项目学习第六天JWT微服务鉴权

最新推荐文章于 2023-05-24 07:00:39 发布
最新推荐文章于 2023-05-24 07:00:39 发布
阅读量255 收藏
点赞数
分类专栏: 项目实战 文章标签: jwt java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woyaojinyixian/article/details/105958352
版权

项目学习第六天 JWT微服务鉴权

什么是JWT

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用 户和服务器之间传递安全可靠的信息。
一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。

JWT工具类编写

common工程引入依赖

<dependency>
   <groupId>io.jsonwebtoken</groupId>    
   <artifactId>jjwt</artifactId> 
   <version>0.6.0</version>
</dependency>

common工程,创建util.JwtUtil

package util;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

import java.util.Date;

/**
 * Created by Administrator on 2018/4/11.
 */
@Component
@ConfigurationProperties("jwt.config")
public class JwtUtil {

    private String key ;

    private long ttl ;//一个小时

    public String getKey() {
        return key;
    }

    public void setKey(String key) {
        this.key = key;
    }

    public long getTtl() {
        return ttl;
    }

    public void setTtl(long ttl) {
        this.ttl = ttl;
    }

    /**
     * 生成JWT
     *
     * @param id
     * @param subject
     * @return
     */
    public String createJWT(String id, String subject, String roles) {
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        JwtBuilder builder = Jwts.builder().setId(id)
                .setSubject(subject)
                .setIssuedAt(now)
                .signWith(SignatureAlgorithm.HS256, key).claim("roles", roles);
        if (ttl > 0) {
            builder.setExpiration( new Date( nowMillis + ttl));
        }
        return builder.compact();
    }

    /**
     * 解析JWT
     * @param jwtStr
     * @return
     */
    public Claims parseJWT(String jwtStr){
        return  Jwts.parser()
                .setSigningKey(key)
                .parseClaimsJws(jwtStr)
                .getBody();
    }

}

添加配置到要引用JwtUtil工具类工程的application.yml

jwt: 
 config:
   key: shenhaiyu
   ttl: 360000

配置bean 修改对应工程Application类

 @Bean
 public JwtUtil jwtUtil(){ 
    return new util.JwtUtil(); 
 }

修改AdminController的login方法

@Autowired
	private JwtUtil jwtUtil;

	@RequestMapping(value="/login",method = RequestMethod.POST)
	public Result login(@RequestBody Admin admin){
		Admin adminLogin= adminService.login(admin);
		if(adminLogin==null){
			return new Result(false,StatusCode.ERROR,"登录失败");
		}
		//采取使前后端可以通话,利用JWT
		String token=jwtUtil.createJWT(adminLogin.getId(),adminLogin.getLoginname(),"admin");
		Map<String,Object> map=new HashMap<>();
		map.put("token",token);
		map.put("role","admin");
		return new Result(true,StatusCode.OK,"登陆成功",map);
	}

测试运行结果

{ "flag": true, 
"code": 20000,
 "message": "登陆成功",
  "data": { "token": 
 "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI5ODQzMjc1MDc4ODI5MzgzNjgiLCJzdWIiOiJ4aWF
vbWkiLCJpYXQiOjE1MjM1MjQxNTksInJvbGVzIjoiYWRtaW4iLCJleHAiOjE1MjM1MjQ1MTl9
._YF3oftRNTbq9WCD8Jg1tqcez3cSWoQiDIxMuPmp73o", "name":"admin" } 
 }

JWT常见面试题

JWT 安全吗?

Base64编码方式是可逆的,也就是透过编码后发放的Token内容是可以被解析的。一般而言,我们都不建议在有效载荷内放敏感讯息,比如使用者的密码。

Token失效问题?

1、无状态JWT令牌(Stateless JWT Token)发放出去之后,不能通过服务器端让令牌失效,必须等到过期时间过才会失去效用。2、假设在这之间Token被拦截,或者有权限管理身份的差异造成授权Scope修改,都不能阻止发出去的Token失效并要求使用者重新请求新的Token。

如何完成权限校验的?

有权限管理的服务,管理用户的各种权限,及可访问路径等,在网关zuul中利用Pre过滤器,拦截一切请求,在过滤器中,解析jwt,获取用户身份,查询用户权限,判断用户身份可以访问当前路径。

服务端微服务地址不小心暴露了,用户就可以绕过网关,直接访问微服务,怎么办?

答:
我们的微服务在网关的后面,而且整个服务被Nginx反向代理微服务暴露的可能性低。我们的微服务都做了严格的服务间鉴权处理,任何对微服务的访问都会被验证是否有授权,如果没有则会被拦截。

JWT 实现微服务鉴权
m0_59054066的博客
09-15 222
先了解什么是JWT 我们之前已经搭建过了网关,使用网关在系统中比较适合进行权限校验。 JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {"typ":"JWT","alg":"HS256"} 在头部指明了签名.
JWT鉴权
wdy00000的博客
04-25 1975
文章目录一、什么是JWT二、JWT能做什么三、JWT介绍以及和传统Session的区别1)基于传统的Session认证2)基于JWT认证四、JWT的构成和认证流程五、JWT的优缺点 一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a
05JWT实现微服务鉴权
痞子王的博客
02-04 966
05 JWT 实现微服务鉴权 5.1 什么是微服务鉴权 我们之前已经搭建过了网关,使用网关在系统中比较适合进行权限校验。 那么我们可以采用JWT的方式来实现鉴权校验。 5.2 JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header)...
微服务鉴权JWT
张伟杰
01-19 1819
常见的认证机制 1. HTTP Basic Auth     HTTP Basic Auth 简单点说就是每次请求 API 时都提供用户的 username 和 password,简言之,Basic Auth 是配合 RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来...
鉴权授权JWT
我要的光荣哪怕只有一秒
11-29 449
目录 前言 一、JWT是什么? JWT由三部分组成 :Header,Payload,Signature 二、校验 校验说明 总结 前言 随着微服务的普及,传统的session/cookie越来越无法满足我们的需求,于是 我们发现了 JSON Web Tokens-JWT 一、JWT是什么? 官网:https://jwt.io/ JWT由三部分组成 :Header,Payload,Signature Header 只是一个标识,记录加密方式,格式说明 Payload 有...
项目鉴权流程分析
Leon_Jinhai_Sun的博客
05-09 290
鉴权处理 思路分析 1.用户通过访问微服务网关调用微服务,同时携带头文件信息 2.在微服务网关这里进行拦截,拦截后获取用户要访问的路径 3.识别用户访问的路径是否需要登录,如果需要,识别用户的身份是否能访问该路径[这里可以基于数据库设计一套权限] 4.如果需要权限访问,用户已经登录,则放行 5.如果需要权限访问,且用户未登录,则提示用户需要登录 6.用户通过网关访问用户微服务,进行登录验证 7.验证通过后,用户微服务会颁发一个令牌给网关,网关会将用户信息封装到头文件中,并响应用户 8.用户下次访问,
说一说JWT鉴权
CoCoManYYn的博客
02-20 1181
引言 最近几天被频繁问到了关于jwt得内容,决定写一篇作文加深一下印象。 正文 jwt介绍 JWT是JSON Web Token的缩写。 分为三段(整个为base64编码): 头部:包括加密方式 负载:包括用户的不敏感信息 签名:用secret将前两部分加密(利用第一个里面的加密方式),主要用来验证是不是本人签发的 实践过程 实践过程中有两个token,一个refresh Token、一个ac...
JWT 实现微服务鉴权以及JJWT签发与验证token
weixin_60668060的博客
11-24 933
1 什么是微服务鉴权 使用网关在系统中比较适合进行权限校验。那么我们可以采用JWT的方式来实现鉴权校验 2 JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {"typ":"JWT","alg":"HS256.
基于Spring Security OAuth2.0、JwtToken的微服务鉴权Demo
xiaxuepiaopiao的博客
05-07 3826
一、前记 记得很久之前面试美的,当时吹水微服务,被人问到一个问题:微服务鉴权如何处理的?嗯,很简单一个问题,但是懵逼了(水平不行啊),自然就挂了,后面就想以后吹水微服务一定要做好鉴权这一块的内容。 二、准备知识 Spring Security、OAuth2.0、Jwt;网上有很多内容,这里不赘述。 OAuth2.0主要学几种模式,如密码模式、客户端模式等等,这里我们使用密码模式。 三、参考文章 本...
搭建微服务认证中心实现微服务鉴权
Neayom
05-31 3160
一、单体应用的安全,传统的SSO 某些页面必须登录后才能正常使用,之前了解过单体架构可以通过分布式sessionJWT实现传统的sso,又或者通过NG的ip hash算法(原理是根据用户的IP不变,定位到固定的后端服务器中寻找session) 这些都不是重点!!!!! 二、Oauth2协议 个人的理解是这样的:我们可以在Oauth2上实现单点登录,但是Oauth2不仅仅只能实现单点登录,可以实现授权第三方应用有权限去访问另外的服务提供者上的信息,而不需要将你的登录信息(账号密码)提供给第三方应用,安全。
springcloud 微服务鉴权_浅谈Spring Cloud下微服务权限方案
weixin_29315091的博客
12-30 554
背景从传统的单体应用转型Spring Cloud的朋友都在问我,Spring Cloud下的微服务权限怎么管?怎么设计比较合理?从大层面讲叫服务权限,往小处拆分,分别为三块:用户认证、用户权限、服务校验。用户认证传统的单体应用可能习惯了session的存在,而到了Spring cloud的微服务化后,session虽然可以采取分布式会话来解决,但终究不是上上策。开始有人推行Spring Cloud...
Spring Security OAuth2和 JWT 构建保护微服务系统
pbyang_love的博客
04-17 264
https://www.jianshu.com/p/24764aba1012?utm_source=oschina-app
springboot+springsecurity+jwt整合之springsecurity三种鉴权表达式
klz
05-02 789
目录springboot+springsecurity+jwt整合项目method鉴权表达式url 鉴权表达式web的rabc鉴权表达式不足 springboot+springsecurity+jwt整合项目 springboot+springsecurity+jwt整合:https://gitee.com/klzshow/springboot_springsecurity_jwt metho...
微服务鉴权:gateway使用、网关限流使用、用户密码加密、JWT鉴权
最新发布
独行侠梦的博客
05-24 1696
目标掌握微服务网关Gateway的系统搭建掌握网关限流的实现能够使用BCrypt实现对密码的加密与验证了解加密算法能够使用JWT实现微服务鉴权1.微服务网关Gateway1.1 微服务网关概述不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题:客户端会多次请求不同的微服务,增加了客户端的复杂性存在跨域请求...
怎么实现微服务鉴权JWT
weixin_55542845的博客
02-17 1007
怎么实现微服务鉴权
使用JWT微服务的登录方案
热门推荐
Hello World ^—^
03-06 3万+
由于微服务大都是分布式的,需要几台服务器部署,当一个用户在其中一台服务器登录后,传统的方式是session保存其登录信息,然后可以使用共享存储共享,比如redis共享,这种方案的缺点在于共享存储需要一定保护机制,因此需要通过安全链接来访问,这时解决方案的实现就通常具有相当高的复杂性了,所以这里使用基于令牌的方式做登录。 JWT简介 简介网上都有,下面是摘抄的一部分,做做笔记。。。 JWT(J...
JWT 实现微服务鉴权
weixin_45588345的博客
06-07 573
什么是微服务鉴权: 判断用户是否有权限进行微服务的访问,微服务鉴权比较适合在网关中进行权限的校验 我们可以采用 JWT的方式来实现鉴权校验 JWT: JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名 1.头部(Header): 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象 如: {“typ”:“JWT”,“
JWT的使用:Spring Cloud微服务接口鉴权
Lumia
01-13 1万+
0 JWT是什么 JWT(JSON Web Token)是一种开放标准,它以一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。 其认证原理是,客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。 0.1 JWT的结构 一个JWT是一个字符串,其由H...
微服务开发v1.0-密码加密与微服务鉴权JWT学习目标
本文主要介绍了《十次方微服务开发v1.0》...总之,《十次方微服务开发v1.0》第6章的内容涵盖了密码加密与微服务鉴权JWT的相关知识,通过学习这部分内容,可以帮助我们提升微服务开发的水平,保障系统的安全性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值