JWT

1.JWT

1.1.简介

JWT，全称是Json Web Token， 是JSON风格轻量级的授权和身份认证规范，可实现无状态、分布式的Web应用授权；官网：https://jwt.io

GitHub上jwt的java客户端：https://github.com/jwtk/jjwt

1.2.数据格式

JWT的token包含三部分数据：

• Header：头部，通常头部有两部分信息：

– 声明类型，这里是JWT

– 加密算法，自定义

我们会对头部进行base64加密（可解密），得到第一部分数据

• Payload：载荷，就是有效数据，一般包含下面信息：

– 用户身份信息（注意，这里因为采用base64加密，可解密，因此不要存放敏感信息）

– 注册声明：如token的签发时间，过期时间，签发人等

这部分也会采用base64加密，得到第二部分数据

• Signature：签名，是整个数据的认证信息。一般根据前两步的数据，再加上服务的的密钥（secret）（不要泄漏，最好周期性更换），通过加密算法生成。用于验证整个数据完整和可靠性

生成的数据格式：

可以看到分为3段，每段就是上面的一部分数据

1.3.JWT交互流程

流程图：

步骤翻译：

• 1、用户登录

• 2、服务的认证，通过后根据secret生成token

• 3、将生成的token返回给用户

• 4、用户每次请求携带token

• 5、服务端利解读jwt签名，判断签名有效后，从Payload中获取用户信息

• 6、处理请求，返回响应结果

因为JWT签发的token中已经包含了用户的身份信息，并且每次请求都会携带，这样服务的就无需保存用户信息，甚至无需去数据库查询，完全符合了Rest的无状态规范。

1.4.结合Zuul的鉴权流程

我们逐步演进系统架构设计。需要注意的是：secret是签名的关键，因此一定要保密，我们放到鉴权中心保存，其它任何服务中都不能获取secret。

在微服务架构中，我们可以把服务的鉴权操作放到网关中，将未通过鉴权的请求直接拦截，如图：

• 1、用户请求登录

• 2、Zuul将请求转发到授权中心，请求授权

• 3、授权中心校验完成，颁发JWT凭证

• 4、客户端请求其它功能，携带JWT

• 5、Zuul将jwt交给授权中心校验，通过后放行

• 6、用户请求到达微服务

• 7、微服务将jwt交给鉴权中心，鉴权同时解析用户信息

• 8、鉴权中心返回用户数据给微服务

• 9、微服务处理请求，返回响应

2.授权中心

2.1.创建授权中心

授权中心的主要职责：

• 用户鉴权：

– 接收用户的登录请求，通过用户中心的接口进行校验，通过后生成JWT

– 使用私钥生成JWT并返回

• 服务鉴权：微服务间的调用不经过Zuul，会有风险,需要鉴权中心进行认证

– 原理与用户鉴权类似，但逻辑稍微复杂一些（此处我们不做实现）

因为生成jwt，解析jwt这样的行为以后在其它微服务中也会用到，因此我们会抽取成工具。我们把鉴权中心进行聚合，一个工具module，一个提供服务的module