Spring Security OAuth2:整合jwt

最新推荐文章于 2025-05-02 12:17:24 发布
最新推荐文章于 2025-05-02 12:17:24 发布
阅读量897 收藏 1
点赞数
分类专栏: spring security
原文链接:https://www.cnblogs.com/wwjj4811/p/14505886.html
版权
本文详细介绍了JWT在Spring OAuth2中的应用,涉及对称加密和非对称加密的使用,从认证服务器到资源服务器的配置过程,以及不同加密方式下的测试和安全考虑。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

接着上一篇博客:https://www.cnblogs.com/wwjj4811/p/14505081.html

1|0JWT介绍

JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名,防止被篡改

1|1构成

JWT 有三部分构成:头部、有效载荷、签名

  • 头部:包含令牌的类型(JWT)与加密的签名算法(如 SHA256 或 ES256),Base64编码后加入第一部分

  • 有效载荷:通俗一点讲就是token中需要携带的信息都将存于此部分,比如:用户id、权限标识等信息。

    注:该部分信息任何人都可以读出来,所以添加的信息需要加密才会保证信息的安全性

  • 签名:用于防止 JWT 内容被篡改, 会将头部和有效载荷分别进行 Base64编码,编码后用.连接组成新的字符串,然后再使用头部声明的签名算法进行签名。在具有秘钥的情况下,可以验证JWT的准确性,是否被篡改

2|0认证服务器-对称加密 JWT 令牌

对称加密就是同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。

2|1JWT 管理令牌

1.重构 com.wj.oauth2.server.config.TokenConfig 将令牌存储方式切换为 JWT

 

@Configuration public class TokenConfig { @Bean public TokenStore tokenStore(){ //jwt管理令牌 return new JwtTokenStore(jwtAccessTokenConverter()); } // JWT 签名秘钥 private static final String SIGNING_KEY = "wj-key"; @Bean public JwtAccessTokenConverter jwtAccessTokenConverter(){ JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter(); jwtAccessTokenConverter.setSigningKey(SIGNING_KEY); return jwtAccessTokenConverter; } }
 

2|2JWT转换器添加到令牌端点
 

修改AuthorizationServerConfig类:
 

 

@Autowired private JwtAccessTokenConverter jwtAccessTokenConverter; /** * 重写父类的方法 */ @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { //密码模式需要设置此认证管理器 endpoints.authenticationManager(authenticationManager); // 刷新令牌获取新令牌时需要 endpoints.userDetailsService(customUserDetailsService); //设置token存储策略 endpoints.tokenStore(tokenStore).accessTokenConverter(jwtAccessTokenConverter); //授权码管理策略,针对授权码模式有效,会将授权码放到 auth_code 表,授权后就会删除它 endpoints.authorizationCodeServices(authorizationCodeServices()); }
 

2|3测试
 

使用密码授权模式获取access_token,发现access_token已经响应为jwt令牌
 

image-20210309142625908
 

检查 JWT 令牌:http://localhost:8090/auth/oauth/check_token,已经包含了用户基本信息
 

image-20210309143238019
 

3|0资源服务器-对称加密 JWT 令牌
 

在 JwtAccessTokenConverter 中使用了一个对称密钥来签署我们的令牌,意味着我们需要为资源服务器使用同样的密钥来验证签名合法性。
 

3|1JWT 管理令牌
 

这部分与认证服务器令牌配置是一样的, 将 JWT 令牌部分拷贝到cloud-oauth2-resource-product中的com.wj.oauth2.resource.config 包下即可.
 

 

@Configuration public class TokenConfig { @Bean public TokenStore tokenStore(){ //jwt管理令牌 return new JwtTokenStore(jwtAccessTokenConverter()); } // JWT 签名秘钥 private static final String SIGNING_KEY = "wj-key"; @Bean public JwtAccessTokenConverter jwtAccessTokenConverter(){ JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter(); jwtAccessTokenConverter.setSigningKey(SIGNING_KEY); return jwtAccessTokenConverter; } }
 

3|2资源服务器校验 JWT 令牌
 

修改ResourceServerConfig配置类:注释掉tokenService方法,并设置resources的tokenStore,就会自动本地校验jwt
 

 

@Configuration // 标识为资源服务器, 所有发往当前服务的请求,都会去请求头里找token,找不到或验证不通过不允许访问 @EnableResourceServer //开启方法级别权限控制 @EnableGlobalMethodSecurity(prePostEnabled = true) public class ResourceServerConfig extends ResourceServerConfigurerAdapter { //配置当前资源服务器的ID private static final String RESOURCE_ID = "product-server"; @Autowired private TokenStore tokenStore; /**当前资源服务器的一些配置, 如资源服务器ID **/ @Override public void configure(ResourceServerSecurityConfigurer resources) { // 配置当前资源服务器的ID, 会在认证服务器验证(客户端表的resources配置了就可以访问这个服务) resources.resourceId(RESOURCE_ID) // 实现令牌服务, ResourceServerTokenServices实例 .tokenStore(tokenStore); } /* @Bean public ResourceServerTokenServices tokenService() { // 资源服务器去远程认证服务器验证 token 是否有效 RemoteTokenServices service = new RemoteTokenServices(); // 请求认证服务器验证URL,注意:默认这个端点是拒绝访问的,要设置认证后可访问 service.setCheckTokenEndpointUrl("http://localhost:8090/auth/oauth/check_token"); // 在认证服务器配置的客户端id service.setClientId("wj-pc"); // 在认证服务器配置的客户端密码 service.setClientSecret("wj-secret"); return service; }*/ @Override public void configure(HttpSecurity http) throws Exception { http.sessionManagement() //不创建session .sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() //资源授权规则 .authorizeRequests() .antMatchers("/product/**").hasAuthority("product") //所有的请求对应访问的用户都要有all范围的权限 .antMatchers("/**").access("#oauth2.hasScope('all')"); } }
 

3|3测试
 

密码认证模式先获取access_token,再通过 JWT令牌查询获取商品资源
 

image-20210309145538851
 

为了安全性, JWT令牌每次请求获取令牌都是响应一个新令牌,因为里面已经包含用户信息, 而之前的是令牌在有效时间里每次请求都是响应一样的令牌。
 

4|0认证服务器-非对称加密 JWT 令牌
 

非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用私钥对数据进行加密,只有用对应的公钥才能解密。
 

4|1生成密钥证书
 

公私密钥可以用jdk的命令keytool生成:别名为 oauth2,秘钥算法为 RSA,秘钥口令为 oauth2,秘钥库(文件)名称为 oauth2.jks,秘钥库(文件)口令为 oauth2
 

 

keytool -genkeypair -alias oauth2 -keyalg RSA -keypass oauth2 -keystore oauth2.jks -storepass oauth2
 

image-20210309150042457
 

生成后,在命令执行命令的所在目录下会有一个oauth2.jks文件
 

image-20210309150157623
 

将该文件移动到认证服务的resources目录下:
 

image-20210309150301481
 

4|2非对称加密 JWT 令牌
 

修改认证服务的TokenConfig类:
 

 

@Configuration public class TokenConfig { @Bean public TokenStore tokenStore(){ //return new JdbcTokenStore(dataSource); //jwt管理令牌 return new JwtTokenStore(jwtAccessTokenConverter()); } @Bean public JwtAccessTokenConverter jwtAccessTokenConverter(){ JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter(); KeyStoreKeyFactory keyFactory = new KeyStoreKeyFactory(new ClassPathResource("oauth2.jks"), "oauth2".toCharArray()); jwtAccessTokenConverter.setKeyPair(keyFactory.getKeyPair("oauth2")); return jwtAccessTokenConverter; } }
 

4|3pom文件
 

修改认证服务的pom.xml
 

 

<build> <resources> <resource> <!-- 防止JKS被maven错误解析 --> <directory>src/main/resources</directory> <filtering>false</filtering> </resource> </resources> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> <version>2.2.4.RELEASE</version> <configuration> <mainClass>com.wj.oauth2.AuthServerApplication</mainClass> </configuration> </plugin> </plugins> </build>
 

因为有可能jks文件无法正确被maven解析,导致项目启动报错。
 

5|0资源服务器-非对称加密 JWT 令牌
 

5|1根据密钥文件获取公钥
 

OpenSSL 是一个加解密工具包,可以使用 OpenSSL 来获取公钥,下载网址:http://slproweb.com/products/Win32OpenSSL.html
 

安装完成后,配置openssl环境变量,即安装目录\bin
 

image-20210309151209245
 

5|2获取公钥
 

进入oauth2.jks所在目录执行命令:
 

 

keytool -list -rfc --keystore oauth2.jks | openssl x509 -inform pem -pubkey
 

image-20210309151410165
 

复制出控制台打印出的内容到public.txt,并放到资源服务器的resources目录下(需要复制出public key的内容)
 

image-20210309152457825
 

5|3非对称加密 JWT 令牌
 

修改资源服务器的TokenConfig类:
 

 

@Slf4j @Configuration public class TokenConfig { @Bean public TokenStore tokenStore(){ //jwt管理令牌 return new JwtTokenStore(jwtAccessTokenConverter()); } // JWT 签名秘钥 private static final String SIGNING_KEY = "wj-key"; @Bean public JwtAccessTokenConverter jwtAccessTokenConverter(){ JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter(); ClassPathResource classPathResource = new ClassPathResource("public.txt"); String publicKey = null; try { publicKey=IOUtils.toString(classPathResource.getInputStream(),"UTF-8"); log.info("publicKey:{}" , publicKey); } catch (IOException e) { e.printStackTrace(); } jwtAccessTokenConverter.setVerifierKey(publicKey); return jwtAccessTokenConverter; } }
 

5|4测试
 

先请求access_token令牌:发现比对称加密的字符数目多了不少
 

image-20210309153325913
 

发送请求,仍然可以请求成功
 

image-20210309153418251
 

 

__EOF__
 

 

本文作者:秋风飒飒吹
 本文链接:https://www.cnblogs.com/wwjj4811/p/14505886.html
 关于博主:评论和私信会在第一时间回复。或者直接私信我。
 版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
 声援博主:如果您觉得文章对您有帮助,可以点击文章右下角推荐一下。您的鼓励是博主的最大动力!
 

 

                

        

    

  



    



                



	

		

			

				
					
Spring Security OAuth2整合JWT

				
			

			

				

					weixin_38927257的博客
				

				

					11-22
					
					1972
					
				

			

		

		

			
				
文章目录引言JWT的三个特点自包含:密签:签名:加密:可扩展:JWT组成HeaderClaims (Payload)SignatureJWT流程示意图Spring Security Oauth2 实现JWT配置TokenStoreConfig用于存储TokenMerryyouJwtTokenEnhancer配置认证服务器配置资源服务器解析扩展的Token测试方法刷新令牌:
引言


Json we...

			
		

	



                

            
              



	

		

			

				
					
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权

				
			

			

				

					04-22
				

			

		

		

			
				
4. **整合Spring SecurityOAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...

			
		

	



              


  
              

                


	

		

			

				
					
OAuth2结合JWT

				
			

			

				

					Curtisjia的博客
				

				

					11-01
					
					2685
					
				

			

		

		

			
				
OAuth2结合JWT
无状态登录
什么是有状态
有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 session,然后下次请求,用户携带 cookie 值来(这一步有浏览器自动完成),我们就能识别到对应 session,从而找到用户的信息。这种方式目前来看最方便,但是也有一些缺陷,如下:

服

			
		

	





	

		

			

				
					
SpringBoot安全框架深度整合OAuth2+JWT实现企业级认证

					
最新发布

				
			

			

				

					梵心白莲的博客
				

				

					05-02
					
					844
					
				

			

		

		

			
				
在当今数字化时代,企业级应用面临着越来越多的安全挑战。用户认证与授权作为保障应用安全的关键环节,需要一套可靠且灵活的解决方案。Spring Boot作为一个流行的Java开发框架,为开发者提供了便捷的开发体验。而OAuth2JWT(JSON Web Token)的结合,能够为企业级应用提供强大的认证和授权功能。本文将深入探讨如何在Spring Boot中深度整合OAuth2JWT,实现企业级的认证系统。

			
		

	



		

			
		



	

		

			

				
					
spring security oauth2 整合 JWT

				
			

			

				

					本郡主是喵
				

				

					06-20
					
					1159
					
				

			

		

		

			
				
我们新建JwtTokenEnhancer.java,指定扩容的内容。

在AuthenticationServer.java ,配置中,加入你的扩容配置,和token转换器。

新建 JwtTokenEnhancer.java

			
		

	





	

		

			

				
					
Spring Cloud SecurityOauth2结合JWT使用

				
			

			

				

					smart_an的专栏
				

				

					04-18
					
					1411
					
				

			

		

		

			
				
JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。

			
		

	





	

		

			

				
					
springsecurity+oauth2+jwt实现单点登录demo

				
			

			

				

					06-06
				

			

		

		

			
				
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...

			
		

	





	

		

			

				
					
spring-security-oauth:刚刚宣布-“学习Spring Security OAuth”:

				
			

			

				

					02-19
				

			

		

		

			
				
 oauth-jwt jwt-基于新的Spring Security 5堆栈的授权服务器(Keycloak),资源服务器和Angular App,专注于JWT支持 oauth-jws-jwk-legacy -Spring Security OAuth2应用程序中的JWS + JWK的授权服务器和资源服务器 ...

			
		

	





	

		

			

				
					
Spring Security OAuth2实现使用JWT的示例代码

				
			

			

				

					08-27
				

			

		

		

			
				
Spring Security OAuth2 实现使用 JWT 的示例代码  在本文中,我们将讨论如何使用 Spring Security OAuth2 实现使用 JSON Web Tokens(JWT),并提供了一个完整的示例代码。  Spring Security OAuth2 介绍  Spring ...

			
		

	





	

		

			

				
					
springsecurity_oauth2_jwt整合_推特雪花

				
			

			

				

					窗外有风景,笔下有前途,低头是题海,抬头是未来
				

				

					07-04
					
					640
					
				

			

		

		

			
				
微服务授权技术框架整合
1. 整合oauth2+springsecurity+jwt
1.1 创建一个用于认证的服务

创建工程security-auth-server-2001

1.1.1 导入相应的依赖包
<!-- oauth2的依赖包-->
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-oa

			
		

	





	

		

			

				
					
spring security oauth2 实现jwt sso

				
			

			

				

					11-14
				

			

		

		

			
				
该资源实现了一个sso单点登陆的功能,类似于在淘宝网登陆之后可以不需要登陆天猫即可访问天猫网;使用了spring security oauth2以及jwt

			
		

	





	

		

			

				
					
OAuth2+JWT

				
			

			

				

					Eris_QwQ的博客
				

				

					06-15
					
					1667
					
				

			

		

		

			
				
这样是对资源服务器进行深度自定义,我们可以为每个微服务编写一个配置类,比如我们现在希望用户授权了某个 Scope 才可以访问此服务。public class ResourceConfiguration extends ResourceServerConfigurerAdapter { //继承此类进行高度自定义@Override。

			
		

	





	

		

			

				
					
SpringSecurityOauth2整合JWT

				
			

			

				

					qq_42341853的博客
				

				

					06-09
					
					255
					
				

			

		

		

			
				
JJWT demo
SpringSecurityOauth2整合JWT

			
		

	





	

		

			

				
					
权限管理SpringSecurity Oauth2整合JWT实战总结(三)

				
			

			

				

					FlyingFish868的博客
				

				

					03-26
					
					1224
					
				

			

		

		

			
				
1、JWT
1.1、基本的认证机制
1) HTTP Basic Auth
HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放RESTful API时,尽量避免采用HTTP Basic Auth。
2) Cookie Auth
Cookie认证机制就是为

			
		

	





	

		

			

				
					
Spring cloud入门-OAuth 2.0(三)JWT集成

				
			

			

				

					weixin_42324034的博客
				

				

					10-23
					
					1050
					
				

			

		

		

			
				
OAuth 2.0之(三)JWT集成JWT简介JWT组成创建oauth2-jwt-server模块使用jwt 存储扩展JWT中存储的内容解析JWT中的内容刷新令牌使用Redis 存储令牌
JWT简介
JWT是JSON WEB TOKEN的简写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。
JWT组成
JWT组成有三部分

Header
Payload
Signature

Header 中存在签名的生成算法,比如
{
  "alg": "

			
		

	





	

		

			

				
					
SpringBoot安全加固:OAuth2JWT整合的最佳实践

				
			

			

				

					梵心白莲的博客
				

				

					03-08
					
					1131
					
				

			

		

		

			
				
OAuth2 是一种授权框架,用于允许用户授权第三方应用访问其在另一个服务提供商上的资源,而 JWT 是一种用于在网络应用中安全传输信息的开放标准。将 OAuth2JWT 整合Spring Boot 应用中,可以为应用提供强大的安全防护。本文将详细介绍如何在 Spring Boot 中实现 OAuth2JWT整合,为你的应用安全加固提供最佳实践。

			
		

	





	

		

			

				
					
Spring Cloud入门-Oauth2授权之JWT集成(Hoxton版本)

					
热门推荐

				
			

			

				

					ThinkWon的博客
				

				

					12-30
					
					1万+
					
				

			

		

		

			
				
文章目录摘要JWT简介JWT的组成JWT实例创建oauth2-jwt-server模块oauth2中存储令牌的方式使用Redis存储令牌使用JWT存储令牌扩展JWT中存储的内容Java中解析JWT中的内容刷新令牌使用到的模块项目源码地址

项目使用的Spring Cloud为Hoxton版本,Spring Boot为2.2.2.RELEASE版本

摘要
Spring Cloud Security...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值