常见的认证机制
1. HTTP Basic Auth
HTTP Basic Auth 简单点说就是每次请求 API 时都提供用户的 username 和 password,简言之,Basic Auth 是配合 RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的 RESTful API 时,尽量避免采用 HTTP Basic Auth。
2. Cookie Auth
Cookie 认证机制就是为一次请求认证在服务端创建一个 Session 对象,同时在客户端的浏览器端创建了一个 Cookie 对象。通过客户端传过来的 Cookie 对象来与服务器端的 session 对象匹配来实现状态管理的。默认的,当我们关闭浏览器的时候,cookie 会被删除。但可以通过修改 cookie 的 expire time 使 cookie 在一定时间内有效。
3. Oauth(第三方登录)
OAuth(开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用户在某一 web 服务上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。
这种基于OAuth的认证机制适用于个人消费者类的互联网产品,如社交类APP等应用,但是不太适合拥有自有认证权限管理的企业应用。
4. Token Auth
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
① 客户端使用用户名跟密码请求登录
② 服务端收到请求,去验证用户名与密码
③ 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
④ 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里
⑤ 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
⑥ 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
token机制的特点
token认证机制是一种无状态的认证。有状态和无状态的区别就是:有状态服务端需要存储用户的信息,而无状态服务端不存储用户的信息。token 机制相比 Cookie 这种有状态的认证机制来说,性能上要快,因为 Cookie 机制还要比对 session 信息,而 token 机制只需要利用算法解析传过来的 token 就可以了。
JWT
JWT(JSON Web Token):是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
JWT组成
一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。
- 头部(Header)
头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象,然后对其进行 BASE64 编码。 - 载荷(playload)
载荷就是存放有效信息的地方。这些有效信息包含三个部分:
1)标准中注册的声明(建议但不强制使用)
2)公共的声明
公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息。但不建议添加敏感信息,因为该部分在客户端可解密。
3)私有的声明
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
这个指的就是自定义的claim。
这些claim跟JWT标准规定的claim区别在于:
JWT 规定的 claim,JWT的接收方在拿到 JWT 之后,都知道怎么对这些标准的 claim 进行验证(还不知道是否能够验证);而 private claims 不会验证,除非明确告诉接收方要对这些claim 进行验证以及规则才行。 - 签证(signature)
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:header (base64后的)、payload (base64后的)、secret(盐)。
这个部分需要 base64 加密后的 header 和 base64 加密后的 payload 使用.
连接组成的字符串,然后通过 header 中声明的加密方式进行加盐 secret 组合加密,然后就构成了 jwt 的第三部分
将这三部分用.
连接成一个完整的字符串,构成了最终的 jwt:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
Java的 JJWT 实现 JWT
JJWT 是一个提供端到端的 JWT 创建和验证的 Java 库。
token创建
① 引入依赖
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.6.0</version>
</dependency>
② 创建类,生成 token
public static void main(String[] args) {
JwtBuilder jwtBuilder = Jwts.builder()
.setId("666")
.setSubject("小马")
.setIssuedAt(new Date())
.setExpiration(new Date(new Date().getTime()+60000))
.claim("role","admin")
.signWith(SignatureAlgorithm.HS256,"itcast");
System.out.println(jwtBuilder.compact());
}
setIssuedAt:用于设置签发时间
setExpiration:用于设置过期时间
claim:设置自定义的 claims
signWith:用于设置签名秘钥
token解析
我们刚才已经创建了 token ,在 web 应用中这个操作是由服务端进行然后发给客户端,客户端在下次向服务端发送请求时需要携带这个 token(这就好像是拿着一张门票一样),那服务端接到这个 token 应该解析出token 中的信息(例如用户id),根据这些信息查询数据库返回相应的结果。
public static void main(String[] args) throws Exception {
Claims claims = null;
try {
claims = Jwts.parser().setSigningKey("itcast")
.parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI2NjYiLCJzdWIiOiLlsI_pqawiLCJpYXQiOjE1Nzk0MDczNjksImV4cCI6MTU3OTQwNzQyOSwicm9sZSI6ImFkbWluIn0.h0qEVRb4HkoWkjC56SSfUmVVRQ8PUXzVH2yyxcgCBPA")
.getBody();
} catch (Exception e) {
throw new Exception("token过期");
}
System.out.println("Id:"+claims.getId());
System.out.println("用户名:"+claims.getSubject());
System.out.println("登录日期:"+ new SimpleDateFormat("yyyy-MM-dd hh:mm:ss").format(claims.getIssuedAt()));
System.out.println("过期日期:"+ new SimpleDateFormat("yyyy-MM-dd hh:mm:ss").format(claims.getExpiration()));
System.out.println("角色:"+ claims.get("role"));
}
注意:一旦 token 过期,解析的时候就会报错,所以一定要加上 try…catch。
实例(管理员登录签发token,删除普通用户鉴权)
1)引入依赖
2)编写创建 token,解析 token 的工具类
@ConfigurationProperties("jwt.config")
public class JwtUtil {
private String key ;
private long ttl ;//一个小时
public String getKey() {
return key;
}
public void setKey(String key) {
this.key = key;
}
public long getTtl() {
return ttl;
}
public void setTtl(long ttl) {
this.ttl = ttl;
}
/**
* 生成JWT
*
* @param id
* @param subject
* @return
*/
public String createJWT(String id, String subject, String roles) {
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
JwtBuilder builder = Jwts.builder().setId(id)
.setSubject(subject)
.setIssuedAt(now)
.signWith(SignatureAlgorithm.HS256, key)
.claim("roles", roles);
if (ttl > 0) {
builder.setExpiration( new Date( nowMillis + ttl));
}
return builder.compact();
}
/**
* 解析JWT
* @param jwtStr
* @return
*/
public Claims parseJWT(String jwtStr){
return Jwts.parser()
.setSigningKey(key)
.parseClaimsJws(jwtStr)
.getBody();
}
}
3)修改 application.yml 的配置
jwt:
config:
key: itcast
ttl: 3600000
4)管理登录后台签发 token
@RequestMapping(value = "/login",method = RequestMethod.POST)
public Result login(@RequestBody Admin admin){
admin = adminService.login(admin);
if (admin == null){
return new Result(false,StatusCode.LOGINERROR,"登录失败");
}
// 返回 token 信息
String token = jwtUtil.createJWT(admin.getId(), admin.getLoginname(), "admin");
Map<String,Object> map = new HashMap<>();
map.put("token",token);
map.put("roles","admin");
return new Result(true,StatusCode.ACCESSERROR,"登录成功",map);
}
5)删除普通用户鉴权
需求:删除用户,必须拥有管理员权限,否则不能删除。
前后端约定:前端请求微服务时需要添加头信息Authorization ,内容为Bearer+空格+token
public void deleteById(String id) {
String header = request.getHeader("Authorization");
if (header == null || "".equals(header)) {
throw new RuntimeException("权限不足");
}
if (!header.startsWith("Bearer")) {
throw new RuntimeException("权限不足");
}
String token = (String) header.substring(7);
try {
Claims claims = jwtUtil.parseJWT(token);
if (claims == null || !"".equals(claims.get("rolesf"))) {
throw new RuntimeException("权限不足");
}
} catch (Exception e) {
throw new RuntimeException("权限不足");
}
userDao.deleteById(id);
}
6)添加拦截器,用来解析 token
如果每进行一步操作,都解析一遍 token,太麻烦,所以我们可以利用拦截器来解析 token
添加拦截器有两种方式:继承 org.springframework.web.servlet.handler.HandlerInterceptorAdapter
类,或者实现 HandlerInterceptor
接口
在这儿,我们采用实现接口的方式实现:
@Component
public class JwtInterceptor implements HandlerInterceptor {
@Autowired
private JwtUtil jwtUtil;
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
String authorization = request.getHeader("Authorization");
if (authorization != null && !"".equals(authorization)) {
if (authorization.startsWith("Bearer")) {
String token = authorization.substring(7);
try {
Claims claims = jwtUtil.parseJWT(token);
String role = (String) claims.get("roles");
if (role != null && "admin".equals(role)) {
request.setAttribute("claims_admin",token);
}
if (role != null && "user".equals(role)) {
request.setAttribute("claims_user",token);
}
} catch (Exception e) {
throw new RuntimeException("令牌有误");
}
}
}
return true;
}
}
7)配置拦截器,对哪些请求拦截,对哪些请求不拦截
protected void addInterceptors(InterceptorRegistry registry) {
/**
* 对所有路径拦截
* 对登录不拦截
*/
registry.addInterceptor(jwtInterceptor)
.addPathPatterns("/**")
.excludePathPatterns("/**/login/**");
}
8)重新修改删除的方法
public void deleteById(String id) {
String admin = (String) request.getAttribute("claims_admin");
if (admin == null || "".equals(admin)){
throw new RuntimeException("权限不足");
}
userDao.deleteById(id);
}