的微服务,增加了客户端的复杂性存在跨域请求,在一定场景下处理相对复杂认证复杂,每个服务都需要独立认证难以重构,随着项目的迭代,可能需要重新划分微服务。例如,可能将多个服务合并成一个或者将一个服务拆分成多个。如果客户端直接与微服务通信,那么重构将会很难实施某些微服务可能使用了防火墙 / 浏览器不友好的协议,直接访问会有一定的困难以上这些问题可以借助网关解决。网关是介于客户端和服务器端之间的中间层,所有的外部请求都会先经过 网关这一层。
不用网关gateway怎么做鉴权
06-03
在不使用网关gateway的情况下,可以通过在服务实现鉴权来保护API的安全性。具体来说,可以在服务实现以下几个步骤: 1. 在服务层中定义一个过滤器,用于拦截所有的请求。 2. 在过滤器中获取请求中的身份验证信息,例如JWT令牌。 3. 验证身份验证信息的有效性,例如检查令牌是否过期或是否被篡改。 4. 如果身份验证信息有效,则继续处理请求,否则返回未经授权的错误响应。 在实现过程中,可以使用各种身份验证方法,例如基于令牌的身份验证、基于角色的身份验证、基于OAuth 2.0的身份验证等。无论使用哪种身份验证方法,都需要确保在服务层中实现严格的鉴权措施,以保护API的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

哓拾柒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值