JWT(JSON WEB TOKEN)是目前最流行的跨域认证解决方案,是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对来进行签名。
JWT通常由头部(Header),负载(Payload),签名(Signature)三个部分组成,中间以.号分隔,其格式为Header.Payload.Signature
Header:声明令牌的类型和使用的算法
alg:签名的算法
typ:token的类型,比如JWT
Payload:也称为JWT Claims,包含用户的一些信息
系统保留的声明(Reserved claims):
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众用户
nbf (Not Before):在此之前不可用
iat (Issued At):签发时间
jti (JWT ID):JWT唯一标识,能用于防止JWT重复使用
公共的声明(public):
见 http://www.iana.org/assignments/jwt/jwt.xhtml
私有的声明(private claims):
根据业务需要自己定义的数据
Signature:签名
签名格式:
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
JWT的特点:
JWT默认是不加密的,不能把用户敏感类信息放在Payload部分。
JWT 不仅可以用于认证,也可以用于交换信息。
JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。
JWT本身包含认证信息,为了减少盗用,JWT的有效期不宜设置太长。
为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。
首次生成token比较慢,比较耗CPU,在高并发的情况下需要考虑CPU占用问题。
生成的token比较长,可能需要考虑流量问题。
认证原理:
客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token中解析出用户的身份信息。
JWT的使用方式:
一种做法是放在HTTP请求的头信息Authorization字段里面,格式如下:
Authorization: <token>
需要将服务器设置为接受来自所有域的请求,用Access-Control-Allow-Origin: *
另一种做法是,跨域的时候,JWT就放在POST请求的数据体里面。
对JWT实现token续签的做法:
1、额外生成一个refreshToken用于获取新token,refreshToken需存储于服务端,其过期时间比JWT的过期时间要稍长。
2、用户携带refreshToken参数请求token刷新接口,服务端在判断refreshToken未过期后,取出关联的用户信息和当前token。
3、使用当前用户信息重新生成token,并将旧的token置于黑名单中,返回新的token。
创建用于登录认证的工程auth-service:
1、 创建pom.xml文件
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.seasy.springcloud</groupId>
<artifactId>auth-service</artifactId>
<version>1.0.0</version>
<packaging>jar</packaging>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.0.8.RELEASE</version>
<relativePath/>
</parent>
<properties>
<java.version>1.8</java.version>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<!-- spring cloud -->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-netflix-eureka-client</artifactId>
</dependency>
<!-- redis -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-pool2</artifactId>
</dependency>
<!-- jwt -->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.7.0</version>
</dependency>
</dependencies>
<dependencyManagement>
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-dependencies</artifactId>
<version>Finchley.RELEASE</version>
<type>pom</type>
<scope>import</scope>
</dependency>
</dependencies>
</dependencyManagement>
</project>
2、JWT工具类
public class JWTUtil {
public static final String SECRET_KEY = "123456"; //秘钥
public static final long TOKEN_EXPIRE_TIME = 5 * 60 * 1000; //token过期时间
public static final long REFRESH_TOKEN_EXPIRE_TIME = 10 * 60 * 1000; //refreshToken过期时间
private static final String ISSUER = "issuer"; //签发人
/**
* 生成签名
*/
public static String generateToken(String username){
Date now = new Date();
Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY); //算法
String token = JWT.create()
.withIssuer(ISSUER) //签发人
.withIssuedAt(now) //签发时间
.withExpiresAt(new Date(now.getTime() + TOKEN_EXPIRE_TIME)) //过期时间
.withClaim("username", username) //保存身份标识
.sign(algorithm);
return token;
}
/**
* 验证token
*/
public static boolean verify(String token){
try {
Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY); //算法
JWTVerifier verifier = JWT.require(algorithm)
.withIssuer(ISSUER)
.build();
verifier.verify(token);
return true;
} catch (Exception ex){
ex.printStackTrace();
}
return false;
}
/**
* 从token获取username
*/
public static String getUsername(String token){
try{
return JWT.decode(token).getClaim("username").asString();
}catch(Exception ex){
ex.printStackTrace();
}
return "";
}
}
3、LoginController类
@RestController
public class LoginController {
@Autowired
StringRedisTemplate redisTemplate;
/**
* 登录认证
* @param username 用户名
* @param password 密码
*/
@GetMapping("/login")
public AuthResult login(@RequestParam String username, @RequestParam String password) {
if("admin".equals(username) && "admin".equals(password)){
//生成token
String token = JWTUtil.generateToken(username);
//生成refreshToken
String refreshToken = StringUtil.getUUIDString();
//数据放入redis
redisTemplate.opsForHash().put(refreshToken, "token", token);
redisTemplate.opsForHash().put(refreshToken, "username", username);
//设置token的过期时间
redisTemplate.expire(refreshToken, JWTUtil.REFRESH_TOKEN_EXPIRE_TIME, TimeUnit.MILLISECONDS);
return new AuthResult(0, "success", token, refreshToken);
}else{
return new AuthResult(1001, "username or password error");
}
}
/**
* 刷新token
*/
@GetMapping("/refreshToken")
public AuthResult refreshToken(@RequestParam String refreshToken) {
String username = (String)redisTemplate.opsForHash().get(refreshToken, "username");
if(StringUtil.isEmpty(username)){
return new AuthResult(1003, "refreshToken error");
}
//生成新的token
String newToken = JWTUtil.generateToken(username);
redisTemplate.opsForHash().put(refreshToken, "token", newToken);
return new AuthResult(0, "success", newToken, refreshToken);
}
@GetMapping("/")
public String index() {
return "auth-service: " + LocalDateTime.now().format(DateTimeFormatter.ofPattern("yyyy-MM-dd HH:mm:ss"));
}
}
4、application配置信息
spring.application.name=auth-service
server.port=4040
eureka.instance.hostname=${spring.cloud.client.ip-address}
eureka.instance.instance-id=${spring.cloud.client.ip-address}:${server.port}
eureka.instance.prefer-ip-address=true
eureka.client.service-url.defaultZone=http://root:123456@${eureka.instance.hostname}:7001/eureka/
#redis
spring.redis.database=0
spring.redis.timeout=3000ms
spring.redis.lettuce.pool.max-active=100
spring.redis.lettuce.pool.max-wait=-1ms
spring.redis.lettuce.pool.min-idle=0
spring.redis.lettuce.pool.max-idle=8
#standalone
spring.redis.host=192.168.134.134
spring.redis.port=7001
#sentinel
#spring.redis.sentinel.master=mymaster
#spring.redis.sentinel.nodes=192.168.134.134:26379,192.168.134.134:26380
5、启动类
@SpringBootApplication
@EnableEurekaClient
public class Main{
public static void main(String[] args){
SpringApplication.run(Main.class, args);
}
}
改造SpringCloud Gateway工程(https://chenjumin.iteye.com/blog/2436795)
1、在pom.xml文件添加依赖
<!-- redis --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-pool2</artifactId> </dependency> <!-- jwt --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.7.0</version> </dependency>
2、创建全局过滤器JWTAuthFilter
@Component
public class JWTAuthFilter implements GlobalFilter, Ordered{
@Override
public int getOrder() {
return -100;
}
@Override
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
String url = exchange.getRequest().getURI().getPath();
//忽略以下url请求
if(url.indexOf("/auth-service/") >= 0){
return chain.filter(exchange);
}
//从请求头中取得token
String token = exchange.getRequest().getHeaders().getFirst("Authorization");
if(StringUtil.isEmpty(token)){
ServerHttpResponse response = exchange.getResponse();
response.setStatusCode(HttpStatus.OK);
response.getHeaders().add("Content-Type", "application/json;charset=UTF-8");
Response res = new Response(401, "401 unauthorized");
byte[] responseByte = JSONObject.fromObject(res).toString().getBytes(StandardCharsets.UTF_8);
DataBuffer buffer = response.bufferFactory().wrap(responseByte);
return response.writeWith(Flux.just(buffer));
}
//请求中的token是否在redis中存在
boolean verifyResult = JWTUtil.verify(token);
if(!verifyResult){
ServerHttpResponse response = exchange.getResponse();
response.setStatusCode(HttpStatus.OK);
response.getHeaders().add("Content-Type", "application/json;charset=UTF-8");
Response res = new Response(1004, "invalid token");
byte[] responseByte = JSONObject.fromObject(res).toString().getBytes(StandardCharsets.UTF_8);
DataBuffer buffer = response.bufferFactory().wrap(responseByte);
return response.writeWith(Flux.just(buffer));
}
return chain.filter(exchange);
}
}
public class Response {
private int code;
private String message;
private String data;
public Response(){
}
public Response(int code, String message){
this.code = code;
this.message = message;
}
public Response(int code, String message, String data){
this.code = code;
this.message = message;
this.data = data;
}
//省略getter、setter方法
//......
}
3、关键的application配置信息
spring:
application:
name: service-gateway
cloud:
gateway:
discovery:
locator:
enabled: true
lowerCaseServiceId: true
routes:
#认证服务路由
- id: auth-service
predicates:
- Path=/auth-service/**
uri: lb://auth-service
filters:
- StripPrefix=1
相关推荐
"详解用JWT对SpringCloud进行认证和鉴权" ...本文详细介绍了使用JWT对SpringCloud进行认证和鉴权的详细过程,包括JWT的结构、特点和使用方式,以及在SpringCloud中使用JWT进行认证和鉴权的实践经验。
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
在微服务架构中, token验证是非常重要的安全机制之一,本文将主要介绍如何使用Spring Cloud Feign统一设置验证token实现方法解析。 首先,我们需要了解Feign组件的工作机制。Feign组件是一个基于Annotation的接口...
《SpringCloud、Eureka、Gateway与JWT整合详解》 在微服务架构中,SpringCloud作为主流的Java微服务框架,提供了丰富的组件来帮助开发者构建分布式系统。本篇将深入探讨SpringCloud中的Eureka服务发现、GatewayAPI...
Spring Cloud Gateway 是一款基于 Spring Framework 5 和 Spring Boot 2 设计的现代化的微服务网关,它旨在提供一种简单而有效的方式来对 API 进行路由以及提供了过滤器功能,用于进行断路、限流、认证等操作。...
总结起来,这个示例项目展示了如何使用 Spring Cloud Gateway 创建一个具备全局过滤器和统一鉴权功能的微服务网关。开发者可以通过学习和运行此项目,了解如何在实际应用中实现高效且安全的API路由管理。
【标题】"spring-cloud-demo备份20191024_springcloud_java_分布式_cloud_" 涵盖了Spring Cloud作为一个核心的分布式系统开发框架,它基于Spring Boot的微服务构建工具,使得开发者能够轻松地创建和配置服务发现、...
总的来说,这个项目展示了如何在Spring Cloud环境下,通过Eureka实现服务发现,使用MyBatis处理数据库操作,依赖Redis进行缓存和消息传递,利用Zuul作为API网关完成认证和路由,以及通过Base-service提供通用服务...
通过JWT的方式来进行用户认证和信息传递,保证服务之间用户无状态的传递。 监控 利用Spring Boot Admin 来监控各个独立Service的运行状态;利用Hystrix Dashboard来实时查看接口的运行状态和调用频率等。 负载均衡 ...
springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
综上所述,通过集成Spring Security OAuth2,我们可以为Spring Cloud Gateway构建一个强大的安全认证服务,实现基于数据库存储的令牌管理,以及对API请求的动态过滤和细粒度权限控制。这个过程涉及到多个组件的配置...
轻松阅读是一款图书阅读应用,基于Spring Cloud开发,涉及了SpringCloud-Gateway、Nacos、Hystrix、OpenFeign、Jwt和ElasticSearch等技术。这个项目可以帮助你了解如何在实际应用中整合这些技术。 4. **Spring...
在本项目中,"单体springcloud工程示例,带完善的权限系统" 是一个基于Spring Cloud框架构建的全面集成的微服务应用。Spring Cloud作为Java生态中的微服务工具集,提供了一系列的解决方案,如服务发现、配置中心、...
本示例将详细介绍如何在 Spring Cloud 中集成 OAuth2 来实现身份认证和单点登录(Single Sign-On, SSO)。SSO 允许用户在一次登录后访问多个相互关联的应用系统,而无需再次进行身份验证,极大地提升了用户体验。 1...
在Spring Cloud Gateway中,可以通过拦截器(Filter)实现鉴权逻辑。可以创建一个自定义的`GlobalFilter`,在每个请求到达微服务之前进行拦截,检查请求头中的JWT。利用Spring Security的OAuth2库,可以解析和验证...
通过这个SpringCloudOAuth2.zip,我们可以学习如何利用Spring Cloud OAuth2搭建一个完整的用户认证中心和API鉴权系统,理解OAuth2的工作流程,并深入研究Spring Security的相关配置。同时,这也有助于我们掌握微服务...
CloudPlatform是国内首个基于Spring Cloud微服务化开发平台,具有统一授权、认证后台管理系统,其中包含具备用户管理、资源权限管理、网关API管理等多个模块,支持多业务系统并行开发,可以作为后端服务的开发脚手架...
4. **健康检查**:Zuul 可以与 Spring Cloud Netflix Eureka 集成,进行服务发现和健康检查。只有健康的服务实例才会接收路由请求,确保请求不会发送到不可用的实例。 在实际的企业级应用中,Zuul 还常常与其他组件...
所有服务基于spring boot 2.2.0.RELEASE和spring cloud Hoxton.M3进行开发。 api-service是业务服务,提供业务接口,没有token验证; 通过gateway-service可以访问api-service的业务接口,并在gateway上实现了统一...