微服务学习系列四:JWT单点登录

已于 2023-06-18 11:37:24 修改
阅读量429 收藏 1
点赞数
文章标签: python pandas 机器学习
于 2023-03-03 21:18:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangyanping20108/article/details/129327456
版权

系列文章目录

第一章 Nacos实现配置中心

第二章 Nacos实现注册中心

第三章 Redis队列 

第四章 JWT单点登录

目录

系列文章目录

前言

一、JWT是什么?

二、什么时候你应该用JSON Web Tokens 

三、JSON Web Token的结构

Header

四、使用步骤

1.引入库

2.单元测试

总结

前言

本文主要介绍JWT是什么,JWT的组成结构,以及如何创建JWT。

一、JWT是什么?

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

二、什么时候用JSON Web Tokens 

  • Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。

三、JSON Web Token的结构

     jwt 的token 格式 如: aaa.bbb.ccc

eyJhbGciOiJIUzI1NiJ9.eyJ1c2VOYW1lIjoieWFuZ3lhbmdwaW5nIiwidXNlclR5cGUiOjEsImV4cCI6MTY3ODA3MjcwNSwidXNlcklkIjoxfQ.crrtA7O7vcSkMPEmqazIbQwf29u1_uqCrBvft6o2Wn8

JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是:

  • Header    请求头
  • Payload   载荷
  • Signature 签名

header典型组成:算法名称(比如:HMAC SHA256或者RSA等等)。例如:

{
  "alg": "HS256"
}

然后,用Base64对这个JSON编码就得到JWT的第一部分 

eyJhbGciOiJIUzI1NiJ9

 Base64 Header测试代码

  public static void main(String[] args) throws Exception {
        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        String json = JSON.toJSONString(map);
        System.out.println(json);
        byte[] textByte = json.getBytes("UTF-8");
        System.out.println(Base64.getEncoder().encodeToString(textByte));
    }

运行结果如下:

{"alg":"HS256"}
eyJhbGciOiJIUzI1NiJ9

JWT Header类定义如下:

public class DefaultHeader<T extends Header<T>> extends JwtMap implements Header<T> {
    public DefaultHeader() {
    }

    public DefaultHeader(Map<String, Object> map) {
        super(map);
    }

    public String getType() {
        return this.getString("typ");
    }

    public T setType(String typ) {
        this.setValue("typ", typ);
        return this;
    }

    public String getContentType() {
        return this.getString("cty");
    }

    public T setContentType(String cty) {
        this.setValue("cty", cty);
        return this;
    }

    public String getCompressionAlgorithm() {
        String alg = this.getString("zip");
        if (!Strings.hasText(alg)) {
            alg = this.getString("calg");
        }

        return alg;
    }

    public T setCompressionAlgorithm(String compressionAlgorithm) {
        this.setValue("zip", compressionAlgorithm);
        return this;
    }
}

playload 

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

  • 标准中注册的声明
  • 公共的声明
  • 私有的声明

标准中注册的声明 (建议但不强制使用) :

  • iss: jwt签发者
  • sub: jwt所面向的用户
  • aud: 接收jwt的一方
  • exp: jwt的过期时间,这个过期时间必须要大于签发时间
  • nbf: 定义在什么时间之前,该jwt都是不可用的.
  • iat: jwt的签发时间
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

公共的声明
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

私有的声明
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个payload:

然后将其进行base64加密,得到Jwt的第二部分 

eyJ1c2VOYW1lIjoieWFuZ3lhbmdwaW5nIiwidXNlclR5cGUiOjEsImV4cCI6MTY3ODA3MjcwNSwidXNlcklkIjoxfQ

signature 

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64后的)
  • payload (base64后的)
  • secret

这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第三部分。


var encodedString = Base64.getEncoder().encodeToString(header) + '.' + Base64.getEncoder().encodeToString(payload);

var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

将这三部分用.连接成一个完整的字符串,构成了最终的jwt: 

eyJhbGciOiJIUzI1NiJ9.eyJ1c2VOYW1lIjoieWFuZ3lhbmdwaW5nIiwidXNlclR5cGUiOjEsImV4cCI6MTY3ODA3MjcwNSwidXNlcklkIjoxfQ.crrtA7O7vcSkMPEmqazIbQwf29u1_uqCrBvft6o2Wn8

注意:secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

四、使用步骤

1.引入库

             <dependency>
                <groupId>io.jsonwebtoken</groupId>
                <artifactId>jjwt</artifactId>
                <version>0.9.1</version>
            </dependency>

代码如下(示例):

public class JwtUtil {
    /**
     * 密钥
     */
    private static final String SECRET = "yangyanping@0615.";

    private static final long EXPIRE_TIME = 24 * 60 * 60 * 1000;

    /**
     * 从数据声明生成令牌
     */
    public static String generateToken(LoginContext.User user) {
        return generateToken(user.getId(), user.getUserType(), user.getName());
    }

    /**
     * 从数据声明生成令牌
     */
    public static String generateToken(Long userId, Integer userType, String useName) {
        long currentTime = System.currentTimeMillis();
        Map<String, Object> claims = Maps.newHashMap();
        claims.put("userId", userId);
        claims.put("userType", userType);
        claims.put("useName", useName);


        return Jwts.builder()
                .setId(UUID.randomUUID().toString())
                //设置签发时间
                .setIssuedAt(new Date(currentTime))  //签发时间
                //设置body数据
                .setClaims(claims)
                //签约算法和设置秘钥
                .signWith(SignatureAlgorithm.HS256, SECRET) //加密方式
                .setExpiration(new Date(currentTime + EXPIRE_TIME))  //过期时间戳
                .compact();
    }

    /**
     * 从令牌中获取用户名
     */
    public static LoginContext.User getUserFromToken(String token) {
        LoginContext.User user;
        try {
            Claims claims = getClaimsFromToken(token);

            if (null == claims) {
                return null;
            }

            Long userId = Long.valueOf(claims.get("userId") + "");
            Integer userType = (Integer) claims.get("userType");
            String useName = (String) claims.get("useName");

            user = new LoginContext.User(userId, userType, useName);

        } catch (Exception e) {
            user = null;
        }
        return user;
    }

    /**
     * 判断令牌是否过期
     */
    public static Boolean isTokenExpired(String token) {
        try {
            Claims claims = getClaimsFromToken(token);
            if (null == claims) {
                return false;
            }
            Date expiration = claims.getExpiration();
            return expiration.before(new Date());
        } catch (Exception e) {
            return false;
        }
    }

    /**
     * 从令牌中获取数据声明
     */
    private static Claims getClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody();
        } catch (Exception e) {
            claims = null;
        }
        return claims;
    }

}

2.单元测试

代码如下(示例):

    public static void main(String[] args) {
        String token = JwtUtil.generateToken(1L,1,"yangyangping");
        System.out.println("token=" + token);
        LoginContext.User user = JwtUtil.getUserFromToken(token);

        System.out.println(user.getId() + "," + user.getUserType() +"," + user.getName());
    }

测试输出结果:

token=eyJhbGciOiJIUzI1NiJ9.eyJ1c2VOYW1lIjoieWFuZ3lhbmdwaW5nIiwidXNlclR5cGUiOjEsImV4cCI6MTY3ODA2ODk3MSwidXNlcklkIjoxfQ.-_Es5ipQxXxMcPa-MHndV7RUHFOuGDYgRg871bllm6U
1,1,yangyangping

 3.TokenInterceptor 拦截器

/**
 * token登陆拦截器
 *
 * @author yangyanping
 * @date 2023-03-06
 */
@Slf4j
public class TokenInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("Authorization");

        if (StringUtils.isBlank(token)) {
            return true;
        }

        try {
            Boolean expired = JwtUtil.isTokenExpired(token);

            if (!expired) {
                Long userId = JwtUtil.getUserIdFromToken(token);
                UserInfo userInfo = ApplicationContextHelper.getBean(UserLoginCache.class).get(userId);

                if (userInfo != null) {
                    LoginContext.put(userInfo);
                }
            }
        } catch (Exception ex) {
            log.error("LoginInterceptor error !", ex);
        }

        return true;
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        LoginContext.clear();
    }
}

4.如何应用 

一般是在请求头里加入Authorization

服务端会验证token,如果验证通过就会返回相应的资源。整个流程就是这样的:

总结

参考:

什么是 JWT -- JSON WEB TOKEN - 简书

https://www.cnblogs.com/wangrudong003/p/10122706.html

yangyanping20108
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt-security-demo:通过JWT保护微服务的演示
02-24
jwt-security 通过JWT保护微服务的演示
使用 JWT+RSA 完成微服务分布式系统下单点登录功能
Calm 的博客
11-23 513
首先来看看有状态和无状态是什么。 无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求 的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记 录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户 的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保
学习记录 - JWT实现单点登录解决方案demo
qq_44749121的博客
04-03 369
但无论系统内部多么复杂,对用户而言,都是一个统一的整体,访问web系统的整个应用群要和访问单个系统一样,登录/注销只要一次就够了,不可能让一个用户在每个业务系统上都进行一次登录验证操作,这时就需要独立出一个单独的认证系统,它就是单点登录系统。单点登录一般用于互相授信的系统,实现单一位置登录,其他信任的应用直接免登录的方式,在多个应用系统中,只需要登录一次,就可以访问其他互相信任的应用系统。JWT的请求流程也特别简单,首先使用账号登录获取Token,然后后面的各种请求,都带上这个Token即可。
SpringBoot SpringSecurity JWT+Redis+RSA授权登录登出 验证码 前后端分离 分布式
qq_50909707的博客
10-08 3753
对于微服务来说,私钥放在认证服务上,其他服务只需要存公钥即可。因为其他服务只做校验,不加密JWT。私钥加密,公钥解密。公钥和私钥放到服务器上,私钥用于授权服务器授权token时加密,其他服务器仅需要通过公钥便可对加密内容进行解析了。服务器通过用户输入的验证码结果和redis中的缓存进行比较得出是否验证码正确。只要安装了JDK,就有这个工具。携带错误的token测试:可以看到错误的token会被服务器警告。退出登录后,redis中缓存的用户信息将被删除。这里我们便实现了登录逻辑。复制文本,重命名文件。
利用JWT安全验证(前后端分离,单点登录,分布式微服务
谔定靴的博客
04-25 3465
JWT官网: https://jwt.io/JWT(Java版)的github地址:https://github.com/jwtk/jjwt JWT请求流程 用户使用账号和面发出post请求; 服务器使用私钥创建一个jwt; 服务器返回这个jwt给浏览器; 浏览器将该jwt串在请求头中像服务器发送请求; 服务器验证该jwt; 返回响应的资源给浏览器。 JWT的主要...
JWT实现单点登录(sso)功能
玩转Java
12-04 5497
单点登录描述: 单点登录主要时应用在微服务架构中,在任意一个子服务中输入用户的用户名,密码进行登录时, 在跳转到其他系统的时候,就无需在进行登录,直接可以识别出用户的身份,权限以及角色等信息 . . JWT:全称java web token, 本质时一组加密后的字符串 JWT有三部分组成: header + payload+ sign (头+载荷+签名), header记录: jwt使用的加密算法的类型,是一个json字符串,使用base64编码 payload载荷记录: 用户的用户名,用户角色,用户
spring boot如何基于JWT实现单点登录详解
08-25
主要介绍了spring boot如何基于JWT实现单点登录详解,用户只需登录一次就能够在这两个系统中进行操作。很明显这就是单点登录(Single Sign-On)达到的效果,需要的朋友可以参考下
基于JWT实现单点登录
热门推荐
Lyh_ok的博客
05-15 1万+
单点登录概述: 多系统共存下,用户在一处地方登录,得到其他所有系统的信任,无需再次登录。 自己的理解:在进行用户登录的时候,jwt生成一个token,用户带着这个token去其他页面进行验证。(token设置过期时间) 这里介绍一些jwt基本概念 JWT:1.认证流程 a.首先,前端通过web表单将自己的用户民和密码发送到后端的接口,这一过程一般是一个HTTP,POST请求。建议的方式是通过SSL 加密的方式传输(https协议),从而避免敏感信息被嗅探。 b.后端核对用户名和密码成功后,将用户的id
jwt超时时间 angular expiredat_JWT实现单点登录的方法
weixin_39681644的博客
11-21 757
什么是JSON Web Token(JWT)?JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。虽然JWT可以加密以在各方之间提供保密,但只将专注于签名令牌。签名令牌可以验证其...
JWT单点登录
weixin_45427945的博客
06-09 1501
JWT单点登录
JWT实现单点登录
Shu0Shuo的博客
05-15 1568
舔狗的自我修养:怕你(服务器)太累(装太多session数据),所以我来承担!!
golang实现单点登录系统(go-sso)
01-19
这是一个基于Go语言开发的单点登录系统,实现手机号注册、手机号+验证码登录、手机号+密码登录、账号登出等功能,用户认证采用cookie和jwt两种方式。收发短信相关方法已提供,仅需根据短信通道提供商提供的接口做...
MaxKey单点登录认证系统-其他
06-11
寓意是最大钥匙,是业界领先的企业级IAM身份管理和身份认证产品,支持OAuth 2.0/OpenID Connect、SAML 2.0、JWT、CAS等标准化的开放协议,提供简单、标准、安全和开放的用户身份管理(IDM)、身份认证(AM)、单点登录...
开源多租户IDaas产品-MaxKey 单点登录认证系统 v3.5.6GA官方源代码
09-07
谐音马克思的钥匙寓意是最大钥匙,是业界领先的IAM身份管理和认证产品,支持OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM等标准协议,提供安全、标准和开放的用户身份管理(IDM)、身份认证(AM)、单点登录(SSO)...
【MaxKey单点登录认证系统 v2.4.0 RC】企业级IAM身份管理和身份认证产品+RBAC权限管理.zip
04-11
寓意是最大钥匙,是业界领先的企业级IAM身份管理和身份认证产品,支持OAuth 2.0/OpenID Connect、SAML 2.0、JWT、CAS等标准化的开放协议,提供简单、标准、安全和开放的用户身份管理(IDM)、身份认证(AM)、单点登录...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
​ 在微服务中我们一般采用的是无状态登录,而传统的session方式,在前后端分离的微服务架构下,如继续使用则必将要解决跨域sessionId问题、集群session共享问题等等。这显然是费力不讨好的,而整合shiro,却很不...
python复习(三)
qq_43710593的博客
04-29 360
类是一种面向。
SpringBoot中实现发送邮件
最新发布
hac1322的博客
04-30 561
当你添加了spring-boot-starter-mail依赖后,Spring Boot会自动配置JavaMailSender实例,并根据application.yml文件中的属性来配置这个实例。你可以直接在需要发送邮件的地方通过@Autowired注解将JavaMailSender实例注入到你的类中,然后使用它来发送邮件。:首先,需要在你的pom.xml文件中添加Spring Boot的邮件发送器依赖。,简化了在Spring Boot应用程序中发送电子邮件的设置过程。Spring Boot的。
python学习笔记----循环语句(
取个名字太难了a的博客
04-28 1033
随机数种子在生成随机数的过程中起到一个非常重要的作用。它是用于初始化随机数生成算法(伪随机数生成器)的初始值。随机数种子的作用可重复性:当你使用特定的种子值初始化随机数生成器时,即使在不同的运行环境或不同时间,生成的随机数序列都将是相同的。这对于调试和测试非常重要,因为它允许程序的行为在使用随机数时保持一致。控制随机性:种子提供了一种方法来控制随机数生成过程。通过改变种子,你可以获得不同的随机数序列,这对于模拟和其他需要随机输入的应用非常有用。
java jwt 单点登录
06-06
java jwt 单点登录是指使用Java程序实现单点登录(SSO)功能时,使用JWT(JSON Web Token)技术来保证用户身份的安全性和有效性。 JWT是一个轻量级的开放标准,用于在网络上传输数据。其包含三部分:Header、Payload和Signature。Header包含算法和token类型;Payload包含用户信息、权限以及过期时间等;Signature则是对Header和Payload的签名,以确保这个JWT是可信的。 在实现Java JWT单点登录时,首先需要通过一个认证服务器来颁发JWT token。用户登录成功后,服务器会生成一个JWT并返回给客户端。客户端收到token后,可以保存在本地进行后续操作。当用户访问其他系统时,需要携带这个JWT token,系统会通过请求头中的token信息,验证用户的身份。 通过JWT单点登录技术,用户只需要登录一次即可访问多个系统,不需要重复登录,大大提高了用户体验和安全性。同时,JWT token的加密和解密需要使用相同的密钥,这也可以更好地保障用户信息的安全性。 在Java中,可以使用第三方库如jjwt来简化JWT token的生成和验证过程。同时也可以使用Spring Security等框架来实现JWT单点登录功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值