欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

詳解SpringCloud服務(wù)認(rèn)證(JWT)

 更新時間:2018年01月27日 16:58:34   作者:唐亞峰  
本篇文章主要介紹了SpringCloud服務(wù)認(rèn)證(JWT),小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧

 - JWT

JWT(JSON Web Token), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn)((RFC 7519).該token被設(shè)計(jì)為緊湊且安全的,特別適用于分布式站點(diǎn)的單點(diǎn)登錄(SSO)場景。JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息,以便于從資源服務(wù)器獲取資源,也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息,該token也可直接被用于認(rèn)證,也可被加密。

- JWT與其它的區(qū)別

通常情況下,把API直接暴露出去是風(fēng)險(xiǎn)很大的,不說別的,直接被機(jī)器攻擊就喝一壺的。那么一般來說,對API要劃分出一定的權(quán)限級別,然后做一個用戶的鑒權(quán),依據(jù)鑒權(quán)結(jié)果給予用戶開放對應(yīng)的API。目前,比較主流的方案有幾種:

OAuth

OAuth(開放授權(quán))是一個開放的授權(quán)標(biāo)準(zhǔn),允許用戶讓第三方應(yīng)用訪問該用戶在某一服務(wù)上存儲的私密的資源(如照片,視頻),而無需將用戶名和密碼提供給第三方應(yīng)用。

OAuth 允許用戶提供一個令牌,而不是用戶名和密碼來訪問他們存放在特定服務(wù)提供者的數(shù)據(jù)。每一個令牌授權(quán)一個特定的第三方系統(tǒng)(例如,視頻編輯網(wǎng)站)在特定的時段(例如,接下來的2小時內(nèi))內(nèi)訪問特定的資源(例如僅僅是某一相冊中的視頻)。這樣,OAuth讓用戶可以授權(quán)第三方網(wǎng)站訪問他們存儲在另外服務(wù)提供者的某些特定信息,而非所有內(nèi)容

Cookie/Session Auth

Cookie認(rèn)證機(jī)制就是為一次請求認(rèn)證在服務(wù)端創(chuàng)建一個Session對象,同時在客戶端的瀏覽器端創(chuàng)建了一個Cookie對象;通過客戶端帶上來Cookie對象來與服務(wù)器端的session對象匹配來實(shí)現(xiàn)狀態(tài)管理的。默認(rèn)的,當(dāng)我們關(guān)閉瀏覽器的時候,cookie會被刪除。但可以通過修改cookie 的expire time使cookie在一定時間內(nèi)有效,基于session方式認(rèn)證勢必會對服務(wù)器造成一定的壓力(內(nèi)存存儲),不易于擴(kuò)展(需要處理分布式session),跨站請求偽造的攻擊(CSRF)

- JWT的優(yōu)點(diǎn)

1.相比于session,它無需保存在服務(wù)器,不占用服務(wù)器內(nèi)存開銷。

2.無狀態(tài)、可拓展性強(qiáng):比如有3臺機(jī)器(A、B、C)組成服務(wù)器集群,若session存在機(jī)器A上,session只能保存在其中一臺服務(wù)器,此時你便不能訪問機(jī)器B、C,因?yàn)锽、C上沒有存放該Session,而使用token就能夠驗(yàn)證用戶請求合法性,并且我再加幾臺機(jī)器也沒事,所以可拓展性好就是這個意思。

3.前后端分離,支持跨域訪問。

- JWT的組成

{ "iss": "JWT Builder", 
 "iat": 1416797419, 
 "exp": 1448333419, 
 "aud": "www.battcn.com", 
 "sub": "1837307557@qq.com", 
 "GivenName": "Levin", 
 "Surname": "Levin", 
 "Email": "1837307557@qq.com", 
 "Role": [ "ADMIN", "MEMBER" ] 
}
  1.  iss: 該JWT的簽發(fā)者,是否使用是可選的;
  2. sub: 該JWT所面向的用戶,是否使用是可選的;
  3. aud: 接收該JWT的一方,是否使用是可選的;
  4. exp(expires): 什么時候過期,這里是一個Unix時間戳,是否使用是可選的;
  5. iat(issued at): 在什么時候簽發(fā)的(UNIX時間),是否使用是可選的;
  6. nbf (Not Before):如果當(dāng)前時間在nbf里的時間之前,則Token不被接受;一般都會留一些余地,比如幾分鐘;,是否使用是可選的;

一個JWT實(shí)際上就是一個字符串,它由三部分組成,頭部、載荷、簽名(上圖依次排序)

JWT Token生成器:https://jwt.io/

- 認(rèn)證

- 登陸認(rèn)證

  1. 客戶端發(fā)送 POST 請求到服務(wù)器,提交登錄處理的Controller層
  2. 調(diào)用認(rèn)證服務(wù)進(jìn)行用戶名密碼認(rèn)證,如果認(rèn)證通過,返回完整的用戶信息及對應(yīng)權(quán)限信息
  3. 利用 JJWT 對用戶、權(quán)限信息、秘鑰構(gòu)建Token
  4. 返回構(gòu)建好的Token

- 請求認(rèn)證

  1. 客戶端向服務(wù)器請求,服務(wù)端讀取請求頭信息(request.header)獲取Token
  2. 如果找到Token信息,則根據(jù)配置文件中的簽名加密秘鑰,調(diào)用JJWT Lib對Token信息進(jìn)行解密和解碼;
  3. 完成解碼并驗(yàn)證簽名通過后,對Token中的exp、nbf、aud等信息進(jìn)行驗(yàn)證;
  4. 全部通過后,根據(jù)獲取的用戶的角色權(quán)限信息,進(jìn)行對請求的資源的權(quán)限邏輯判斷;
  5. 如果權(quán)限邏輯判斷通過則通過Response對象返回;否則則返回HTTP 401;

無效Token

有效Token

- JWT的缺點(diǎn)

有優(yōu)點(diǎn)就會有缺點(diǎn),是否適用應(yīng)該考慮清楚,而不是技術(shù)跟風(fēng)

  1. token過大容易占用更多的空間
  2. token中不應(yīng)該存儲敏感信息
  3. JWT不是 session ,勿將token當(dāng)session
  4. 無法作廢已頒布的令牌,因?yàn)樗械恼J(rèn)證信息都在JWT中,由于在服務(wù)端沒有狀態(tài),即使你知道了某個JWT被盜取了,你也沒有辦法將其作廢。在JWT過期之前(你絕對應(yīng)該設(shè)置過期時間),你無能為力。
  5. 類似緩存,由于無法作廢已頒布的令牌,在其過期前,你只能忍受”過期”的數(shù)據(jù)(自己放出去的token,含著淚也要用到底)。

- 代碼(片段)

TokenProperties 與 application.yml資源的key映射,方便使用

@Configuration
@ConfigurationProperties(prefix = "battcn.security.token")
public class TokenProperties {
 /**
 * {@link com.battcn.security.model.token.Token} token的過期時間
 */
 private Integer expirationTime;

 /**
 * 發(fā)行人
 */
 private String issuer;

 /**
 * 使用的簽名KEY {@link com.battcn.security.model.token.Token}.
 */
 private String signingKey;

 /**
 * {@link com.battcn.security.model.token.Token} 刷新過期時間
 */
 private Integer refreshExpTime;

 // get set ...
}

Token生成的類

@Component
public class TokenFactory {

 private final TokenProperties properties;

 @Autowired
 public TokenFactory(TokenProperties properties) {
 this.properties = properties;
 }

 /**
 * 利用JJWT 生成 Token
 * @param context
 * @return
 */
 public AccessToken createAccessToken(UserContext context) {
 Optional.ofNullable(context.getUsername()).orElseThrow(()-> new IllegalArgumentException("Cannot create Token without username"));
 Optional.ofNullable(context.getAuthorities()).orElseThrow(()-> new IllegalArgumentException("User doesn't have any privileges"));
 Claims claims = Jwts.claims().setSubject(context.getUsername());
 claims.put("scopes", context.getAuthorities().stream().map(Object::toString).collect(toList()));
 LocalDateTime currentTime = LocalDateTime.now();
 String token = Jwts.builder()
  .setClaims(claims)
  .setIssuer(properties.getIssuer())
  .setIssuedAt(Date.from(currentTime.atZone(ZoneId.systemDefault()).toInstant()))
  .setExpiration(Date.from(currentTime
  .plusMinutes(properties.getExpirationTime())
  .atZone(ZoneId.systemDefault()).toInstant()))
  .signWith(SignatureAlgorithm.HS512, properties.getSigningKey())
 .compact();
 return new AccessToken(token, claims);
 }

 /**
 * 生成 刷新 RefreshToken
 * @param userContext
 * @return
 */
 public Token createRefreshToken(UserContext userContext) {
 if (StringUtils.isBlank(userContext.getUsername())) {
  throw new IllegalArgumentException("Cannot create Token without username");
 }
 LocalDateTime currentTime = LocalDateTime.now();
 Claims claims = Jwts.claims().setSubject(userContext.getUsername());
 claims.put("scopes", Arrays.asList(Scopes.REFRESH_TOKEN.authority()));
 String token = Jwts.builder()
  .setClaims(claims)
  .setIssuer(properties.getIssuer())
  .setId(UUID.randomUUID().toString())
  .setIssuedAt(Date.from(currentTime.atZone(ZoneId.systemDefault()).toInstant()))
  .setExpiration(Date.from(currentTime
  .plusMinutes(properties.getRefreshExpTime())
  .atZone(ZoneId.systemDefault()).toInstant()))
  .signWith(SignatureAlgorithm.HS512, properties.getSigningKey())
 .compact();

 return new AccessToken(token, claims);
 }
}

配置文件,含token過期時間,秘鑰,可自行擴(kuò)展

battcn:
 security:
 token:
 expiration-time: 10 # 分鐘 1440
 refresh-exp-time: 30 # 分鐘 2880
 issuer: http://blog.battcn.com
 signing-key: battcn

WebSecurityConfig 是 Spring Security 關(guān)鍵配置,在Securrty中基本上可以通過定義過濾器去實(shí)現(xiàn)我們想要的功能.

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

 public static final String TOKEN_HEADER_PARAM = "X-Authorization";
 public static final String FORM_BASED_LOGIN_ENTRY_POINT = "/api/auth/login";
 public static final String TOKEN_BASED_AUTH_ENTRY_POINT = "/api/**";
 public static final String MANAGE_TOKEN_BASED_AUTH_ENTRY_POINT = "/manage/**";
 public static final String TOKEN_REFRESH_ENTRY_POINT = "/api/auth/token";

 @Autowired private RestAuthenticationEntryPoint authenticationEntryPoint;
 @Autowired private AuthenticationSuccessHandler successHandler;
 @Autowired private AuthenticationFailureHandler failureHandler;
 @Autowired private LoginAuthenticationProvider loginAuthenticationProvider;
 @Autowired private TokenAuthenticationProvider tokenAuthenticationProvider;

 @Autowired private TokenExtractor tokenExtractor;

 @Autowired private AuthenticationManager authenticationManager;

 protected LoginProcessingFilter buildLoginProcessingFilter() throws Exception {
 LoginProcessingFilter filter = new LoginProcessingFilter(FORM_BASED_LOGIN_ENTRY_POINT, successHandler, failureHandler);
 filter.setAuthenticationManager(this.authenticationManager);
 return filter;
 }

 protected TokenAuthenticationProcessingFilter buildTokenAuthenticationProcessingFilter() throws Exception {
 List<String> list = Lists.newArrayList(TOKEN_BASED_AUTH_ENTRY_POINT,MANAGE_TOKEN_BASED_AUTH_ENTRY_POINT);
 SkipPathRequestMatcher matcher = new SkipPathRequestMatcher(list);
 TokenAuthenticationProcessingFilter filter = new TokenAuthenticationProcessingFilter(failureHandler, tokenExtractor, matcher);
 filter.setAuthenticationManager(this.authenticationManager);
 return filter;
 }

 @Bean
 @Override
 public AuthenticationManager authenticationManagerBean() throws Exception {
 return super.authenticationManagerBean();
 }

 @Override
 protected void configure(AuthenticationManagerBuilder auth) {
 auth.authenticationProvider(loginAuthenticationProvider);
 auth.authenticationProvider(tokenAuthenticationProvider);
 }

 @Override
 protected void configure(HttpSecurity http) throws Exception {
 http
 .csrf().disable() // 因?yàn)槭褂玫氖荍WT,因此這里可以關(guān)閉csrf了
 .exceptionHandling()
 .authenticationEntryPoint(this.authenticationEntryPoint)
 .and()
  .sessionManagement()
  .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
 .and()
  .authorizeRequests()
  .antMatchers(FORM_BASED_LOGIN_ENTRY_POINT).permitAll() // Login end-point
  .antMatchers(TOKEN_REFRESH_ENTRY_POINT).permitAll() // Token refresh end-point
 .and()
  .authorizeRequests()
  .antMatchers(TOKEN_BASED_AUTH_ENTRY_POINT).authenticated() // Protected API End-points
  .antMatchers(MANAGE_TOKEN_BASED_AUTH_ENTRY_POINT).hasAnyRole(RoleEnum.ADMIN.name())
 .and()
  .addFilterBefore(buildLoginProcessingFilter(), UsernamePasswordAuthenticationFilter.class)
  .addFilterBefore(buildTokenAuthenticationProcessingFilter(), UsernamePasswordAuthenticationFilter.class);
 }
}

- 說點(diǎn)什么

由于JWT代碼做了簡單封裝,包含內(nèi)容較多,所以文章里只貼主要片段,需要完整代碼可以直接從下面GIT獲取

本章代碼(battcn-jwt-service):http://xiazai.jb51.net/201801/yuanma/battcn-cloud_jb51.rar

以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

  • Spring中@order注解用法實(shí)戰(zhàn)教程

    Spring中@order注解用法實(shí)戰(zhàn)教程

    @Order注解主要用來控制配置類的加載順序,數(shù)字越小,越先加載,下面這篇文章主要給大家介紹了關(guān)于Spring中@order注解用法的相關(guān)資料,需要的朋友可以參考下
    2022-11-11
  • SpringBoot項(xiàng)目中使用緩存Cache的正確方法分享

    SpringBoot項(xiàng)目中使用緩存Cache的正確方法分享

    緩存可以通過將經(jīng)常訪問的數(shù)據(jù)存儲在內(nèi)存中,減少底層數(shù)據(jù)源如數(shù)據(jù)庫的壓力,從而有效提高系統(tǒng)的性能和穩(wěn)定性。本文就來講講SpringBoot項(xiàng)目中使用緩存Cache的正確姿勢吧
    2023-04-04
  • Java程序中添加播放MIDI音樂功能的實(shí)現(xiàn)方法詳解

    Java程序中添加播放MIDI音樂功能的實(shí)現(xiàn)方法詳解

    本篇文章是對在Java程序中添加播放MIDI音樂功能的方法進(jìn)行了詳細(xì)的分析介紹,需要的朋友參考下
    2013-05-05
  • java讀取ftp中TXT文件的案例

    java讀取ftp中TXT文件的案例

    這篇文章主要介紹了java讀取ftp中TXT文件的案例,具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2020-09-09
  • Java類的初始化順序知識點(diǎn)總結(jié)

    Java類的初始化順序知識點(diǎn)總結(jié)

    在本篇文章里小編給大家整理的是關(guān)于Java類的初始化順序知識點(diǎn)總結(jié),需要的朋友們可以學(xué)習(xí)下。
    2020-02-02
  • Java fastdfs客戶端實(shí)現(xiàn)上傳下載文件

    Java fastdfs客戶端實(shí)現(xiàn)上傳下載文件

    這篇文章主要介紹了Java fastdfs客戶端實(shí)現(xiàn)上傳下載文件,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友可以參考下
    2020-10-10
  • SpringCloud開發(fā)課程查詢功能

    SpringCloud開發(fā)課程查詢功能

    這篇文章主要介紹了SpringCloud開發(fā)課程查詢功能,本文通過圖文實(shí)例相結(jié)合給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2020-12-12
  • spring boot切面execution表達(dá)式添加多個包路徑問題及解決方案

    spring boot切面execution表達(dá)式添加多個包路徑問題及解決方案

    在Spring Boot中,如果你想為多個包中的方法創(chuàng)建一個切面,你可以在@Pointcut注解中使用||操作符來指定多個包,下面給大家分享spring boot切面execution表達(dá)式添加多個包路徑問題及解決方案,感興趣的朋友跟隨小編一起看看吧
    2024-03-03
  • Java中難理解的四個概念

    Java中難理解的四個概念

    這篇文章主要介紹了匿名內(nèi)部類、多線程、如何實(shí)現(xiàn)同步、序列化,這四個難理解的概念,同學(xué)們一定要仔細(xì)看看
    2021-04-04
  • Java異步非阻塞編程的幾種方式總結(jié)

    Java異步非阻塞編程的幾種方式總結(jié)

    這篇文章主要介紹了Java異步非阻塞編程的幾種方式總結(jié),具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2021-06-06

最新評論