在微服务架构中使用JWT

最新推荐文章于 2024-01-22 14:39:37 发布
最新推荐文章于 2024-01-22 14:39:37 发布
阅读量406 收藏 1
点赞数
分类专栏: 微服务 文章标签: 微服务 架构 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjw465150/article/details/126698988
版权

本文展示了如何使用 JWT 进行跨服务认证/授权。

在单体架构中,所有子系统都在一个应用程序中:身份验证和授权、会话管理器、业务逻辑等。如果我们在谈论微服务架构,有些事情变得更加复杂。

微服务

在微服务架构中,通常,认证/授权是一个单独的服务。
在这里插入图片描述
要请求服务,您必须首先进行身份验证并获取访问令牌。 一个示例是 OAuth 2.0 客户端凭据流。 要获取令牌,您需要传递 client idclient secret。 在下面的示例中,凭据作为 Authorization Basic 标头传递:

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials

响应此请求,我们将获得一个访问令牌,可用于请求所需的服务。 但是我们如何在服务端验证这个令牌呢?

验证

最明显的方法是查询授权服务并自省令牌。 但是当我们的系统包含数百个服务时,这样的请求会给授权服务带来很大的负担,并且有时会成为瓶颈。 为避免这种情况,我们可以在服务中验证令牌。 为此,我们可以使用自包含令牌,其中包括 JWT(JSON Web 令牌)。

JWT是某种token,一般由headerbodysignature三部分组成。 该标准在 RFC7519 中有更详细的描述。
在这里插入图片描述
这里 header 指定:

  • typ – 一种令牌类型(我们正在考虑JWT)
  • alg – 签名算法(例如 HS256 – 带有 SHA-256 的 HMAC(标头 + 有效负载 + 密钥))
  • kid – 当有多个密钥时使用,您需要了解哪个密钥是已签名的令牌

body 由标准标记和自定义标记组成:

  • iss – 发行人(发行令牌的人)
  • aud – 观众(令牌的对象)
  • iat – 合适签发
  • exp – 过期时间
  • sub – 主题
  • jti – JWT唯一ID

对称(例如,HS256)和非对称(例如,RS256)签名算法都可以用作签名。 在对称算法中,只有一个私钥,用于签名和验证。 在 非对称算法 中,签名者使用只有他自己保留的私钥,并验证 可以使用可以分发给每个人的公钥来完成签名。

事实证明,这样的签名令牌是自给自足的,不能在接收方不注意的情况下被操纵。 接收方收到token后,可以验证签名,确保token没有被修改。 这意味着令牌内的所有数据都可以信任。 这消除了通过调用远程服务来内省令牌的需要,从而减少了服务的负载。
在这里插入图片描述
如果服务 B 收到一个包含访问令牌的请求,它需要一个密钥来验证签名。 如果我们有一个包含几十上百个微服务的复杂系统,那么必要的服务就需要分发这个密钥。 如果使用对称算法,密钥很可能会泄漏。 拥有私钥,您可以签署任何内容的令牌。 因此,强烈建议使用非对称算法。 在这种情况下,通常会在身份验证/授权服务上放置一个端点,该服务返回一个用于检查签名的公钥列表。 必要的服务需要自己查询和缓存这些键。 使用这种方法,很容易组织密钥轮换——在某个时刻,auth-service 可以生成一组新的密钥并开始使用它。 接收到这样一个新令牌后,接收服务无法自行找到缓存的密钥,将再次请求 auth-service 并接收更新的密钥列表。

例子:

curl https://www.googleapis.com/oauth2/v3/certs

{
  "keys": [
    {
      "alg": "RS256",
      "kty": "RSA",
      "use": "sig",
      "n": "4DauU23AEpgBg3zJbqT8Fn-Zf817ru1moUjG75yJ-T0NpuQiggrXPn2YoKgo_qtnYloZh-RLjFfRv_Jb47riZhV5vsW7PiMR4MjlXgMWQlWG7kD9cIH5cTzBuEAzCkZZDu7XFkTfWUtRdWS5iKBjfQ465Qi5yFqfh7iHbQoKiN32pkWDI4MG8CUQC-YDbz77IRMpD39ZzNxkxYqbeJ226MrgKVGHFbmZLZPX8VX4r45NZifkPHa5-G5YDxaL622fkTqgPkyJtFOMy08X6K4BtVV0ZUJqi19bzEW970aI13seu0BzBsIspZ2NSPtljQqQFJTcW1EAmOCB5iNDi3J0mQ",
      "e": "AQAB",
      "kid": "fda1066453dc9dc3dd933a41ea57da3ef242b0f7"
    },
    {
      "e": "AQAB",
      "alg": "RS256",
      "n": "yJdNun_DT8_krjOUFMk4UPb7KgOyoN2EIHVL77LFLUlzFwOLon1pEceYcWffNQnjdtzDCN5-q6DxlIiJyDgQhPPMpJzMcpZceo0tKd-Ve1RLEUVcbnbjyZ-inrxVWfYTOuWTsutt7EylFDIMfw1Dh14IccFG5loyLdtZX2yejhXmJzMCxTISE_lCxCIiIqu5filfc3AnnyNb66Mv_oyK5z22pc9f-dFAmT3e5IXA-0UkrEVtLl7lRGmWdBkAkEWzhh17aQ0BynxpcTX5efGyr2b5ktUObCNdKMwNE4_Berz4l7_Oz6-gWDlyjbROrHKx0B27SFHdtNHbYARJsfVsjw",
      "kty": "RSA",
      "kid": "1727b6b49402b9cf95be4e8fd38aa7e7c11644b1",
      "use": "sig"
    }
  ]
}

验证令牌签名后,我们必须检查 issaud 声明。 iss 必须包含身份验证服务的标识符或 URL。 aud 包含为其生成令牌的服务的标识符或标识符列表。 我们必须确保我们的系统出现在这个列表中,并且这个令牌是为我们准备的。

在所有检查之后,我们可以授权请求并执行必要的操作。

令牌撤销

重要的是要注意,自包含令牌的问题之一是无法简单地撤销它们。 例如,一个令牌被泄露,我们需要禁止它在我们系统中的所有服务上使用。 但我们的服务只进行签名验证——令牌仍然有效。

在这种情况下,我们会缩短令牌的生命周期(分钟),之后它将不再有效。 但是如果这还不够,并且需要立即撤销令牌,您可以使用令牌黑名单作为键值存储库,它将存储被撤销令牌的 ID (jti)。 然后每个服务都应该查询该存储并确保令牌不在列表中。 没有必要将令牌永久存储在此存储库中,而只是在我们达到令牌中的 exp 值之前。 此外,令牌撤销事件本身非常少见,因此存储空间会很小且会被读取。

敏感的信息

应该理解,令牌的内容没有加密,令牌的正文是可以读取的。 如果您必须将令牌提供给第三方服务,那么您应该小心放入令牌正文中的数据。 但如果需要该数据,您可以使用加密版本的令牌 (JWE)。 另一种方法是不给出完整的令牌,而只给出它的标识符(jti),将jti——完整的令牌映射存储在存储库/缓存中。 在下一个请求中,将 jti 交换为完整令牌并在系统内使用完整令牌。

总结

在跨服务身份验证/授权实现中正确使用 JWT 可以让我们构建灵活、安全、高负载的应用程序。 了解它的工作原理将减少在构建系统架构时引入漏洞的可能性。

爱游泳的老白
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
微服务技术架构设计图.pptx
03-27
分布式计算是微服务架构的基石,包括使用Presto进行分布式查询,Elasticsearch(ES)用于分布式搜索,以及Kafka处理分布式消息。这些工具允许大规模数据的高效处理和检索。 在服务层面,JWT(JSON Web Tokens)用于...
微服务JWT
热门推荐
hell21的博客
10-02 33万+
JWT 微服务,如果我们使用session来鉴别用户的身份,session保存在服务器端,那就会有session共享问题,而且对服务端的压力也大。当然,你会说,使用rediss解决session共享问题,这也是可以的。但是,有没有一种不需要自己存放session信息就能实现身份验证的方式呢?JWT(JSON Web Token)就是这种范式实行的,通过这种方式服务端就不需要保存session数据了,只用在客户端保存服务端返回给客户的Token就可以了,扩展行的道提升。 JWT本质上就是一段签名的json格
微服务JWT的介绍与使用
最新发布
xuewenyu_的博客
01-22 1496
​ RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,“由已知加密密钥推导出解密密钥在计算上是不可逆的”密码体制。​ 在公开密钥密码体制,加密密钥(即公开密钥)PK是公开信息,而解密密钥(即秘密密钥)SK是需要保密的。加密算法E和解密算法D也都是公开的。虽然解密密钥SK是由公开密钥PK决定的,但却不能根据PK计算出SK [2]。​ RSA加密:非对称加密。​ 同时生产一对秘钥:公钥和私钥。​ 公钥秘钥:用于加密​ 私钥秘钥:用于解密。
基于JWT规范实现的认证微服务
低代码开发,数据,中间件,企业架构原创技术分享
03-05 357
本文由公众号EAWorld翻译发表,转载需注明出处。作者:Marcelo Fonseca译者:白小白原题:Building an authentication micr...
JWT微服务
m0_56164246的博客
05-27 668
Jwt微服务及其运用 jwt简介 全称 json wen token Jwt 是一个开放标准,它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。(加密) 简单来说,就是通过一定规范来生成token,然后可以通过解密算法逆向解密token,这样就可以获取用户信息 优点 1)生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库 2)存储在客户端,不占用服务端的内存资源 缺点 t
微服务鉴权JWT
chen2614的博客
11-18 2346
前言:为什么要学习JWT? 1、JWT简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权限控制的标准解决方案!简而言之就是身份认证 2、 JWT 与RBAC的区别 后台权限服务的数据库设计使用RBAC; 前端项目访问后台微服务的权限校验使用JWT 3、 JWT数据格式 JWT的token包含三部分数据: Header:头部,通常头部有两部分信息: 声明类型type,这里是JWT(type
高可用微服务架构可扩展
01-29
微服务架构,通过JWT进行鉴权可以实现无状态认证,减少服务间的通信开销。用户登录后会获取到JWT,之后的每次请求都将携带该令牌,服务端验证令牌有效性来确定用户权限。 3. **集成用户心**:用户心是集...
轻量级微服务架构 文完整版(上册)
12-22
11. **安全性**:包括OAuth2、JWT等身份验证和授权机制,以及如何在微服务架构实现安全通信。 12. **案例研究**:通过实际的项目案例,展示微服务架构在不同行业的应用和最佳实践。 这本书的上册可能详细阐述了...
rpc 微服务架构下的安全认证与鉴权1
08-08
微服务架构,安全认证和鉴权是至关重要的,因为它们确保了服务之间的通信以及用户访问的正确性和安全性。随着从单体应用向微服务的转变,传统的认证和鉴权机制面临着新的挑战。本文将探讨这些挑战以及相应的解决...
microservices-poc:使用JWT身份验证学习微服务架构的示例应用程序
05-02
这是微服务架构的概念验证应用。 有3个服务,每个服务都充当一个单独的Web服务,可以在彼此独立的任何位置托管。 前端服务:此服务提供前端静态页面。 数据通过对其他两个服务的外部api调用加载到这些页面。 ...
使用JWT保护你的Spring Boot应用 - Spring Security实战
weixin_33720078的博客
04-28 136
使用JWT保护你的Spring Boot应用 - Spring Security实战 作者 freewolf 原创文章转载请标明出处 关键词 Spring Boot、OAuth 2.0、JWT、Spring Security、SSO、UAA 写在前面 最近安静下来,重新学习一些东西,最近一年几乎没写过代码。整天疲于奔命的日子终于结束了。坐...
微服务鉴权之JWT
张伟杰
01-19 1793
常见的认证机制 1. HTTP Basic Auth     HTTP Basic Auth 简单点说就是每次请求 API 时都提供用户的 username 和 password,简言之,Basic Auth 是配合 RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来...
微服务学习系列四:JWT单点登录
yangyanping20108的博客
03-03 495
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密
微服务系列之-JWT安全认证
weinichendian的博客
01-18 680
文章目录前言一、JWT认证流程二、JWT数据结构三、JWT 的优点四、关于 token 注销总结 前言 JSON Web Tokens(JWT)是一种认证协议,是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。JWT 一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该 Token 也可直接被用于认证,也可被加密。 授权服务器将用户信息和授权范围序列化后放入一个JSON字符串,
JWT 实现微服务鉴权
weixin_45588345的博客
06-07 546
什么是微服务鉴权: 判断用户是否有权限进行微服务的访问,微服务的鉴权比较适合在网关进行权限的校验 我们可以采用 JWT的方式来实现鉴权校验 JWT: JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名 1.头部(Header): 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象 如: {“typ”:“JWT”,“
微服务环境配置JWT】SpringBoot配置jwt
酷奇的博客
04-04 631
【代码】【微服务环境配置JWT】SpringBoot配置jwt
JWT 实现微服务鉴权
1663988740
08-12 552
JWT 实现微服务鉴权 什么是微服务鉴权 我们之前已经搭建过了网关,使用网关在系统比较适合进行权限校验。 单点登录的特点是: 1、认证系统为独立的系统。 2、各子系统通过Http或其它协议与认证系统通信,完成用户认证。 3、用户身份信息存储在Redis集群。 Java有很多用户认证的框架都可以实现单点登录: 1、Apache Shiro. 2、CAS 3、Spring security CAS JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务
怎么实现微服务鉴权(JWT
weixin_55542845的博客
02-17 978
怎么实现微服务鉴权
微服务架构:10大设计模式解析
"本文档详细介绍了微服务架构10个常用的设计模式,探讨了微服务架构的优势与劣势,以及何时应该考虑采用微服务。文章不仅提供了设计模式的概述,还深入讨论了每个模式的优缺点、适用场景、技术栈示例和相关资源。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱游泳的老白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值