微服务鉴权之JWT

最新推荐文章于 2024-01-22 14:39:37 发布
最新推荐文章于 2024-01-22 14:39:37 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwj_jyzl/article/details/104045542
版权
常见的认证机制

1. HTTP Basic Auth
    HTTP Basic Auth 简单点说就是每次请求 API 时都提供用户的 username 和 password,简言之,Basic Auth 是配合 RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的 RESTful API 时,尽量避免采用 HTTP Basic Auth。

2. Cookie Auth
    Cookie 认证机制就是为一次请求认证在服务端创建一个 Session 对象,同时在客户端的浏览器端创建了一个 Cookie 对象。通过客户端传过来的 Cookie 对象来与服务器端的 session 对象匹配来实现状态管理的。默认的,当我们关闭浏览器的时候,cookie 会被删除。但可以通过修改 cookie 的 expire time 使 cookie 在一定时间内有效。

3. Oauth(第三方登录)
    OAuth(开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用户在某一 web 服务上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。
    这种基于OAuth的认证机制适用于个人消费者类的互联网产品,如社交类APP等应用,但是不太适合拥有自有认证权限管理的企业应用。

4. Token Auth
     使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
     ① 客户端使用用户名跟密码请求登录
     ② 服务端收到请求,去验证用户名与密码
     ③ 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
     ④ 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里
     ⑤ 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
     ⑥ 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

token机制的特点

token认证机制是一种无状态的认证。有状态和无状态的区别就是:有状态服务端需要存储用户的信息,而无状态服务端不存储用户的信息。token 机制相比 Cookie 这种有状态的认证机制来说,性能上要快,因为 Cookie 机制还要比对 session 信息,而 token 机制只需要利用算法解析传过来的 token 就可以了。

JWT

JWT(JSON Web Token):是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

JWT组成

一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。

  • 头部(Header)
    头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象,然后对其进行 BASE64 编码。
  • 载荷(playload)
    载荷就是存放有效信息的地方。这些有效信息包含三个部分:
    1)标准中注册的声明(建议但不强制使用)
    在这里插入图片描述
    2)公共的声明
          公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息。但不建议添加敏感信息,因为该部分在客户端可解密。
    3)私有的声明
          私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
          这个指的就是自定义的claim。
          这些claim跟JWT标准规定的claim区别在于:
          JWT 规定的 claim,JWT的接收方在拿到 JWT 之后,都知道怎么对这些标准的 claim 进行验证(还不知道是否能够验证);而 private claims 不会验证,除非明确告诉接收方要对这些claim 进行验证以及规则才行。
  • 签证(signature)
          jwt的第三部分是一个签证信息,这个签证信息由三部分组成:header (base64后的)、payload (base64后的)、secret(盐)。
          这个部分需要 base64 加密后的 header 和 base64 加密后的 payload 使用.连接组成的字符串,然后通过 header 中声明的加密方式进行加盐 secret 组合加密,然后就构成了 jwt 的第三部分

将这三部分用.连接成一个完整的字符串,构成了最终的 jwt:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

Java的 JJWT 实现 JWT

JJWT 是一个提供端到端的 JWT 创建和验证的 Java 库。

token创建

① 引入依赖

<dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.6.0</version>
</dependency>

② 创建类,生成 token

public static void main(String[] args) {
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId("666")
                .setSubject("小马")
                .setIssuedAt(new Date())
                .setExpiration(new Date(new Date().getTime()+60000))
                .claim("role","admin")
                .signWith(SignatureAlgorithm.HS256,"itcast");
        System.out.println(jwtBuilder.compact());
}

setIssuedAt:用于设置签发时间
setExpiration:用于设置过期时间
claim:设置自定义的 claims
signWith:用于设置签名秘钥

token解析

我们刚才已经创建了 token ,在 web 应用中这个操作是由服务端进行然后发给客户端,客户端在下次向服务端发送请求时需要携带这个 token(这就好像是拿着一张门票一样),那服务端接到这个 token 应该解析出token 中的信息(例如用户id),根据这些信息查询数据库返回相应的结果。

public static void main(String[] args) throws Exception {
        Claims claims = null;
        try {
            claims = Jwts.parser().setSigningKey("itcast")
                    .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI2NjYiLCJzdWIiOiLlsI_pqawiLCJpYXQiOjE1Nzk0MDczNjksImV4cCI6MTU3OTQwNzQyOSwicm9sZSI6ImFkbWluIn0.h0qEVRb4HkoWkjC56SSfUmVVRQ8PUXzVH2yyxcgCBPA")
                    .getBody();
        } catch (Exception e) {
            throw new Exception("token过期");
        }
        System.out.println("Id:"+claims.getId());
        System.out.println("用户名:"+claims.getSubject());
        System.out.println("登录日期:"+ new SimpleDateFormat("yyyy-MM-dd hh:mm:ss").format(claims.getIssuedAt()));
        System.out.println("过期日期:"+ new SimpleDateFormat("yyyy-MM-dd hh:mm:ss").format(claims.getExpiration()));
        System.out.println("角色:"+ claims.get("role"));
    }

注意:一旦 token 过期,解析的时候就会报错,所以一定要加上 try…catch。

实例(管理员登录签发token,删除普通用户鉴权)

1)引入依赖
2)编写创建 token,解析 token 的工具类

@ConfigurationProperties("jwt.config")
public class JwtUtil {

    private String key ;

    private long ttl ;//一个小时

    public String getKey() {
        return key;
    }

    public void setKey(String key) {
        this.key = key;
    }

    public long getTtl() {
        return ttl;
    }

    public void setTtl(long ttl) {
        this.ttl = ttl;
    }

    /**
     * 生成JWT
     *
     * @param id
     * @param subject
     * @return
     */
    public String createJWT(String id, String subject, String roles) {
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        JwtBuilder builder = Jwts.builder().setId(id)
                .setSubject(subject)
                .setIssuedAt(now)
                .signWith(SignatureAlgorithm.HS256, key)
                .claim("roles", roles);
        if (ttl > 0) {
            builder.setExpiration( new Date( nowMillis + ttl));
        }
        return builder.compact();
    }

    /**
     * 解析JWT
     * @param jwtStr
     * @return
     */
    public Claims parseJWT(String jwtStr){
        return  Jwts.parser()
                .setSigningKey(key)
                .parseClaimsJws(jwtStr)
                .getBody();
    }
}

3)修改 application.yml 的配置

jwt:
  config:
    key: itcast
    ttl: 3600000

4)管理登录后台签发 token

@RequestMapping(value = "/login",method = RequestMethod.POST)
	public Result login(@RequestBody Admin admin){
		admin = adminService.login(admin);
		if (admin == null){
			return new Result(false,StatusCode.LOGINERROR,"登录失败");
		}
		// 返回 token 信息
		String token = jwtUtil.createJWT(admin.getId(), admin.getLoginname(), "admin");
		Map<String,Object> map = new HashMap<>();
		map.put("token",token);
		map.put("roles","admin");
		return new Result(true,StatusCode.ACCESSERROR,"登录成功",map);
	}

5)删除普通用户鉴权
需求:删除用户,必须拥有管理员权限,否则不能删除。
前后端约定:前端请求微服务时需要添加头信息Authorization ,内容为Bearer+空格+token

public void deleteById(String id) {
		String header = request.getHeader("Authorization");
		if (header == null || "".equals(header)) {
			throw new RuntimeException("权限不足");
		}
		if (!header.startsWith("Bearer")) {
			throw new RuntimeException("权限不足");
		}
		String token = (String) header.substring(7);
		try {
			Claims claims = jwtUtil.parseJWT(token);
			if (claims == null || !"".equals(claims.get("rolesf"))) {
				throw new RuntimeException("权限不足");
			}
		} catch (Exception e) {
			throw new RuntimeException("权限不足");
		}
		userDao.deleteById(id);
}

6)添加拦截器,用来解析 token
如果每进行一步操作,都解析一遍 token,太麻烦,所以我们可以利用拦截器来解析 token
添加拦截器有两种方式:继承 org.springframework.web.servlet.handler.HandlerInterceptorAdapter类,或者实现 HandlerInterceptor接口
在这儿,我们采用实现接口的方式实现:

@Component
public class JwtInterceptor implements HandlerInterceptor {

    @Autowired
    private JwtUtil jwtUtil;

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String authorization = request.getHeader("Authorization");
        if (authorization != null && !"".equals(authorization)) {
            if (authorization.startsWith("Bearer")) {
                String token = authorization.substring(7);
                try {
                    Claims claims = jwtUtil.parseJWT(token);
                    String role = (String) claims.get("roles");
                    if (role != null && "admin".equals(role)) {
                        request.setAttribute("claims_admin",token);
                    }
                    if (role != null && "user".equals(role)) {
                        request.setAttribute("claims_user",token);
                    }
                } catch (Exception e) {
                    throw new RuntimeException("令牌有误");
                }
            }
        }
        return true;
    }
}

7)配置拦截器,对哪些请求拦截,对哪些请求不拦截

protected void addInterceptors(InterceptorRegistry registry) {
        /**
         * 对所有路径拦截
         * 对登录不拦截
         */
        registry.addInterceptor(jwtInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/**/login/**");
}

8)重新修改删除的方法

public void deleteById(String id) {
		String admin = (String) request.getAttribute("claims_admin");
		if (admin == null || "".equals(admin)){
			throw new RuntimeException("权限不足");
		}
		userDao.deleteById(id);
	}
张伟杰-Vijay
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
怎么实现微服务鉴权JWT
weixin_55542845的博客
02-17 970
怎么实现微服务鉴权
搭建微服务下统一认证授权服务,鉴权客户端大致流程(基于无状态)
BurukeYou
02-11 6530
1.简介 基于无状态令牌(jwt)的认证方案,服务端无需保存用户登陆状态 基于spring security框架 + oauth2协议 搭建 基于spring cloud nacos,服务调用使用RestTemplate 前置知识: jwt (也就是这里用到的token) 就是一大串加密的字符串,用户的登陆状态都保存在里面,但这种字符串里面的数据不能被修改,一但修改校验一定会出错....
密码加密与微服务鉴权JWT
kalvin_y_liu的博客
02-16 606
密码加密与微服务鉴权JWT ## 学习目标 1、用户注册时候,对数据库中用户的密码进行加密存储(使用 SpringSecurity)。 2、使用 JWT 鉴权认证。 一、BCrypt 密码加密 二、常见的认证机制 2.1、HTTP Basic Auth HTTP Basic Auth简单点说就是每次请求API时都提供用户的username和 password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供 用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风
M0(日常)-02-使用JJWT实现JWT中“SignatureAlgorithm.HS256”爆红
FROZENcj的博客
01-27 2828
使用JJWT实现JWT中“SignatureAlgorithm.HS256”爆红
一步步教你实现JWT认证和授权
weixin_52533007的博客
08-11 2617
本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远!JWT认证(JSON Web Token authentication)是一种基于Token的身份验证机制。它使用JSON Web Token(JWT)作为身份验证的凭据,并通过对JWT进行验证来确认用户的身份和授权用户访问受保护的资源。大家不要把三者想的太复杂session是诞生并保存在服务器那边的,由服务器主导一切。
微服务 认证授权中心搭建 Token使用案例 redis JWT 1
qq_50909707的博客
05-13 2391
目录 一、依赖 二、配置 三、启动类 四、授权功能配置 五、网络安全配置 六、测试token 一、依赖 <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId> &lt
SpringCloud 微服务开发JWT认证流程
bss13287350062的博客
11-17 746
服务端自主验签方案 执行流程: 第一步,认证中心微服务负责用户认证任务,在启动时从 Nacos 配置中心抽取 JWT 加密用私钥; 第二步,用户在登录页输入用户名密码,客户端向认证中心服务发起认证请求 http://usercenter/login #认证中心用户认证(登录)地址 第三步,认证中心服务根据输入在用户数据库中进行认证校验,如果校验成功则返回认证中心将生成用户的JSON数据并创建对应的 JWT 返回给客户端 第四步,在收到上述 JSON 数据后,客户端将其中 toke..
微服务授权认证及实践
Ellen的博客
08-31 1355
OAuth2.0是当前业界标准的授权协议,它的核心是若干个针对不同场景的令牌颁发和管理流程;而JWT是一种轻量级、自包含的令牌,可用于在微服务间安全地传递用户信息。OAuth 2.0的模式一共有四种,这里只假设客户直接访问公司自己的门户网站,即第一方Web应用,可以选择OAuth 2.0的资源拥有者凭据模式。 OAuth2令牌 + JWT混合模式,IDP(Identity Provider)要支持OAuth 2.0 授权协议处理,及从OAuth2令牌到JWT令牌的转换。最后以代码方式实现了授权、认证过程。.
使用JWT微服务的登录方案
热门推荐
Hello World ^—^
03-06 3万+
由于微服务大都是分布式的,需要几台服务器部署,当一个用户在其中一台服务器登录后,传统的方式是session保存其登录信息,然后可以使用共享存储共享,比如redis共享,这种方案的缺点在于共享存储需要一定保护机制,因此需要通过安全链接来访问,这时解决方案的实现就通常具有相当高的复杂性了,所以这里使用基于令牌的方式做登录。 JWT简介 简介网上都有,下面是摘抄的一部分,做做笔记。。。 JWT(J...
微服务学习系列四:JWT单点登录
yangyanping20108的博客
03-03 488
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密
微服务JWT的介绍与使用
最新发布
xuewenyu_的博客
01-22 1469
​ RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,“由已知加密密钥推导出解密密钥在计算上是不可逆的”密码体制。​ 在公开密钥密码体制中,加密密钥(即公开密钥)PK是公开信息,而解密密钥(即秘密密钥)SK是需要保密的。加密算法E和解密算法D也都是公开的。虽然解密密钥SK是由公开密钥PK决定的,但却不能根据PK计算出SK [2]。​ RSA加密:非对称加密。​ 同时生产一对秘钥:公钥和私钥。​ 公钥秘钥:用于加密​ 私钥秘钥:用于解密。
SpringCloud微服务核心技术精讲
12-13
课程介绍 【完善体系+精品资料】本课程总计115课时,打造全网最全的微服务体系课程;从微服务是什么、能够做什么开始讲起,绝对零基础入门到精通类型。课程整体脉络十分清晰,每个章节一个知识点,画图+源码+运行讲解,不信你学不会。1、课程先讲解了什么是单体架构、什么是微服务架构、他们之间有什么区别和联系,各自有什么优缺点。2、从本质入手,使用最简单的Spring Boot搭建微服务,让你认清微服务是一种思想和解决问题的手段,而不是新兴技术。3、讲解Spring Boot 与 Spring Cloud 微服务架构之间的联系,原生的RestTemplate工具,以及Actuator监控端点的使用。4、带着微服务所带来的各种优缺点,为大家引入服务发现与注册的概念和原理,从而引入我们的第一个注册中心服务Eureka。5、引入负载均衡的理念,区分什么是服务端负载均衡,什么是客户端负载均衡,进而引入Ribbon负载均衡组件的详细使用。6、为了解决微服务之间复杂的调用,降低代码的复杂度,我们引入了Feign声明式客户端,让你几行代码学习服务的远程调用。7、为了解决服务之间的稳定性,避免发生雪崩问题,我们引入了Hystrix断路器,服务降级和熔断机制。8、微服务集群十分庞大,监控起来是十分困难的,尤其是对每一个接口的熔断情况进行监控,因此我们引入了Turbine微服务监控。9、微服务的调用是杂乱无章的,可以网状调用,怎么做到统一的入口出口,统一的授权、加密、解密、日志过滤,我们引入了第一代网关Zuul。10、微服务的配置分散,每次要修改配置都要重启服务,因此我们引入了Config配置中心。11、跟上主流,Consul是当前主流的服务注册与发现、配置中心一体化的解决方案。12、阿里的Nacos服务注册与发现、配置中心在国内炙手可热,Nacos 经历过双十一的微服务中间件。13、Turbin做微服务监控还是太弱,我们需要更强大,可视化,操作性更强的监控系统,因此我引入了Spring Boot Admin体系。14、Zuul已经停止更新支持,Spring Cloud官方推荐的二代网关Spring Cloud Gateway更加强大。15、微服务的安全架构体系虽然复杂,但是是有学习条例的,什么是认证授权、什么是OAuth2.0的原理JWT、怎么样去开发实现。 课程资料 【独家资料】1、课程附带全部63个项目源码,其中Hoxton版本项目源码37个,Edgware版本项目26个,2、230页高清PDF正版课件。3、附带nacos、consul、cmder等视频配套软件。学习方法1、每一节课程均有代码,较好的方式为一边听我的讲解,一边使用我提供的项目代码进行观察和运行。2、课程体系庞大,但是并不杂乱,每个章节只针对一个知识点,减轻学习压力。3、坚持每天学习1~2个章节,可以在地铁、公交上用手机学习。【完善知识体系图】
JWT微服务系统中的如何应用,如何保证安全性?
Keen to coding 的博客
05-04 5908
JWT 是如何实现认证过程的?
微服务项目 -- day06 密码加密与微服务鉴权JWT
wingzhezhe的博客
07-15 1771
一、BCript加密二、常见的认证机制三、基于JWT的Token认证机制实现四、Java的JJWT实现JWT五、项目中加入鉴权功能
JWT 实现微服务鉴权
L-李俊漩的博客
07-11 923
一、JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等,这也可以被表示成一个JSON对象。 {"typ":"JWT","alg":"HS256"} 载荷(...
密码加密与微服务鉴权JWT-微服务鉴权
shenzhen_zsw的专栏
06-04 509
密码加密与微服务鉴权JWT-微服务鉴权微服务鉴权JWT工具类编写1)tensquare_common工程引入依赖(考虑到工具类的通用性)2)修改tensquare_common工程,创建util.JwtUtil3)修改tensquare_user工程的application.yml, 添加配置管理员登陆后台签发token1)配置bean .修改tensquare_user工程Application...
JWT的使用:Spring Cloud微服务接口鉴权
Lumia
01-13 1万+
0 JWT是什么 JWT(JSON Web Token)是一种开放标准,它以一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。 其认证原理是,客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。 0.1 JWT的结构 一个JWT是一个字符串,其由H...
什么是daemon?以及daemon与服务的关系
zz_strive_2012的专栏
11-06 1810
https://blog.csdn.net/qq_41453285该博主文章值得学习。 一、服务的概念 常驻内存中的进程可以提供一些系统或网络功能,这些功能就是服务(service) 二、daemon的介绍 1.引入 daemon意为守护神、恶魔的意思 有时候我上网查找一些数据时,可能会看到:请启动某某daemon来提供某某功能/服务 2.daemon与服务的关系 我们系统为了某些功能必须要提供一些服务,而如何产生这些服务?那就是需要一个程序来运行产生这个服务。那么这个程序相对于这个服务来说就是

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值