OAuth2.0 使用 JWT令牌

最新推荐文章于 2024-05-03 00:02:24 发布
最新推荐文章于 2024-05-03 00:02:24 发布
阅读量313 收藏
点赞数
分类专栏: OAuth2.0 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y_bccl27/article/details/120237122
版权

应用背景:当资源服务和认证服务不在一起时,资源服务使用RemoteTokenServices远程请求授权服务验证token,如果访问量较大较会影响系统的性能。这时可以考虑做进一步的优化,令牌采用JWT格式生成,用户认证通过会得到一个JWT令牌,客户端只需要携带JWT令牌访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。

OAth2.0使用JWT令牌时,不再需要额外的依赖包,仅仅引入Spring Cloud整合OAuth2.0的依赖包即可,这是因为随着技术的发展,使用OAuth2.0的时候,其项目架构必然是分布式。

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-oauth2</artifactId>
    <version>2.1.0.RELEASE</version>
</dependency>

认证服务器 需要做下述配置:

第一步:认证服务中原先产生Token的配置类为:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore;

@Configuration
public class TokenConfig {

    //认证服务器产生的Token采用内存进行存储
    @Bean
    public TokenStore tokenStore() {
        //内存方式,生成普通令牌
        return new InMemoryTokenStore();
    }
}

现在认证服务使用JWT方式产生令牌,因此此配置类需要修改为如下所示:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

@Configuration
public class TokenConfig {

    //认证服务器产生的Token采用JWT进行存储
    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        //设置加密的密钥为“key123”,这是一个对称秘钥,资源服务器必须使用该秘钥来验证
        converter.setSigningKey("key123");
        return converter;
    }
}

第二步:资源服务的OAuth2的配置类(AuthorizationServerConfigurerAdapter的继承类)修改如下:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.ClientDetailsService;
import org.springframework.security.oauth2.provider.client.JdbcClientDetailsService;
import org.springframework.security.oauth2.provider.code.AuthorizationCodeServices;
import org.springframework.security.oauth2.provider.token.AuthorizationServerTokenServices;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.TokenEnhancerChain;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;

import javax.sql.DataSource;
import java.util.Arrays;

/**
 * 授权服务配置
 **/
@Configuration
@EnableAuthorizationServer
public class AuthorizationServer extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthorizationCodeServices authorizationCodeServices;
    @Autowired
    private TokenStore tokenStore;
    @Autowired
    private ClientDetailsService clientDetailsService;
    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private JwtAccessTokenConverter accessTokenConverter;
    @Autowired
    PasswordEncoder passwordEncoder;


    /**
     * 1.配置客户端详细信息服务
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        //统一认证中心:使用内存方式存储客户端详细信息
       clients.inMemory()
                .withClient("c1")// client_id
                .secret(new BCryptPasswordEncoder().encode("secret"))//客户端密钥
                .resourceIds("res1")//资源列表
                .authorizedGrantTypes("authorization_code", "password","client_credentials","implicit","refresh_token")// 该client允许的授权类型authorization_code,password,refresh_token,implicit,client_credentials
                .scopes("all")// 允许的授权范围
                .autoApprove(false)//false跳转到授权页面
                //加上验证回调地址
                .redirectUris("http://www.baidu.com");
    }

    //2.令牌管理服务
    @Bean
    public AuthorizationServerTokenServices tokenService() {
        DefaultTokenServices service=new DefaultTokenServices();
        service.setClientDetailsService(clientDetailsService);//客户端信息服务
        service.setSupportRefreshToken(true);//支持刷新令牌
        service.setTokenStore(tokenStore);//令牌存储策略

        //使用JWT方式时,则开启下面三行代码,令牌增强
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(accessTokenConverter));
        service.setTokenEnhancer(tokenEnhancerChain);

        service.setAccessTokenValiditySeconds(7200); // 令牌默认有效期2小时
        service.setRefreshTokenValiditySeconds(259200); // 刷新令牌默认有效期3天
        return service;
    }



    /**
     * 令牌访问端点
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints
                .authenticationManager(authenticationManager)            //认证管理器
                .authorizationCodeServices(authorizationCodeServices)    //授权码服务
                .tokenServices(tokenService())//令牌管理服务
                .allowedTokenEndpointRequestMethods(HttpMethod.POST);
    }

    /**
     * 令牌端点的安全约束
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security){
        //允许所有的都可以访问oauth/token_key
        security.tokenKeyAccess("permitAll()")
                //允许所有的都可以访问oauth/check_token
                .checkTokenAccess("permitAll()")
                //表单认证(申请令牌)
                .allowFormAuthenticationForClients();
    }
}

特别提醒:使用JWT方式生成令牌,认证服务和资源服务的签名密钥必须要一致

资源服务器 需要做下述配置:

第一步:资源服务中添加验证JWT Token令牌的配置

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

/**
 * 资源服务验证JWT Token令牌的配置
 */
@Configuration
public class CheckJwtTokenConfig {

    //签名密钥与认证服务保持一致
    private String SigningKey="key123";

    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(accessTokenConverter());
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey(SigningKey);
        return converter;
    }
}

第二步:在资源服务的配置类(ResourceServerConfigurerAdapter 的继承类)中将上述配置(tokenStore)应用,示例代码如下:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;
import org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configurers.ResourceServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.RemoteTokenServices;
import org.springframework.security.oauth2.provider.token.ResourceServerTokenServices;
import org.springframework.security.oauth2.provider.token.TokenStore;

@Configuration
@EnableResourceServer
public class ResouceServerConfig extends ResourceServerConfigurerAdapter {

    @Autowired
    private TokenStore tokenStore;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        //资源 id
        resources.resourceId("res1")
                //资源服务器使用本地认证方式验证JWT令牌
                .tokenStore(tokenStore)
                //验证令牌的服务,目前将下述这段token验证服务屏蔽掉
                //.tokenServices(tokenService())
                .stateless(true);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/**").access("#oauth2.hasScope('all')")
                .and().csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

    /**
     * 功能描述:配置资源服务的令牌检查服务,如果使用的是JWT令牌,那么下面这段代码可以屏蔽掉
     */
    @Bean
    public ResourceServerTokenServices tokenService() {
        //创建“远程服务请求授权服务器”对象用于校验token
        RemoteTokenServices remoteTokenServices=new RemoteTokenServices();
        //1.指定校验Token的认证服务器(统一认证中心)的URL
        remoteTokenServices.setCheckTokenEndpointUrl("http://localhost:53020/uaa/oauth/check_token");
        //2.配置当前资源服务的client_id
        remoteTokenServices.setClientId("c1");
        //3.配置当前资源服务的client_secret
        remoteTokenServices.setClientSecret("secret");
        return remoteTokenServices;
    }
}

 最后进行测试,先访问下述地址获取授权码

http://127.0.0.1:53020/uaa/oauth/authorize?client_id=c1&response_type=code&scope=all&redirect_uri=http://www.baidu.com

获取到了授权码Code以后,调用下述接口获取令牌:

http://127.0.0.1:53020/uaa/oauth/token?code=1e8pTX&grant_type=authorization_code&client_id=c1&client_secret=secret&redirect_uri=http://www.baidu.com

会得到一个类似这样的令牌:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOlsicmVzMSJdLCJ1c2VyX25hbWUiOiJ4aWFvbWluZyIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE2MzEzNDYxODEsImF1dGhvcml0aWVzIjpbInAxIl0sImp0aSI6IjUzZjcxZTA2LTUzZjktNDk0OC1iYWQxLTM4ZGIzNmI2YmI2NSIsImNsaWVudF9pZCI6ImMxIn0.rmCcyciOFqJyXJbFLWaEXo0U3uU9LO1BaL5bHFUVVD0

最后get请求访问资源服务:

http://127.0.0.1:53021/order/r1?access_token=JWT令牌

至此,OAUTH2.0与JWT令牌的配置应用部分基本上已经完成,其它有什么需求,可自行进行扩展。 

y_bccl27
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务接入oauth2_构建微服务-使用OAuth 2.0保护API接口
weixin_39835158的博客
12-21 672
在本文中,我们将使用OAuth 2.0,创建一个的安全API,可供外部访问Part 1和Part 2完成的微服务。我们将创建一个新的微服务,命名为product-api,作为一个外部API(OAuth 术语为资源服务器-Resource Server),并通过之前介绍过的Edge Server暴露为微服务,作为Token Relay,也就是转发Client端的OAuth访问令牌到资源服务器(Res...
浅析单点登录(重点讲解OAuth2+JWT
m0_49499183的博客
01-14 2874
一、登录的常见方式 1、单一服务器模式 使用session对象实现。 在登录成功后,把用户数据放到session里面 session.setAttribute("user", user); 当需要判断是否登录时,就从session里面取数据,如果可以获取到,就是已经登录了。 session.getAttribute("user"); 早期单一服务器(例如只有一台Tomcat)常用这种用户认证模式。 ...
深入理解Spring Security OAuth2及JWT
森屿@光年的博客
11-02 5364
什么是OAuth2? OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用令牌在限定时间、限定范围访问指定资源。主要涉及的RFC规范有RFC6749(整体授权框架),RFC6750(令牌使用),RFC6819(威胁模型)这几个,一般我们需要了解的就是RFC6749。获取令牌的方式主要有四种,分别是授权码模式,简单模式,密码模式和客户端模式,如何获取token不在本篇文章的讨论范围,我们这里假定客户
2024年最全OAuth2和JWT - 如何设计安全的API?
最新发布
2401_84302369的博客
05-03 636
链接:www.jianshu.com/p/1f2d6e5126cb本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT)假设:你已经或者正在实现API;你正在考虑选择一个合适的方法保证API的安全性;要比较JWTOAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。JWT提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。
Spring Security OAuth2 实现使用JWT
wangooo的博客
02-24 708
https://yq.aliyun.com/articles/263390 1、Maven 配置 首先,我们需要在我们的pom.xml中添加spring-security-jwt依赖项。 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-jwt</artifactId> </dependenc
rabbitMQ使用SpringCloud Oauth2 的jwt鉴权
weixin_43892890的博客
12-24 1408
想要达到的目的 项目master向mq中的队列1,2,3发送不同的消息,项目slave1,slave2,slave3分别订阅队列1,2,3的消息。 这些slave项目只能订阅自己队列的消息,不能订阅其他队列的消息。 简单的做法是创建三个不同的虚拟主机(vhost),用不同的账号分给slave项目。缺点就是如果队列和项目是动态增加的,就很麻烦。 rabbitmq_auth_backend_oauth2 翻了一下rabbitmq官网,发现了这个插件rabbitmq_auth_backend_oauth2。 3
RabbitMQ使用OAuth2.0授权
u013626116的博客
01-11 1104
RabbitMQ本身并不支持OAuth2.0,可以通过配置插件的方式来实现。该插件允许客户端使用JWT编码的OAuth2.0令牌进行认证和授权。
Oauth2.0 + JWT、JSON解析、调用三方URL.zip
12-18
当用户通过OAuth2.0获得访问令牌后,这个令牌可以被设计成JWT,包含用户的权限信息。这样的设计使得服务端可以验证并解码JWT,从而获取用户权限,避免了频繁查询数据库。 **调用三方URL** 在开发过程中,经常需要与...
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
使用这个库,你可以轻松地在 OAuth 2.0 流程中生成 JWT 访问令牌,并在接收请求时验证它们。 从提供的压缩包文件名 "Jwt.php" 来看,这可能是一个 PHP 类或函数库,用于处理 JWT 相关的操作,包括但不限于创建、...
Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权
01-23
JWTOAuth2.0 流程中常被用作访问令牌,存储在客户端并发送给服务端以证明用户的身份。 实现步骤如下: 1. 用户向 Gateway 发起登录请求。 2. Gateway 将请求转发给认证服务(通常基于 Spring Security 和 ...
oauth2-jwt:示例OAuth 2.0和JSON Web令牌集成
05-02
综上所述,`oauth2-jwt`项目展示了如何在Java环境中利用OAuth 2.0和JWT实现安全的授权和身份验证,同时通过RSA密钥对保证令牌的安全性,并且具备令牌撤销功能以适应集群环境。如果你想要深入理解这些概念和实现细节...
java实现oauth2.0服务端+客户端(含JWT
12-15
OAuth 2.0的实现中,JWT可以作为访问令牌使用,客户端可以通过这个令牌向资源服务器证明其已获得授权。 在实际的实现过程中,我们需要创建以下类: - **AuthorizationServerConfig**:配置授权服务器,包括端点...
RabbitMQ-常用命令_rabbitmq 启动(1),2024年最新大数据开发开发应该了解的Binder原理
2301_79097795的博客
04-17 1492
(img-JkstUn5s-1713320093743)]**重置所有数据****修改用户密码**
OAuth2结合JWT
Curtisjia的博客
11-01 2577
OAuth2结合JWT 无状态登录 什么是有状态 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 session,然后下次请求,用户携带 cookie 值来(这一步有浏览器自动完成),我们就能识别到对应 session,从而找到用户的信息。这种方式目前来看最方便,但是也有一些缺陷,如下: 服
OAuth2+JWT新一代认证技术
a154555的博客
09-19 3091
认证方式: 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
laravel5.8接入RabbitMq队列服务
fangford的博客
01-13 972
一、前期准备 具体流程分为以下步骤。 安装RabbitMq服务 安装php的amqp扩展(到pecl官方下载扩展) 具体教程有windows教程 linux下为了可以快速使用,RabbitMq使用docker来快速部署 #拉取RabbitMq官方镜像直接使用 docker pull rabbitmq:3.8.9 #创建容器绑定端口以便外部访问 docker run -itd --name rabbit -p 15672:15672 -p 5672:5672 rabbitmq:3.8.9 #
RabbitMQ 集成 KeyCloak 认证
不知名酸奶糖 的博客
03-22 219
RabbitMQ 3.10.+ 版本, 集成 KeyCloak 认证。
RabbitMQ 安装部署(一)
口袋里的小龙的专栏
09-18 828
rabbitmq 安装
SpringSecurity OAuth2+JWT+网关实现认证授权中心
我神级欧文的博客
02-17 8577
之前利用SpringSecurity OAuth2搭建了一个认证服务器,并且结合网关搭建了一个安全认证的架构,而这个架构也是有缺点的,很明显的就是用户的信息是通过加在请求头到微服务去取出来的,这样就会容易泄露用户的信息并且很容易被别人截获请求伪造用户信息,而且网关每一次都要请求认证服务器去验证token是否正确,加重了认证服务器的负担。那么这里我们解决这两个问题用的就是jwt。 什么是JWT? ...
基于springboot+oauth2.0+jwttoken鉴权认证开发的后台接口
08-17
基于Spring Boot、OAuth2.0JWT Token鉴权认证开发的后台接口是一种使用现代化技术实现的身份验证和授权机制。下面是关于这种后台接口的一些说明: 首先,Spring Boot是一个基于Spring框架的快速开发框架,提供了简化的配置和自动化的特性,使开发者能够更快速高效地开发后台接口。 OAuth2.0是一种开放标准的授权协议,它允许用户授权第三方应用访问他们在资源拥有者上存储的信息,而不需要将用户名和密码提供给第三方。 JWT Token(JSON Web Token)是一种用于在网络应用间安全传递声明的一种方式。它被用作身份验证和授权的令牌,通过加密并以JSON格式存储信息,确保信息的完整性和安全性。 基于以上技术,我们可以开发出具有强大安全认证能力的后台接口。首先,用户在访问接口时,需要提供他们的身份证明,这可以是用户名和密码。接口服务器会使用OAuth2.0协议进行身份验证,并颁发JWT Token给用户。用户在未来的请求中,可以使用该Token进行身份验证,而无需每次都提供用户名和密码。 接口服务器会对JWT Token进行验证,以确保Token的完整性和有效性。如果Token失效或被伪造,访问将被拒绝。如果验证通过,接口服务器会正常处理用户的请求。 使用Spring Boot和OAuth2.0进行开发,可以方便地设置权限和角色。可以根据用户的角色和权限,限制他们对某些资源的访问。 总之,基于Spring Boot、OAuth2.0JWT Token鉴权认证开发的后台接口提供了一种安全可靠的身份验证和授权机制,能够有效保护后台接口的安全性,防止非法访问和数据泄露。这种技术组合在开发现代化的网络应用时非常有用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值