快捷導(dǎo)航

詳解SpringCloud服務(wù)認證（JWT）

更新時間：2018年01月27日 16:58:34 作者：唐亞峰

本篇文章主要介紹了SpringCloud服務(wù)認證（JWT），小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧

- JWT

JWT（JSON Web Token）, 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標準（(RFC 7519).該token被設(shè)計為緊湊且安全的，特別適用于分布式站點的單點登錄（SSO）場景。JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認證的用戶身份信息，以便于從資源服務(wù)器獲取資源，也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息，該token也可直接被用于認證，也可被加密。

- JWT與其它的區(qū)別

通常情況下，把API直接暴露出去是風(fēng)險很大的，不說別的，直接被機器攻擊就喝一壺的。那么一般來說，對API要劃分出一定的權(quán)限級別，然后做一個用戶的鑒權(quán)，依據(jù)鑒權(quán)結(jié)果給予用戶開放對應(yīng)的API。目前，比較主流的方案有幾種:

OAuth

OAuth（開放授權(quán)）是一個開放的授權(quán)標準，允許用戶讓第三方應(yīng)用訪問該用戶在某一服務(wù)上存儲的私密的資源（如照片，視頻），而無需將用戶名和密碼提供給第三方應(yīng)用。

OAuth 允許用戶提供一個令牌，而不是用戶名和密碼來訪問他們存放在特定服務(wù)提供者的數(shù)據(jù)。每一個令牌授權(quán)一個特定的第三方系統(tǒng)（例如，視頻編輯網(wǎng)站)在特定的時段（例如，接下來的2小時內(nèi)）內(nèi)訪問特定的資源（例如僅僅是某一相冊中的視頻）。這樣，OAuth讓用戶可以授權(quán)第三方網(wǎng)站訪問他們存儲在另外服務(wù)提供者的某些特定信息，而非所有內(nèi)容

Cookie/Session Auth

Cookie認證機制就是為一次請求認證在服務(wù)端創(chuàng)建一個Session對象，同時在客戶端的瀏覽器端創(chuàng)建了一個Cookie對象；通過客戶端帶上來Cookie對象來與服務(wù)器端的session對象匹配來實現(xiàn)狀態(tài)管理的。默認的，當我們關(guān)閉瀏覽器的時候，cookie會被刪除。但可以通過修改cookie 的expire time使cookie在一定時間內(nèi)有效，基于session方式認證勢必會對服務(wù)器造成一定的壓力（內(nèi)存存儲），不易于擴展（需要處理分布式session），跨站請求偽造的攻擊（CSRF）

- JWT的優(yōu)點

1.相比于session，它無需保存在服務(wù)器，不占用服務(wù)器內(nèi)存開銷。

2.無狀態(tài)、可拓展性強：比如有3臺機器（A、B、C）組成服務(wù)器集群，若session存在機器A上，session只能保存在其中一臺服務(wù)器，此時你便不能訪問機器B、C，因為B、C上沒有存放該Session，而使用token就能夠驗證用戶請求合法性，并且我再加幾臺機器也沒事，所以可拓展性好就是這個意思。

3.前后端分離，支持跨域訪問。

- JWT的組成

{ "iss": "JWT Builder", 
 "iat": 1416797419, 
 "exp": 1448333419, 
 "aud": "www.battcn.com", 
 "sub": "1837307557@qq.com", 
 "GivenName": "Levin", 
 "Surname": "Levin", 
 "Email": "1837307557@qq.com", 
 "Role": [ "ADMIN", "MEMBER" ] 
}

iss: 該JWT的簽發(fā)者，是否使用是可選的；
sub: 該JWT所面向的用戶，是否使用是可選的；
aud: 接收該JWT的一方，是否使用是可選的；
exp(expires): 什么時候過期，這里是一個Unix時間戳，是否使用是可選的；
iat(issued at): 在什么時候簽發(fā)的(UNIX時間)，是否使用是可選的；
nbf (Not Before)：如果當前時間在nbf里的時間之前，則Token不被接受；一般都會留一些余地，比如幾分鐘；，是否使用是可選的；

一個JWT實際上就是一個字符串，它由三部分組成，頭部、載荷、簽名（上圖依次排序）

JWT Token生成器：https://jwt.io/

- 認證

- 登陸認證

客戶端發(fā)送 POST 請求到服務(wù)器，提交登錄處理的Controller層
調(diào)用認證服務(wù)進行用戶名密碼認證，如果認證通過，返回完整的用戶信息及對應(yīng)權(quán)限信息
利用 JJWT 對用戶、權(quán)限信息、秘鑰構(gòu)建Token
返回構(gòu)建好的Token

- 請求認證

客戶端向服務(wù)器請求，服務(wù)端讀取請求頭信息(request.header)獲取Token
如果找到Token信息，則根據(jù)配置文件中的簽名加密秘鑰，調(diào)用JJWT Lib對Token信息進行解密和解碼；
完成解碼并驗證簽名通過后，對Token中的exp、nbf、aud等信息進行驗證；
全部通過后，根據(jù)獲取的用戶的角色權(quán)限信息，進行對請求的資源的權(quán)限邏輯判斷；
如果權(quán)限邏輯判斷通過則通過Response對象返回；否則則返回HTTP 401；

無效Token

有效Token

- JWT的缺點

有優(yōu)點就會有缺點，是否適用應(yīng)該考慮清楚，而不是技術(shù)跟風(fēng)

token過大容易占用更多的空間
token中不應(yīng)該存儲敏感信息
JWT不是 session ，勿將token當session
無法作廢已頒布的令牌，因為所有的認證信息都在JWT中，由于在服務(wù)端沒有狀態(tài)，即使你知道了某個JWT被盜取了，你也沒有辦法將其作廢。在JWT過期之前（你絕對應(yīng)該設(shè)置過期時間），你無能為力。
類似緩存，由于無法作廢已頒布的令牌，在其過期前，你只能忍受”過期”的數(shù)據(jù)（自己放出去的token，含著淚也要用到底）。

- 代碼（片段）

TokenProperties 與 application.yml資源的key映射，方便使用

@Configuration
@ConfigurationProperties(prefix = "battcn.security.token")
public class TokenProperties {
 /**
 * {@link com.battcn.security.model.token.Token} token的過期時間
 */
 private Integer expirationTime;

 /**
 * 發(fā)行人
 */
 private String issuer;

 /**
 * 使用的簽名KEY {@link com.battcn.security.model.token.Token}.
 */
 private String signingKey;

 /**
 * {@link com.battcn.security.model.token.Token} 刷新過期時間
 */
 private Integer refreshExpTime;

 // get set ...
}

Token生成的類

@Component
public class TokenFactory {

 private final TokenProperties properties;

 @Autowired
 public TokenFactory(TokenProperties properties) {
 this.properties = properties;
 }

 /**
 * 利用JJWT 生成 Token
 * @param context
 * @return
 */
 public AccessToken createAccessToken(UserContext context) {
 Optional.ofNullable(context.getUsername()).orElseThrow(()-> new IllegalArgumentException("Cannot create Token without username"));
 Optional.ofNullable(context.getAuthorities()).orElseThrow(()-> new IllegalArgumentException("User doesn't have any privileges"));
 Claims claims = Jwts.claims().setSubject(context.getUsername());
 claims.put("scopes", context.getAuthorities().stream().map(Object::toString).collect(toList()));
 LocalDateTime currentTime = LocalDateTime.now();
 String token = Jwts.builder()
  .setClaims(claims)
  .setIssuer(properties.getIssuer())
  .setIssuedAt(Date.from(currentTime.atZone(ZoneId.systemDefault()).toInstant()))
  .setExpiration(Date.from(currentTime
  .plusMinutes(properties.getExpirationTime())
  .atZone(ZoneId.systemDefault()).toInstant()))
  .signWith(SignatureAlgorithm.HS512, properties.getSigningKey())
 .compact();
 return new AccessToken(token, claims);
 }

 /**
 * 生成 刷新 RefreshToken
 * @param userContext
 * @return
 */
 public Token createRefreshToken(UserContext userContext) {
 if (StringUtils.isBlank(userContext.getUsername())) {
  throw new IllegalArgumentException("Cannot create Token without username");
 }
 LocalDateTime currentTime = LocalDateTime.now();
 Claims claims = Jwts.claims().setSubject(userContext.getUsername());
 claims.put("scopes", Arrays.asList(Scopes.REFRESH_TOKEN.authority()));
 String token = Jwts.builder()
  .setClaims(claims)
  .setIssuer(properties.getIssuer())
  .setId(UUID.randomUUID().toString())
  .setIssuedAt(Date.from(currentTime.atZone(ZoneId.systemDefault()).toInstant()))
  .setExpiration(Date.from(currentTime
  .plusMinutes(properties.getRefreshExpTime())
  .atZone(ZoneId.systemDefault()).toInstant()))
  .signWith(SignatureAlgorithm.HS512, properties.getSigningKey())
 .compact();

 return new AccessToken(token, claims);
 }
}

配置文件，含token過期時間，秘鑰，可自行擴展

battcn:
 security:
 token:
 expiration-time: 10 # 分鐘 1440
 refresh-exp-time: 30 # 分鐘 2880
 issuer: http://blog.battcn.com
 signing-key: battcn

WebSecurityConfig 是 Spring Security 關(guān)鍵配置，在Securrty中基本上可以通過定義過濾器去實現(xiàn)我們想要的功能.

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

 public static final String TOKEN_HEADER_PARAM = "X-Authorization";
 public static final String FORM_BASED_LOGIN_ENTRY_POINT = "/api/auth/login";
 public static final String TOKEN_BASED_AUTH_ENTRY_POINT = "/api/**";
 public static final String MANAGE_TOKEN_BASED_AUTH_ENTRY_POINT = "/manage/**";
 public static final String TOKEN_REFRESH_ENTRY_POINT = "/api/auth/token";

 @Autowired private RestAuthenticationEntryPoint authenticationEntryPoint;
 @Autowired private AuthenticationSuccessHandler successHandler;
 @Autowired private AuthenticationFailureHandler failureHandler;
 @Autowired private LoginAuthenticationProvider loginAuthenticationProvider;
 @Autowired private TokenAuthenticationProvider tokenAuthenticationProvider;

 @Autowired private TokenExtractor tokenExtractor;

 @Autowired private AuthenticationManager authenticationManager;

 protected LoginProcessingFilter buildLoginProcessingFilter() throws Exception {
 LoginProcessingFilter filter = new LoginProcessingFilter(FORM_BASED_LOGIN_ENTRY_POINT, successHandler, failureHandler);
 filter.setAuthenticationManager(this.authenticationManager);
 return filter;
 }

 protected TokenAuthenticationProcessingFilter buildTokenAuthenticationProcessingFilter() throws Exception {
 List<String> list = Lists.newArrayList(TOKEN_BASED_AUTH_ENTRY_POINT,MANAGE_TOKEN_BASED_AUTH_ENTRY_POINT);
 SkipPathRequestMatcher matcher = new SkipPathRequestMatcher(list);
 TokenAuthenticationProcessingFilter filter = new TokenAuthenticationProcessingFilter(failureHandler, tokenExtractor, matcher);
 filter.setAuthenticationManager(this.authenticationManager);
 return filter;
 }

 @Bean
 @Override
 public AuthenticationManager authenticationManagerBean() throws Exception {
 return super.authenticationManagerBean();
 }

 @Override
 protected void configure(AuthenticationManagerBuilder auth) {
 auth.authenticationProvider(loginAuthenticationProvider);
 auth.authenticationProvider(tokenAuthenticationProvider);
 }

 @Override
 protected void configure(HttpSecurity http) throws Exception {
 http
 .csrf().disable() // 因為使用的是JWT，因此這里可以關(guān)閉csrf了
 .exceptionHandling()
 .authenticationEntryPoint(this.authenticationEntryPoint)
 .and()
  .sessionManagement()
  .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
 .and()
  .authorizeRequests()
  .antMatchers(FORM_BASED_LOGIN_ENTRY_POINT).permitAll() // Login end-point
  .antMatchers(TOKEN_REFRESH_ENTRY_POINT).permitAll() // Token refresh end-point
 .and()
  .authorizeRequests()
  .antMatchers(TOKEN_BASED_AUTH_ENTRY_POINT).authenticated() // Protected API End-points
  .antMatchers(MANAGE_TOKEN_BASED_AUTH_ENTRY_POINT).hasAnyRole(RoleEnum.ADMIN.name())
 .and()
  .addFilterBefore(buildLoginProcessingFilter(), UsernamePasswordAuthenticationFilter.class)
  .addFilterBefore(buildTokenAuthenticationProcessingFilter(), UsernamePasswordAuthenticationFilter.class);
 }
}