授权中心

最新推荐文章于 2024-06-16 07:30:00 发布
原创 最新推荐文章于 2024-06-16 07:30:00 发布 · 828 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jwt #过滤器

leyou-user


无状态登陆

在服务器端保存session
无状态不需要session,把登陆状态保存在cookie中

无状态登录的流程:

  • 当客户端第一次请求服务时,服务端对用户进行信息认证(登录)
  • 认证通过,将用户信息进行加密形成token,返回给客户端,作为登录凭证
  • 以后每次请求,客户端都携带认证的token
  • 服务的对token进行解密,判断是否有效。
  • token的安全性:JWT + RSA非对称加密
    在这里插入图片描述

JWT + RSA非对称加密

token:登陆时,jwt oath2 
jwt:头信息(jwt) 载荷(用户信息,签发人 签发时间 有效时间) 签名(头信息+载荷:通过加密算法生成。作用:校验前两部分内容的合法性)

zuul网关访问的流程

在这里插入图片描述

  • 我们首先利用RSA生成公钥和私钥。私钥保存在授权中心,公钥保存在Zuul和各个信任的微服务
  • 用户请求登录
  • 授权中心校验,通过后用私钥对JWT进行签名加密
  • 返回jwt给用户
  • 用户携带JWT访问
  • Zuul直接通过公钥解密JWT,进行验证,验证通过则放行
  • 请求到达微服务,微服务直接用公钥解析JWT,获取用户信息,无需访问授权中心

搭建授权中心

聚合工程:leyou-auth-common(jwt相关的工具类) leyou-auth-service(微服务)
  • 用户鉴权:
    • 接收用户的登录请求,通过用户中心的接口进行校验,通过后生成JWT
    • 使用私钥生成JWT并返回
  • 服务鉴权:微服务间的调用不经过Zuul,会有风险,需要鉴权中心进行认证
    • 原理与用户鉴权类似,但逻辑稍微复杂一些(此处我们不做实现)

因为生成jwt,解析jwt这样的行为以后在其它微服务中也会用到,因此我们会抽取成工具。我们把鉴权中心进行聚合,一个工具module,一个提供服务的module
在这里插入图片描述
在这里插入图片描述

编写登录授权接口

在leyou-auth-servcice编写一个接口,对外提供登录授权服务。基本流程如下:

  • 客户端携带用户名和密码请求登录
  • 授权中心调用用户中心接口,根据用户名和密码查询用户信息
  • 如果用户名密码正确,能获取用户,否则为空,则登录失败
  • 如果校验成功,则生成JWT并返回

jwtUtils

根据载荷还有私钥生成jwt类型的token
根据公钥解析jwt类型的token,获取载荷信息(userInfo)
rsaUtils(生成公钥和私钥文件,并且读取公钥和私钥文件返回公钥和私钥对象)

登陆功能

1.调用user-service中的queryUser接口,验证用户是否正确
2.判断返回的用户信息是否为空
3.生成jwt类型的token
4.token信息设置到cookie中

首页用户名回显

1.获取Cookie中jwt类型的token @CookieValue("LY_TOKEN")
2.jwtUtils解析jwt,获取用户信息
	判断用户是否为空
3.刷新jwt时间 cookie时间
4.响应用户信息

在zuul网关添加过滤器

在Zuul编写拦截器,对用户的token进行校验,如果发现未登录,则进行拦截。
在这里插入图片描述

编写过滤器逻辑

基本逻辑:

  • 获取cookie中的token
  • 通过JWT对token进行校验
  • 通过:则放行;不通过:则重定向到登录页
    在这里插入图片描述
@Component
@EnableConfigurationProperties(JwtProperties.class)
public class LoginFilter extends ZuulFilter {

    @Autowired
    private JwtProperties properties;

    @Override
    public String filterType() {
        return "pre";
    }

    @Override
    public int filterOrder() {
        return 5;
    }

    @Override
    public boolean shouldFilter() {
        return true;
    }

    @Override
    public Object run() throws ZuulException {
        // 获取上下文
        RequestContext context = RequestContext.getCurrentContext();
        // 获取request
        HttpServletRequest request = context.getRequest();
        // 获取token
        String token = CookieUtils.getCookieValue(request, this.properties.getCookieName());
        // 校验
        try {
            // 校验通过什么都不做,即放行
            JwtUtils.getInfoFromToken(token, this.properties.getPublicKey());
        } catch (Exception e) {
            // 校验出现异常,返回403
            context.setSendZuulResponse(false);
            context.setResponseStatusCode(HttpStatus.FORBIDDEN.value());
        }
        return null;
    }
}

白名单;

并不是所有的路径我们都需要拦截,例如:

  • 登录校验接口:/auth/**
  • 注册接口:/user/register
  • 数据校验接口:/user/check/**
  • 发送验证码接口:/user/code
  • 搜索接口:/search/**

另外,跟后台管理相关的接口,因为我们没有做登录和权限,因此暂时都放行,但是生产环境中要做登录校验:

  • 后台商品服务:/item/**

所以,我们需要在拦截时,配置一个白名单,如果在名单内,则不进行拦截。
在application.yaml中添加规则:

leyou:
  filter:
    allowPaths:
      - /api/auth
      - /api/search
      - /api/user/register
      - /api/user/check
      - /api/user/code
      - /api/item

然后读取这些属性:在这里插入图片描述

@ConfigurationProperties(prefix = "leyou.filter")
public class FilterProperties {

    private List<String> allowPaths;

    public List<String> getAllowPaths() {
        return allowPaths;
    }

    public void setAllowPaths(List<String> allowPaths) {
        this.allowPaths = allowPaths;
    }
}

在过滤器中的shouldFilter方法中添加判断逻辑

@Component
@EnableConfigurationProperties({JwtProperties.class, FilterProperties.class})
public class LoginFilter extends ZuulFilter {

    @Autowired
    private JwtProperties jwtProp;

    @Autowired
    private FilterProperties filterProp;

    private static final Logger logger = LoggerFactory.getLogger(LoginFilter.class);

    @Override
    public String filterType() {
        return "pre";
    }

    @Override
    public int filterOrder() {
        return 5;
    }

    @Override
    public boolean shouldFilter() {
        // 获取上下文
        RequestContext ctx = RequestContext.getCurrentContext();
        // 获取request
        HttpServletRequest req = ctx.getRequest();
        // 获取路径
        String requestURI = req.getRequestURI();
        // 判断白名单
        // 遍历允许访问的路径
        for (String path : this.filterProp.getAllowPaths()) {
            // 然后判断是否是符合
            if(requestURI.startsWith(path)){
                return false;
            }
        }
        return true;
    }

    @Override
    public Object run() throws ZuulException {
        // 获取上下文
        RequestContext ctx = RequestContext.getCurrentContext();
        // 获取request
        HttpServletRequest request = ctx.getRequest();
        // 获取token
        String token = CookieUtils.getCookieValue(request, jwtProp.getCookieName());
        // 校验
        try {
            // 校验通过什么都不做,即放行
            JwtUtils.getInfoFromToken(token, jwtProp.getPublicKey());
        } catch (Exception e) {
            // 校验出现异常,返回403
            ctx.setSendZuulResponse(false);
            ctx.setResponseStatusCode(403);
            logger.error("非法访问,未登录,地址:{}", request.getRemoteHost(), e );
        }
        return null;
    }
}

参考

电脑知识:很多网站都支持第三方授权登录,这究竟是怎么一回事?
致力于C语言C++知识分享!
09-25 568
引言 现在很多网站都支持第三方授权登录,小伙伴们应该很常见这种授权登录方式了,那小伙伴们知道这种方式是以什么原理实现的么? 今天小编就为大家讲一讲里边的奥秘! 正文 OAuth简介 我们都知道,所有的第三方授权登录底层基本上采用http/https协议。但是由于http/https协议是不可靠的,而客户端服务端都希望要达到100%的可靠性。所以以OAuth为代表的,基于http/https协议的授权标准也由此诞生并变成了主流。最开始在2006年出现的是OAuth1.0,由于1.0出现了一
商城-授权中心-授权中心
shenzhen_zsw的专栏
06-18 1251
商城-授权中心-授权中心2.授权中心2.1.创建授权中心2.1.1.创建父module2.1.2.通用module2.1.3.授权服务2.2.JWT工具类2.3.测试工具类2.3.编写登录授权接口2.3.1.生成公钥私钥2.3.2.Controller2.3.3.CookieUtils2.3.3.UserClient2.3.4.Service2.3.5.项目结构2.3.6.测试2.4.登录页面2...
Java网络商城项目 SpringBoot+SpringCloud+Vue 网络商城(SSM前后端分离项目)二十(登录**)
程序员猫爪
09-05 903
1.无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展 客户端请求依
第二十六章 授权中心
paynmind的博客
10-10 551
此博客用于个人学习,来源于网上,对知识点进行一个整理。 1. 无状态登录原理: 1.1 什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 tomcat 中的 session。 例如登录:用户登录后,我们把登录者的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 session。然后下次请求,用户携带 cookie 值来,我们就能识别到对应 session,从而找到用户的信息。 缺点是什么? 服
精选资源
深信服云图XCentral授权中心操作手册_V2.0.pdf
09-25
《深信服云图XCentral授权中心操作手册_V2.0》是深信服科技股份有限公司为用户提供的关于授权中心管理的详细指南。手册主要适用于深信服云图平台的EDR(Endpoint Detection and Response,终端检测与响应)、AC...
第一节 微服务架构演变以及微服务授权中心搭建1
08-04
【微服务架构演变及微服务授权中心搭建】 微服务架构是一种现代软件开发部署的方式,它将单一的应用程序拆分成一组小型、独立的服务,每个服务都专注于完成特定的业务功能。这种架构模式起源于对传统单体架构的...
SANGFOR_ACSG_v12.0.41及以上版本_结合深信服授权中心操作手册v1.0.pdf
09-25
《深信服ACS G v12.0.41及以上版本结合深信服授权中心操作手册》详细介绍了如何在深信服网络安全设备上进行授权管理,确保产品功能的正常使用持续服务。本手册适用于v12.0.41及更高版本的SANGFOR ACG(应用控制...
一种基于CP-ABE多属性授权中心的隐私保护方案
10-16
针对云计算环境下用户隐私保护的问题,提出一种基于CPABE多属性授权中心隐私保护方案(PPMACPABE)。方案中采用多个属性授权中心代替单一中央授权服务器,避免了由单一中央授权服务器引起的安全性问题。方案设计...
单点登录之授权中心
xxy的博客
12-30 514
1. AuthController 编写授权接口,我们接收登录名密码及登陆前的页面地址,登录成功后重定向到登陆前页面。 请求方式:post 请求路径:/login 请求参数:loginNamepassword 返回结果:无 代码: @Controller public class AuthController { @Autowired private AuthService authService; @Autowired private JwtProperties
SSO-OAuth2.0授权中心实战
weixin_38277138的博客
03-21 606
Spring Security Oauth2整合JWT;实现JWT非对称加密;配置授权服务器
公钥、私钥、数字签名数字证书简介
kswkly的博客
11-03 7914
加密方式 简单来说分为两种,对称加密非对称加密。 对称加密: 加密解密用的是同一个秘钥,在对称加密算法中常用的算法有:DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA等。这类加密算法的优点就是计算量小、加密速度快、加密效率高;但是缺点也很明显,在传输数据前,双方必须商定并保存好秘钥,任何一方的秘钥被泄露,加密信息就不再安全了。另外,每次使用对称加密算法时,都需要使...
学习java认证授权之JWT之拦截器过滤器01
m0_62472302的博客
03-03 1054
学习java认证授权之JWT之拦截器过滤器01
授权中心的理解
C的博客
02-16 247
客户端向资源服务器申请授权 资源服务器把客户端带到授权服务器 然后授权服务器进行验证完后进行浏览器重定向 资源服务器返回一个脚本 然后解析出令牌。客户端 向资源服务发请求 然后被重定向到授权服务器 然后授权服务器在将授权码发给客户端,客户端拿这授权码 向授权服务器申请令牌。Token 令牌 就要从我刚来时接触的JWT令牌的概念说起, 在前后端分离项目中这也是最常采用的授权方式。用户发起登录请求 资源服务器 拿着用户的信息向授权服务器发起请求 令牌。客户端向授权服务器发送自己的身份信息,并请求令牌。
springboot模板项目搭建:Security登录授权过滤器
杨咩咩
11-23 1013
Security登录授权过滤器
JWT令牌、过滤器Filter、拦截器Interceptor
m0_46702681的博客
06-16 2258
全称:JSON Web Token(https://iwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。组成:第一部分:Header(头),记录令牌类型、签名算法等。例如:{"alg":"HS256","type":"JWT"}第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如 {"id":"1","username":"Tom"}
授权过滤器—MVC中使用授权过滤器实现JWT权限认证
weixin_43163153的博客
08-07 685
一、什么是过滤器过滤器定义: ​ 过滤器与中间件很相似,过滤器(Filters)可在管道(pipeline)特定阶段(particular stage)前或后执行操作,可以将过滤器视为拦截器(interceptors)。在.NET MVC开发中,权限验证是非常重要的一部分。通过使用授权过滤器可以很方便地实现权限验证功能。这篇主要分享授权过滤器的使用。 二、过滤器的种类: ​ 过滤...
授权中心(JWT)
Mojard的博客
05-20 1671
0.学习目标 1.无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展
统一用户授权中心解决方案ppt
最新发布
08-20
### 架构设计概述 统一用户授权中心的架构设计通常包括以下几个关键组件:身份认证服务、授权服务、用户管理模块、权限管理模块以及审计与监控模块。这些组件共同构成了一个完整的用户授权管理平台,能够为企业提供统一的身份认证授权服务。 #### 身份认证服务 身份认证服务负责验证用户的身份,确保只有合法的用户能够访问系统资源。常见的身份认证方法包括用户名密码认证、多因素认证(MFA)、OAuth 2.0 OpenID Connect 等。身份认证服务需要支持多种认证方式,并能够与现有的身份验证系统(如LDAP、Active Directory)集成[^1]。 ```python def authenticate_user(username, password): # 实现用户名密码认证逻辑 pass ``` #### 授权服务 授权服务负责确定经过身份验证的用户是否有权访问特定的资源。授权服务通常基于角色访问控制(RBAC)或属性基访问控制(ABAC)模型。RBAC 模型通过角色来分配权限,而 ABAC 模型则根据用户的属性(如部门、职位等)来决定访问权限[^1]。 ```python def authorize_user(user, resource): # 实现基于角色或属性的授权逻辑 pass ``` #### 用户管理模块 用户管理模块负责用户的生命周期管理,包括用户的创建、更新、删除以及状态管理(如激活、冻结)。用户管理模块需要提供友好的用户界面,并支持批量操作自动化流程[^1]。 #### 权限管理模块 权限管理模块负责权限的分配、回收以及权限策略的制定。权限管理模块需要支持细粒度的权限控制,并能够根据业务需求灵活调整权限策略。 #### 审计与监控模块 审计与监控模块负责记录分析用户的行为日志,确保系统的安全性合规性。审计与监控模块需要支持实时监控、日志分析以及异常行为检测[^1]。 ### 解决方案优势 统一用户授权中心的解决方案具有以下优势: - **统一身份认证**:通过统一的身份认证服务,用户只需一次登录即可访问多个系统,提高了用户体验[^1]。 - **集中权限管理**:权限管理模块实现了权限的集中管理细粒度控制,确保了系统的安全性。 - **高效用户管理**:用户管理模块提供了高效的用户生命周期管理功能,简化了用户的管理流程[^1]。 - **安全审计与监控**:审计与监控模块确保了系统的安全性合规性,帮助企业及时发现应对安全威胁。 ### PPT展示建议 在制作 PPT 展示时,可以按照以下结构进行: 1. **封面页**:标题、副标题、日期、演讲者信息。 2. **目录页**:列出 PPT 的主要内容结构。 3. **背景介绍**:介绍企业面临的挑战统一用户授权中心的重要性。 4. **架构设计**:详细描述统一用户授权中心的各个组件及其功能。 5. **解决方案优势**:总结统一用户授权中心带来的主要优势。 6. **实施步骤**:分步骤介绍统一用户授权中心的实施计划。 7. **案例分享**:分享成功实施统一用户授权中心的案例。 8. **总结与展望**:总结统一用户授权中心的重要性,并展望未来的发展方向。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值