黑马商城JWT签名验证问题(RSA加密算法)

最新推荐文章于 2025-04-17 15:46:26 发布
最新推荐文章于 2025-04-17 15:46:26 发布
阅读量322 收藏 5
点赞数 4
文章标签: spring cloud gateway 后端 微服务 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51744510/article/details/146398678
版权

问题描述

黑马商城是一个微服务项目,其中user-service模块包含用户登录,验证密码后生成JWT并返回给客户端。hm-gateway网关模块则用于统一鉴权,需要验证JWT并解析出其中的用户信息。

该项目JWT使用的是rs256签名算法,即非对称加密算法。也就是说只有用户模块需要用私钥去签名生成JWT,项目中也给出了使用keytool生成密钥对文件hmall.jks的命令,如下:

keytool -genkeypair -alias hmall -keyalg RSA -keypass hmall123 -keystore hmall.jks -storepass hmall123

命令中的参数与配置文件中的一一对应,有密钥别名、加密算法、密钥密码、密钥输出路径、密钥库密码,生成的hmall.jks放在resources文件夹下。该文件包含私钥以及证书(证书中包含公钥)

只有在用户登录时,才需要使用RSA私钥进行签名,在网关中只用公钥就可以验证签名和解析JWT,因此将hmall.jks文件的副本放在网关服务中是不安全的,增加了私钥泄露的可能,也违背了非对称加密算法的初衷(个人观点,如有不当请指出)。因此,我们需要将hmall.jks中的证书导出来,交给网关服务。(目前大部分工具都支持直接用证书验证签名)

代码修改流程

1. 首先,从密钥对文件hmall.jks中导出证书(或公钥),使用如下命令(需要注意在hmall.jks所在目录下执行)

keytool -exportcert -alias hmall -keystore hmall.jks -file hmall.cer -storepass hmall123 -rfc   
# 导出文件名为hmall.cer,rfc参数指定以PEM格式输出(不加则默认DER格式)

2. 然后,把导出的hmall.cer证书文件放到hm-gateway服务下的resources目录下,并把原来的密钥对文件删除。

3. 修改 application.yaml 配置文件,将密钥对文件位置换为证书文件位置。

server:
  port: 8080
hm:
  jwt:
    location: classpath:hmall.cer
  auth:
    excludePaths:
      - /search/**
      - /users/login
      - /items/**
      - /hi
# keytool -genkeypair -alias hmall -keyalg RSA -keypass hmall123 -keystore hmall.jks -storepass hmall123

 4. 修改 SecurityConfig.java 配置文件,将获取密钥对的代码删除,换成获取公钥的代码,如下:

@Configuration
@EnableConfigurationProperties(JwtProperties.class)
public class SecurityConfig {

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    /**
     * 获取公钥
     * @param jwtProperties
     * @return
     * @throws CertificateException
     * @throws IOException
     */
    @Bean
    public PublicKey publicKey(JwtProperties jwtProperties) throws CertificateException, IOException {
        Certificate certificate = CertificateFactory
                .getInstance("X.509")
                .generateCertificate(jwtProperties.getLocation().getInputStream());
        return certificate.getPublicKey();
    }
}

 5. 修改 JwtTool.java 文件,创建签名器的时候使用公钥而不是密钥对。

@Component
public class JwtTool {
    private final JWTSigner jwtSigner;

    public JwtTool(PublicKey publicKey) {
        this.jwtSigner = JWTSignerUtil.createSigner("rs256", publicKey);
    }

    /**
     * 解析token
     *
     * @param token token
     * @return 解析刷新token得到的用户信息
     */
    public Long parseToken(String token) {
        // 1.校验token是否为空
        if (token == null) {
            throw new UnauthorizedException("未登录");
        }
        // 2.校验并解析jwt
        JWT jwt;
        try {
            jwt = JWT.of(token).setSigner(jwtSigner);
        } catch (Exception e) {
            throw new UnauthorizedException("无效的token", e);
        }
        // 2.校验jwt是否有效
        if (!jwt.verify()) {
            // 验证失败
            throw new UnauthorizedException("无效的token");
        }
        // 3.校验是否过期
        try {
            JWTValidator.of(jwt).validateDate();
        } catch (ValidateException e) {
            throw new UnauthorizedException("token已经过期");
        }
        // 4.数据格式校验
        Object userPayload = jwt.getPayload("user");
        if (userPayload == null) {
            // 数据为空
            throw new UnauthorizedException("无效的token");
        }

        // 5.数据解析
        try {
           return Long.valueOf(userPayload.toString());
        } catch (RuntimeException e) {
            // 数据格式有误
            throw new UnauthorizedException("无效的token");
        }
    }
}

小结

这样进一步加强了私钥的安全,即使公钥泄露,只是可以验证签名和解析JWT,但如果没有私钥,是无法篡改JWT的。

鲸旺旺
关注
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
csweldn520的专栏
03-24 8658
一、 单点登录 1、单点登录技术方案 二、 第三方认证 1、 Oauth2认证 2、 Oauth2的应用场景 三、 Spring security Oauth2认证 1、 JWT (一) 、令牌结构 (二) 、生成私钥和公钥 (1)、生成密钥证书 (2)、查询证书信息 (3)、删除别名 (4)、导出公钥 2、 搭建Spring security认证服务器 (一)、导入Spring Security...
天天生鲜(Django4.0版本) + 开发遇到的问题及解决
weixin_46739549的博客
06-09 9738
天天生鲜(Django4.0版本)
JWT+RSA鉴权
weixin_50195609的博客
03-20 634
目录 1、JWT 1.1 JWT简介 1.2JWT数据格式 2、登录和鉴权流程:JWT+HS256算法 3、RSA非对称加密 4、登录和鉴权流程:JWT+RSA 4.1RSA工具类 4.2JWT工具类 1、JWT 1.1 JWT简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;官网:JSON Web Tokens - jwt.io (JWT,生成Token加密字符串的一个标准或格式!)...
无状态认证 JWT+RSA鉴权
weixin_45262834的博客
03-17 1136
JWT+RSA鉴权使用场景一, 有状态认证及无状态认证的区别有状态认证:无状态认证:二、JWT什么是jwtJWT格式的三部分数据:三、RSA加密算法(1)JWT+HS256算法:jwt + RSA非对称加密登录和鉴权流程:总结: 使用场景 当我们将网站部署在多台服务器时 ,使用传统的登录认证(有状态认证),当我们在A服务器 记录登录信息,但访问另一台服务器时,反而需要重新授权,引出了cookie的共享的问题。 一, 有状态认证及无状态认证的区别 有状态认证: 有状态认证,服务端需要记录每次会话的客户端
导入黑马商城-因无法加载 hmall.jks 导致 Bean 创建及依赖注入失败
最新发布
qq_61854071的博客
04-17 286
黑马商城使用的jdk版本是11,使用了jdk1.8版本后,在settings、project structure、pom.xml上修改jdk版本后启动项目报错。 Error creating bean with name 'mvcConfig' defined in file\hmall\config\MvcConfig.class]: Unsatisfied dependency expressed through constructor parameter 0; nested exception is
微服务JWT】使用RSA工具生成公钥和私钥(第一部分)
weixin_64941496的博客
12-14 2634
RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,“由已知加密密钥推导出解密密钥在计算上是不可逆的”密码体制。在公开密钥密码体制中,加密密钥(即公开密钥)PK是公开信息,而解密密钥(即秘密密钥)SK是需要保密的。加密算法E和解密算法D也都是公开的。虽然解密密钥SK是由公开密钥PK决定的,但却不能根据PK计算出SK [2]。RSA加密:非对称加密。同时生产一对秘钥:公钥和私钥。公钥秘钥:用于加密私钥秘钥:用于解密既然是加密,那肯定是不希望别人知道我的消息,所以只有我才能解密,所以可得出。
JwtRsa使用
weixin_41245089的博客
03-05 9023
1.jwt和使用Rsa加密: JWT的token包含三部分数据: Header:头部,通常头部有两部分信息: - 声明类型type,这里是JWT(type=jwt) - 加密算法,自定义(rs256/base64/hs256) 我们会对头部进...
JWT+RSA 无状态SSO原理
worn_xiao的博客
10-11 800
1.1.有状态登陆 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展 客户端请求依赖服务端,多次请求必须访问
乐优商城源码/数据库及笔记总结
热门推荐
dianemax
07-01 1万+
文章目录1 源码2 笔记2.1 项目概述2.2 微服务3 项目优化4 乐优商城中涉及到的设计模式5 线程安全问题6 1 源码 后端源码:leyou 门户网站源码:leyou-portal 后台管理系统源码:leyou-manage-web 乐优商城最新数据库文件:sql.txt 2 笔记 2.1 项目概述 项目概述 2.2 微服务 微服务一:注册微服务:LyRegister 使用Sprin...
黑马头条项目经验话术
qq_45195447的博客
10-28 2948
注意:一定要追求真实,一定要给一个真实背景。千万别完全照着头条课件上的东西去说,很容易撞车。项目介绍三要素:项目介绍、岗位职责、业绩、技术亮点下面的话术中,项目名称自己适当修改一下,依据所在城市进行包装。话术1:好的面试官,我最近做的这个项目是融媒体项目,准确来讲是一个融媒体平台,项目是我们公司自研的,核心业务就是基于我们公司自有的媒体资源、社群、自媒体资源进行整合。基于我们研发的融媒体平台,构建了多款App,分别针对不同的客户群体。
乐优、青橙商城相关技术总结
lph-China的博客
05-26 4948
乐优、青橙商城相关技术总结 文章目录乐优、青橙商城相关技术总结SSMSpringSpringMVCmybatis通用MapperzookeeperElementUIES6OSSVue黑马架构师DubboSpringBootSpringCloudSpringDataSpring SecurityEurekaRibbonHystrix简介雪崩问题FeignZuulVuetifyNginxnginx作为web服务器nginx作为反向代理CORSFastDFSElasticsearchElasticElastics
微服务第二轮
李青水的博客
06-06 1132
微服务的登录功能
微服务JWT】使用RSA工具生成公钥和私钥(第二部分 使用JWT工具 生成token 解析token)
weixin_64941496的博客
12-14 549
【代码】【微服务JWT】使用RSA工具生成公钥和私钥(第二部分 使用JWT工具 生成token 解析token)
SpringBoot(七):JWTRsa非对称加密
千里之行,始于足下
05-06 2377
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
IdentityServer4之JWT签名(RSA加密证书)及验签
weixin_34395205的博客
10-29 558
一、前言 在IdentityServer4中有两种令牌,一个是JWT和Reference Token,在IDS4中默认用的是JWT,那么这两者有什么区别呢? 二、JWT与Reference Token的区别 1、JWT(不可撤回)     JWT是一个非常轻巧的规范,一般被用来在身份提供者和服务提供者间传递安全可靠的信息。JWT令牌是一个自包...
JWT+RSA无状态鉴权基本原理与使用
沙滩上的拖鞋
02-26 7762
JWT+RSA无状态鉴权基本原理与使用1.无状态登录原理1.1 什么是无状态?2 JWT2.1简介2.2数据格式2.3JWT交互流程2.4.非对称加密3 使用3.1使用JWT 1.无状态登录原理 1.1 什么是无状态? 1.1.1有状态服务:即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们...
jwt+RSA+数字签名
苏杭
08-03 960
文章目录Jwt数字签名签名验证非对称加密 Jwt 参考链接 数字签名 如果发送者A和接收者B使用不同的密钥,例如A发送消息的时候使用私钥对消息进行加密,B接收消息的时候使用公钥对消息进行解密。因为消息只能由A的私钥进行加密,所以这个签名一定是由A签发的,这样就没有否认的问题了。这个就是数字签名(digital signature)签名验证 通常我们使用jwt时候采用RS256 私钥/公钥 方式进行签名的 加密/解密,因为RS256是非对称加密,比较安全。 因为jwt是由服务端生成并发放的,其中签名是由服
网关路由Gateway(2)
荼图的博客
02-14 1241
网关登录校验,自定义过滤器,微服务获取用户,openfeign传递用户
微服务作业拆分参考
m0_59748326的博客
07-18 780
作业尽量自己完成,实在觉得有困难的,再来查看本篇内容。
jwtRSA签名算法
03-09
### JWT 中的 RSA 签名算法详解 #### 什么是 JWT 和 JWS? JSON Web Token (JWT) 是一种开放标准 (RFC 7519),用于在网络应用环境间安全地传输信息。当提到使用 RSA 进行签名时,实际上是指 JSON Web Signature (JWS)[^1]。 #### 使用 RSAJWT 进行签名的过程 为了确保消息的真实性和完整性,在发送方创建 JWT 后,会利用私钥对其进行签名。接收方则通过对应的公钥验证签名的真实性。具体过程如下: - **Header**: 包含令牌类型 (`typ`) 及所采用的加密算法 (`alg`), 如 `RS256` 表明采用了 SHA-256 哈希函数配合 RSA 加密方法[^2]: ```json { "typ": "JWT", "alg": "RS256" } ``` - **Payload**: 载荷部分包含了声明数据,这些信息会被编码成 Base64Url 字符串形式附加到 Header 后面形成待签发的内容。 - **Signature**: 发送者使用自己的私钥对前面两部分内容(即 header 和 payload 的连接字符串)加上特定前缀后计算哈希摘要并进行加密得到最终的签名值。这个操作保证了只有持有相同私钥的人才能生成有效的签名;而任何拥有相应公钥的人都能解码和校验该签名的有效性[^3]. ```python import jwt from cryptography.hazmat.primitives.asymmetric import rsa from cryptography.hazmat.backends import default_backend private_key = rsa.generate_private_key( public_exponent=65537, key_size=2048, backend=default_backend() ) token = jwt.encode({"some": "payload"}, private_key, algorithm='RS256') print(token.decode('utf-8')) ``` 上述 Python 示例展示了如何使用 PyJWT 库来创建带有 RS256 算法签名JWT 。这里需要注意的是,实际应用场景下应当妥善保管好私钥文件,并遵循最佳实践指南以保障系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值