微服务鉴权之JWT

最新推荐文章于 2025-02-20 23:21:17 发布
最新推荐文章于 2025-02-20 23:21:17 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zwj_jyzl/article/details/104045542
版权
常见的认证机制

1. HTTP Basic Auth
    HTTP Basic Auth 简单点说就是每次请求 API 时都提供用户的 username 和 password,简言之,Basic Auth 是配合 RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的 RESTful API 时,尽量避免采用 HTTP Basic Auth。

2. Cookie Auth
    Cookie 认证机制就是为一次请求认证在服务端创建一个 Session 对象,同时在客户端的浏览器端创建了一个 Cookie 对象。通过客户端传过来的 Cookie 对象来与服务器端的 session 对象匹配来实现状态管理的。默认的,当我们关闭浏览器的时候,cookie 会被删除。但可以通过修改 cookie 的 expire time 使 cookie 在一定时间内有效。

3. Oauth(第三方登录)
    OAuth(开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用户在某一 web 服务上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。
    这种基于OAuth的认证机制适用于个人消费者类的互联网产品,如社交类APP等应用,但是不太适合拥有自有认证权限管理的企业应用。

4. Token Auth
     使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
     ① 客户端使用用户名跟密码请求登录
     ② 服务端收到请求,去验证用户名与密码
     ③ 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
     ④ 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里
     ⑤ 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
     ⑥ 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

token机制的特点

token认证机制是一种无状态的认证。有状态和无状态的区别就是:有状态服务端需要存储用户的信息,而无状态服务端不存储用户的信息。token 机制相比 Cookie 这种有状态的认证机制来说,性能上要快,因为 Cookie 机制还要比对 session 信息,而 token 机制只需要利用算法解析传过来的 token 就可以了。

JWT

JWT(JSON Web Token):是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。

JWT组成

一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。

  • 头部(Header)
    头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象,然后对其进行 BASE64 编码。
  • 载荷(playload)
    载荷就是存放有效信息的地方。这些有效信息包含三个部分:
    1)标准中注册的声明(建议但不强制使用)
    在这里插入图片描述
    2)公共的声明
          公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息。但不建议添加敏感信息,因为该部分在客户端可解密。
    3)私有的声明
          私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为明文信息。
          这个指的就是自定义的claim。
          这些claim跟JWT标准规定的claim区别在于:
          JWT 规定的 claim,JWT的接收方在拿到 JWT 之后,都知道怎么对这些标准的 claim 进行验证(还不知道是否能够验证);而 private claims 不会验证,除非明确告诉接收方要对这些claim 进行验证以及规则才行。
  • 签证(signature)
          jwt的第三部分是一个签证信息,这个签证信息由三部分组成:header (base64后的)、payload (base64后的)、secret(盐)。
          这个部分需要 base64 加密后的 header 和 base64 加密后的 payload 使用.连接组成的字符串,然后通过 header 中声明的加密方式进行加盐 secret 组合加密,然后就构成了 jwt 的第三部分

将这三部分用.连接成一个完整的字符串,构成了最终的 jwt:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

Java的 JJWT 实现 JWT

JJWT 是一个提供端到端的 JWT 创建和验证的 Java 库。

token创建

① 引入依赖

<dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.6.0</version>
</dependency>

② 创建类,生成 token

public static void main(String[] args) {
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId("666")
                .setSubject("小马")
                .setIssuedAt(new Date())
                .setExpiration(new Date(new Date().getTime()+60000))
                .claim("role","admin")
                .signWith(SignatureAlgorithm.HS256,"itcast");
        System.out.println(jwtBuilder.compact());
}

setIssuedAt:用于设置签发时间
setExpiration:用于设置过期时间
claim:设置自定义的 claims
signWith:用于设置签名秘钥

token解析

我们刚才已经创建了 token ,在 web 应用中这个操作是由服务端进行然后发给客户端,客户端在下次向服务端发送请求时需要携带这个 token(这就好像是拿着一张门票一样),那服务端接到这个 token 应该解析出token 中的信息(例如用户id),根据这些信息查询数据库返回相应的结果。

public static void main(String[] args) throws Exception {
        Claims claims = null;
        try {
            claims = Jwts.parser().setSigningKey("itcast")
                    .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI2NjYiLCJzdWIiOiLlsI_pqawiLCJpYXQiOjE1Nzk0MDczNjksImV4cCI6MTU3OTQwNzQyOSwicm9sZSI6ImFkbWluIn0.h0qEVRb4HkoWkjC56SSfUmVVRQ8PUXzVH2yyxcgCBPA")
                    .getBody();
        } catch (Exception e) {
            throw new Exception("token过期");
        }
        System.out.println("Id:"+claims.getId());
        System.out.println("用户名:"+claims.getSubject());
        System.out.println("登录日期:"+ new SimpleDateFormat("yyyy-MM-dd hh:mm:ss").format(claims.getIssuedAt()));
        System.out.println("过期日期:"+ new SimpleDateFormat("yyyy-MM-dd hh:mm:ss").format(claims.getExpiration()));
        System.out.println("角色:"+ claims.get("role"));
    }

注意:一旦 token 过期,解析的时候就会报错,所以一定要加上 try…catch。

实例(管理员登录签发token,删除普通用户鉴权)

1)引入依赖
2)编写创建 token,解析 token 的工具类

@ConfigurationProperties("jwt.config")
public class JwtUtil {

    private String key ;

    private long ttl ;//一个小时

    public String getKey() {
        return key;
    }

    public void setKey(String key) {
        this.key = key;
    }

    public long getTtl() {
        return ttl;
    }

    public void setTtl(long ttl) {
        this.ttl = ttl;
    }

    /**
     * 生成JWT
     *
     * @param id
     * @param subject
     * @return
     */
    public String createJWT(String id, String subject, String roles) {
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        JwtBuilder builder = Jwts.builder().setId(id)
                .setSubject(subject)
                .setIssuedAt(now)
                .signWith(SignatureAlgorithm.HS256, key)
                .claim("roles", roles);
        if (ttl > 0) {
            builder.setExpiration( new Date( nowMillis + ttl));
        }
        return builder.compact();
    }

    /**
     * 解析JWT
     * @param jwtStr
     * @return
     */
    public Claims parseJWT(String jwtStr){
        return  Jwts.parser()
                .setSigningKey(key)
                .parseClaimsJws(jwtStr)
                .getBody();
    }
}

3)修改 application.yml 的配置

jwt:
  config:
    key: itcast
    ttl: 3600000

4)管理登录后台签发 token

@RequestMapping(value = "/login",method = RequestMethod.POST)
	public Result login(@RequestBody Admin admin){
		admin = adminService.login(admin);
		if (admin == null){
			return new Result(false,StatusCode.LOGINERROR,"登录失败");
		}
		// 返回 token 信息
		String token = jwtUtil.createJWT(admin.getId(), admin.getLoginname(), "admin");
		Map<String,Object> map = new HashMap<>();
		map.put("token",token);
		map.put("roles","admin");
		return new Result(true,StatusCode.ACCESSERROR,"登录成功",map);
	}

5)删除普通用户鉴权
需求:删除用户,必须拥有管理员权限,否则不能删除。
前后端约定:前端请求微服务时需要添加头信息Authorization ,内容为Bearer+空格+token

public void deleteById(String id) {
		String header = request.getHeader("Authorization");
		if (header == null || "".equals(header)) {
			throw new RuntimeException("权限不足");
		}
		if (!header.startsWith("Bearer")) {
			throw new RuntimeException("权限不足");
		}
		String token = (String) header.substring(7);
		try {
			Claims claims = jwtUtil.parseJWT(token);
			if (claims == null || !"".equals(claims.get("rolesf"))) {
				throw new RuntimeException("权限不足");
			}
		} catch (Exception e) {
			throw new RuntimeException("权限不足");
		}
		userDao.deleteById(id);
}

6)添加拦截器,用来解析 token
如果每进行一步操作,都解析一遍 token,太麻烦,所以我们可以利用拦截器来解析 token
添加拦截器有两种方式:继承 org.springframework.web.servlet.handler.HandlerInterceptorAdapter类,或者实现 HandlerInterceptor接口
在这儿,我们采用实现接口的方式实现:

@Component
public class JwtInterceptor implements HandlerInterceptor {

    @Autowired
    private JwtUtil jwtUtil;

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String authorization = request.getHeader("Authorization");
        if (authorization != null && !"".equals(authorization)) {
            if (authorization.startsWith("Bearer")) {
                String token = authorization.substring(7);
                try {
                    Claims claims = jwtUtil.parseJWT(token);
                    String role = (String) claims.get("roles");
                    if (role != null && "admin".equals(role)) {
                        request.setAttribute("claims_admin",token);
                    }
                    if (role != null && "user".equals(role)) {
                        request.setAttribute("claims_user",token);
                    }
                } catch (Exception e) {
                    throw new RuntimeException("令牌有误");
                }
            }
        }
        return true;
    }
}

7)配置拦截器,对哪些请求拦截,对哪些请求不拦截

protected void addInterceptors(InterceptorRegistry registry) {
        /**
         * 对所有路径拦截
         * 对登录不拦截
         */
        registry.addInterceptor(jwtInterceptor)
                .addPathPatterns("/**")
                .excludePathPatterns("/**/login/**");
}

8)重新修改删除的方法

public void deleteById(String id) {
		String admin = (String) request.getAttribute("claims_admin");
		if (admin == null || "".equals(admin)){
			throw new RuntimeException("权限不足");
		}
		userDao.deleteById(id);
	}
微服务系列之-JWT安全认证
weinichendian的博客
01-18 767
文章目录前言一、JWT认证流程二、JWT数据结构三、JWT 的优点四、关于 token 注销总结 前言 JSON Web Tokens(JWT)是一种认证协议,是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。JWT 一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该 Token 也可直接被用于认证,也可被加密。 授服务器将用户信息和授范围序列化后放入一个JSON字符串,
JWT 实现微服务以及JJWT签发与验证token
weixin_60668060的博客
11-24 992
1 什么是微服务 使用网关在系统中比较适合进行限校验。那么我们可以采用JWT的方式来实现校验 2 JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {"typ":"JWT","alg":"HS256.
密码加密与微服务JWT-微服务
shenzhen_zsw的专栏
06-04 821
密码加密与微服务JWT-微服务微服务JWT工具类编写1)tensquare_common工程引入依赖(考虑到工具类的通用性)2)修改tensquare_common工程,创建util.JwtUtil3)修改tensquare_user工程的application.yml, 添加配置管理员登陆后台签发token1)配置bean .修改tensquare_user工程Application...
使用JWT实现微服务
最新发布
m0_65100923的博客
02-20 752
随着微服务架构的广泛应用,服务间的与安全通信成为系统设计的核心挑战之一。传统的集中式会话管理在分布式场景下面临性能瓶颈和扩展性不足的问题,而基于令牌的方案逐渐成为主流。JSON Web Token(JWT)凭借其轻量、无状态、自包含的特性,为微服务间的安全交互提供了高效解决方案。本文将深入探讨JWT原理、实践及安全策略,结合代码示例解析如何通过JWT实现微服务,帮助开发者构建高安全性与可维护性的分布式系统。
微服务JWT的介绍与使用
xuewenyu_的博客
01-22 1722
​ RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,“由已知加密密钥推导出解密密钥在计算上是不可逆的”密码体制。​ 在公开密钥密码体制中,加密密钥(即公开密钥)PK是公开信息,而解密密钥(即秘密密钥)SK是需要保密的。加密算法E和解密算法D也都是公开的。虽然解密密钥SK是由公开密钥PK决定的,但却不能根据PK计算出SK [2]。​ RSA加密:非对称加密。​ 同时生产一对秘钥:公钥和私钥。​ 公钥秘钥:用于加密​ 私钥秘钥:用于解密。
05JWT实现微服务
痞子王的博客
02-04 1009
05 JWT 实现微服务 5.1 什么是微服务 我们之前已经搭建过了网关,使用网关在系统中比较适合进行限校验。 那么我们可以采用JWT的方式来实现校验。 5.2 JWT JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。 头部(Header)...
微服务JWT
热门推荐
hell21的博客
10-02 33万+
JWT 微服务中,如果我们使用session来别用户的身份,session保存在服务器端,那就会有session共享问题,而且对服务端的压力也大。当然,你会说,使用rediss解决session共享问题,这也是可以的。但是,有没有一种不需要自己存放session信息就能实现身份验证的方式呢?JWT(JSON Web Token)就是这种范式实行的,通过这种方式服务端就不需要保存session数据了,只用在客户端保存服务端返回给客户的Token就可以了,扩展行的道提升。 JWT本质上就是一段签名的json格
微服务开发v1.0-密码加密与微服务JWT学习目标
本文主要介绍了《十次方微服务开发v1.0》...总之,《十次方微服务开发v1.0》第6章的内容涵盖了密码加密与微服务JWT的相关知识,通过学习这部分内容,可以帮助我们提升微服务开发的水平,保障系统的安全性和可靠性。
基于Python的mybookstore用户微服务限管控设计源码
10-04
限管控是微服务安全的核心问题之一。主要解决的是服务之间如何相互识别身份,确保只有经过授的服务或用户可以访问特定资源。限管控则涉及定义、分配和实施用户或服务的限策略,确保操作的合规性和...
第七章 Auth2微服务jwt方式笔记
hankin的博客
06-07 793
一、搭建认证服务器 JWT:json web token是一种无状态的认证方式,一般用于前后端分离,时效性比较极端的限校验,jwt模式获取token跟前面的客户端、密码、授码模式是一样的,只是需要配置秘钥。 1、服务端环境准备 新建认证服务器:springcloud-micro-jwt 1.1、添加pom依赖,与前面的其他模式一样 <!-- 添加oath2框架依赖 --><dependency><groupId>org.springframewo...
基于Spring Security OAuth2.0、JwtToken的微服务Demo
xiaxuepiaopiao的博客
05-07 3887
一、前记 记得很久之前面试美的,当时吹水微服务,被人问到一个问题:微服务如何处理的?嗯,很简单一个问题,但是懵逼了(水平不行啊),自然就挂了,后面就想以后吹水微服务一定要做好这一块的内容。 二、准备知识 Spring Security、OAuth2.0、Jwt;网上有很多内容,这里不赘述。 OAuth2.0主要学几种模式,如密码模式、客户端模式等等,这里我们使用密码模式。 三、参考文章 本...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间认证及授
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间认证及授。 OAuth2是一个关于授的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
微服务架构中使用JWT
白石的专栏
09-05 507
本文展示了如何使用 JWT 进行跨服务认证/授。 在单体架构中,所有子系统都在一个应用程序中:身份验证和授、会话管理器、业务逻辑等。如果我们在谈论[微服务架构],有些事情变得更加复杂。
微服务JWT
chen2614的博客
11-18 2416
前言:为什么要学习JWT? 1、JWT简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授和身份认证规范,可实现无状态、分布式的Web应用授;它是分布式服务限控制的标准解决方案!简而言之就是身份认证 2、 JWT 与RBAC的区别 后台限服务的数据库设计使用RBAC; 前端项目访问后台微服务限校验使用JWT 3、 JWT数据格式 JWT的token包含三部分数据: Header:头部,通常头部有两部分信息: 声明类型type,这里是JWT(type
使用JWT保护你的Spring Boot应用 - Spring Security实战
weixin_33720078的博客
04-28 169
使用JWT保护你的Spring Boot应用 - Spring Security实战 作者 freewolf 原创文章转载请标明出处 关键词 Spring Boot、OAuth 2.0、JWT、Spring Security、SSO、UAA 写在前面 最近安静下来,重新学习一些东西,最近一年几乎没写过代码。整天疲于奔命的日子终于结束了。坐...
JWT
我要的光荣哪怕只有一秒
11-29 498
目录 前言 一、JWT是什么? JWT由三部分组成 :Header,Payload,Signature 二、校验 校验说明 总结 前言 随着微服务的普及,传统的session/cookie越来越无法满足我们的需求,于是 我们发现了 JSON Web Tokens-JWT 一、JWT是什么? 官网:https://jwt.io/ JWT由三部分组成 :Header,Payload,Signature Header 只是一个标识,记录加密方式,格式说明 Payload 有...
JWT 实现微服务
weixin_45588345的博客
06-07 605
什么是微服务: 判断用户是否有限进行微服务的访问,微服务比较适合在网关中进行限的校验 我们可以采用 JWT的方式来实现校验 JWT: JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名 1.头部(Header): 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象 如: {“typ”:“JWT”,“
微服务环境配置JWT】SpringBoot中配置jwt
酷奇的博客
04-04 720
【代码】【微服务环境配置JWT】SpringBoot中配置jwt
密码加密与微服务JWT
kalvin_y_liu的博客
02-16 719
密码加密与微服务JWT ## 学习目标 1、用户注册时候,对数据库中用户的密码进行加密存储(使用 SpringSecurity)。 2、使用 JWT 认证。 一、BCrypt 密码加密 二、常见的认证机制 2.1、HTTP Basic Auth HTTP Basic Auth简单点说就是每次请求API时都提供用户的username和 password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供 用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值