记一次token安全认证的实践
阅读此文前请先阅读上一篇SpringBoot整合JWT实现用户认证了解JWT。前端
背景介绍:
因项目需求,有PC端 APP端和小程序端,但登录接口是同一个,然而微服务也没法使用传统的session解决用户登陆问题(注意这里是传统的session不是spring session),使用户信息在其余服务共享。java
如此一来就想到了token安全认证,而JWT生成token能够包含用户信息,也就果断选择了JWT做为SpringCloud gateway网关的token校验工具,这样,咱们即可以直接解析token获取用户信息了。ajax
具体实现思路:
-
让JWT在其余全部服务能够共同使用,父工程须要引入JWT jar。避免在其余服务重复引入。redis
-
如何使用JWT生成token。算法
-
如何解析token。spring
-
如何让网关拦截用户请求校验token。json
-
如何避免首次登陆被网关拦截。小程序
代码实现:
1.建立SpringCloud项目
SpringCloud子项目包含 eureka,gateway,auth三个工程,父工程maven依赖以下。后端
<dependency>
<groupId>com.nimbusds</groupId>
<artifactId>nimbus-jose-jwt</artifactId>
<version>6.0</version>
</dependency>
2.Auth和gateway编写TOKEN工具类
public class Token { private static final Logger log = LoggerFactory.getLogger(Token.class); /** * 1.建立一个32-byte的密匙JWT生成TOKEN */ private static final byte[] secret = "geiwodiangasfdjsikolkjikolkijswe".getBytes(); //生成一个token public static String creatToken(Map<String,Object> payloadMap) throws JOSEException { //3.先创建一个头部Header /** * JWSHeader参数:1.加密算法法则,2.类型,3.。。。。。。。 * 通常只须要传入加密算法法则就能够。 * 这里则采用HS256 * JWSAlgorithm类里面有全部的加密算法法则,直接调用。 */ JWSHeader jwsHeader = new JWSHeader(JWSAlgorithm.HS256); //创建一个载荷Payload Payload payload = new Payload(new JSONObject(payloadMap)); //将头部和载荷结合在一块儿 JWSObject jwsObject = new JWSObject(jwsHeader, payload); //创建一个密匙 JWSSigner jwsSigner = new MACSigner(secret); //签名 jwsObject.sign(jwsSigner); //生成token return jwsObject.serialize(); } /** * 解析一个token * @param token * @return * @throws ParseException * @throws JOSEException */ public static Map<String,Object> valid(String token) throws ParseException, JOSEException { //解析token JWSObject jwsObject = JWSObject.parse(token); //获取到载荷 Payload payload=jwsObject.getPayload(); //创建一个解锁密匙 JWSVerifier jwsVerifier = new MACVerifier(secret); Map<String, Object> resultMap = new HashMap<>(); //判断token if (jwsObject.verify(jwsVerifier)) { resultMap.put("Result", 0); //载荷的数据解析成json对象。 JSONObject jsonObject = payload.toJSONObject(); resultMap.put("data", jsonObject); //判断token是否过时 if (jsonObject.containsKey("exp")) { Long expTime = Long.valueOf(jsonObject.get("exp").toString()); Long nowTime = new Date().getTime(); //判断是否过时 if (nowTime > expTime) { //已通过期 resultMap.clear(); resultMap.put("Result", 2); } } }else { resultMap.put("Result", 1); } return resultMap; } /** * 生成token的业务逻辑 登陆接口调用次业务 * @param uid * @return */ public static String TokenTest(Long uid,Long deptId,String userType,int companyId) { //获取生成token Map<String, Object> map = new HashMap<>(); //创建载荷,这些数据根据业务,本身定义。 map.put("uid", uid); map.put("deptId", deptId); map.put("userType", userType); map.put("companyId", companyId); //生成时间 map.put("sta", new Date().getTime()); //过时时间 map.put("exp", new Date().getTime()+1000*3600*24*15); try { String token = Token.creatToken(map); System.out.println("token="+token); return token; } catch (JOSEException e) { System.out.println("生成token失败"); e.printStackTrace(); } return null; } /** * 处理解析的业务逻辑 gateway JWT认证过滤器解析 * @param token */ public static Map<String,Object> ValidToken(String token) { Map<String, Object> userMsg = new HashMap<String, Object>(); //解析token try { if (token != null) { Map<String, Object> validMap = Token.valid(token); int i = (int) validMap.get("Result"); if (i == 0) { log.info("token解析成功"); JSONObject jsonObject = (JSONObject) validMap.get("data"); log.info("uid是:" + jsonObject.get("uid")); log.info("deptId是:" + jsonObject.get("deptId")); log.info("userType是:" + jsonObject.get("userType")); log.info("companyId是:" + jsonObject.get("companyId")); log.info("生成时间是:"+jsonObject.get("sta")); log.info("过时时间是:"+jsonObject.get("exp")); userMsg.put("token",token); userMsg.put("uid",jsonObject.get("uid")); userMsg.put("deptId",jsonObject.get("deptId")); userMsg.put("companyId",jsonObject.get("companyId")); userMsg.put("userType",jsonObject.get("userType")); return userMsg; } else if (i == 2) { log.info("token已通过期"); return userMsg; } } } catch (ParseException e) { e.printStackTrace(); } catch (JOSEException e) { e.printStackTrace(); } return userMsg; } public static void main(String[] ages) { //获取token Long uid = 1L; Long deptId = 2L; String userType = "3"; int companyId = 4; String token = TokenTest(uid,deptId,userType,companyId); //解析token log.info(ValidToken(token).toString()); } }
特别提示:以上工具类能够在用户登陆受权接口中调用,用以生成token,示例代码以下(能够借鉴不可复制哦,请根据本身业务逻辑在合适的地方调用TOKEN工具)缓存
@RestController @RequestMapping("/currency") public class CurrencyLoginController { //密钥 (须要前端和后端保持一致) private static final String KEY = "abcdefgabcdefg12"; //redis初始KEY值 private static final String LOGIN_USER = "login_user"; @Autowired private RedisUtil ru; @PostMapping("/login") public Map<String, Object> ajaxLogin(String username, String password, Boolean rememberMe) throws Exception{ password = AESUtil.aesDecrypt(password,KEY);//双向加密规则 UsernamePasswordToken token = new UsernamePasswordToken(username, password, rememberMe); Subject subject = SecurityUtils.getSubject(); try{ subject.login(token); User user = ShiroUtils.getUser(); String access_token = Token.generateToken(user.getUserId(), user.getDeptId(),user.getLoginUserType(), user.getCompanyId()); UserMsg resultUser = new UserMsg(); resultUser.setCompanyId(user.getCompanyId()); resultUser.setUserType(user.getLoginUserType()); resultUser.setDeptId(user.getDeptId()); resultUser.setUid(user.getUserId()); resultUser.setToken(access_token); ru.set(LOGIN_USER+user.getUserId(), resultUser, 3600*24*15); return ResultMap.ok("登陆成功", resultUser);//改造——》》获取用户信息保存到redis中实现用户信息在微服务中共享,生成token }catch (AuthenticationException e){ String msg = "用户或密码错误"; if (StringUtils.isNotEmpty(e.getMessage())){ msg = e.getMessage(); } return ResultMap.error(msg); } } }
好了,此时呢,咱们已经经过auth工程完成了用户登陆受权,而且生成了token。那么如何在gateway网关中进行token认证呢?
3.gateway网关中编写JwtCheckGatewayFilterFactory过滤器。
此类须要继承gateway的AbstractGatewayFilterFactory。
代码实现以下:
首先gateway网关yml文件中须要代理auth路由。
spring: cloud: gateway: routes: - id: neo_route uri: lb://YUNXI-AUTH predicates: - Path=/auth/** filters: - StripPrefix=1 - JwtCheck
自定义 JwtCheckGatewayFilterFactory 继承 AbstractGatewayFilterFactory 抽象类,代码以下:
public class JwtCheckGatewayFilterFactory extends AbstractGatewayFilterFactory<JwtCheckGatewayFilterFactory.Config> { private static final Logger log = LoggerFactory.getLogger(JwtCheckGatewayFilterFactory .class); //定义用户认证登陆接口 private static final String CURRENCY_URL="/currency/login"; //redis初始KEY值 private static final String LOGIN_USER = "login_user"; @Autowired private RedisUtil ru; public JwtCheckGatewayFilterFactory() { super(Config.class); } @Override public GatewayFilter apply(Config config) { return (exchange, chain) -> { String jwtToken = exchange.getRequest().getHeaders().getFirst("Authorization"); log.info(exchange.getRequest().getURI().toString()); //校验jwtToken的合法性,若是当前请求url和认证url相同跳过认证,表示用户首次登陆认证 if(exchange.getRequest().getURI().toString().contains(CURRENCY_URL)){ return chain.filter(exchange); } if(jwtToken != null){ log.info(Token.ValidToken(jwtToken).toString()); //解析TOKEN Map<String, Object> userMsg = Token.ValidToken(jwtToken); Long uid = (Long) userMsg.get("uid"); if(ru.hasKey(LOGIN_USER+uid)){ Object obj = ru.get(LOGIN_USER+uid); UserMsg userModel = (UserMsg) obj; //解析客户端传过来的TOKEN是否和缓存中的TOKEN相同,而且判断TOKEN过时时间是否大于当前时间 if(userModel.getToken().equals(jwtToken)){ return chain.filter(exchange); }else{ ServerHttpResponse response = exchange.getResponse(); String warningStr = "不合法的请求"; DataBuffer bodyDataBuffer = response.bufferFactory().wrap(warningStr.getBytes()); return response.writeWith(Mono.just(bodyDataBuffer)); } }else{ ServerHttpResponse response = exchange.getResponse(); String warningStr = "登陆超时"; DataBuffer bodyDataBuffer = response.bufferFactory().wrap(warningStr.getBytes()); return response.writeWith(Mono.just(bodyDataBuffer)); } } //不合法(响应未登陆的异常) ServerHttpResponse response = exchange.getResponse(); //设置headers HttpHeaders httpHeaders = response.getHeaders(); httpHeaders.add("Content-Type", "application/json; charset=UTF-8"); httpHeaders.add("Cache-Control", "no-store, no-cache, must-revalidate, max-age=0"); //设置body String warningStr = "未受权的请求,请登陆"; DataBuffer bodyDataBuffer = response.bufferFactory().wrap(warningStr.getBytes()); return response.writeWith(Mono.just(bodyDataBuffer)); }; } public static class Config { //Put the configuration properties for your filter here } }
编写config文件将JWT认证过滤器添加到Spring bean中。
@Configuration public class AppConfig { @Bean public JwtCheckGatewayFilterFactory jwtCheckGatewayFilterFactory(){ return new JwtCheckGatewayFilterFactory(); } }
此时咱们就完成了整个token认证过程,其实简单的来讲就是:
-
第一步:Auth工程配合用户登陆生成token,并将token和用户信息存储在redis中。
-
第二步:在gayeway中编写JWT认证过滤器,用以校验用户请求中携带的token。
有图有真相
特别提示:个人auth工程端口是8766,登陆认证接口路由是/currency/login。而此时我请求的认证接口是/main/currency/login,端口是8765,咱们在文章开头就已说明,gateway网关在yml文件中配置auth代理为auth/,和这里的main是同一个道理。
若是此时咱们再去请求项目中其余端口携带过时的token试试看效果:
咱们登录认证返回的token是:
eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsInN0YSI6MTU1NjcxODU2Nzc3NCwiY29tcGFueUlkIjowLCJkZXB0SWQiOjEwMCwidXNlclR5cGUiOm51bGwsImV4cCI6MTU1ODAxNDU2Nzc3NH0.6oXx4Wk-eWHSWTHyJHmoiGowKnAmBdCHIRCzsMq5XlA;
携带的其余过时的token是:
eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsInN0YSI6MTU1NjQ1NjUwNzIwMiwiY29tcGFueUlkIjowLCJkZXB0SWQiOjEwMCwidXNlclR5cGUiOm51bGwsImV4cCI6MTU1Nzc1MjUwNzIwMn0._yF2TeaR4MTmF-Re9QciMZOeRKBOQmfvi3o4hWeGSMU
再携带错误的token试试看:
登录认证返回的token是:
eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsInN0YSI6MTU1NjcxODU2Nzc3NCwiY29tcGFueUlkIjowLCJkZXB0SWQiOjEwMCwidXNlclR5cGUiOm51bGwsImV4cCI6MTU1ODAxNDU2Nzc3NH0.6oXx4Wk-eWHSWTHyJHmoiGowKnAmBdCHIRCzsMq5XlA;
携带错误的token是:
eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsInN0YSI6MTU1NjcxODU2Nzc3NCwiY29tcGFueUlkIjowLCJkZXB0SWQiOjEwMCwidXNlclR5cGUiOm51bGwsImV4cCI6MTU1ODAxNDU2Nzc3NH0.6oXx4Wk-eWHSWTHyJHmoiGowKnAmBdCHIRCzsMq5XlD
携带正确的token:
到这里我么你的整个SpringCloud gateway网关+JWT安全认证就结束啦,很是抱歉,因为项目保密性不能为你们提供项目源码。可是整个过程我已经写的很是详细,也不但愿你们作伸手党,若是有各类疑问欢迎留言,我能够帮你们一一解决。
相关文章
- 1. session和token的安全认证
- 2. Docker Registry采用token认证实践
- 3. Linux Token Auth 一次性密码认证
- 4. JWT——Token认证的两种实现和安全详解
- 5. 安全认证安全认证_我的认证故事
- 6. JWT实现token认证
- 7. Django+JWT实现Token认证
- 8. Docker Registry采用token认证明践
- 9. token认证
- 10. flask token认证
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Thymeleaf项目实践 - Thymeleaf 教程
- • Tomcat学习笔记(史上最全tomcat学习笔记)
- • TiDB 在摩拜单车在线数据业务的应用和实践
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
