當(dāng)前位置：首頁 > 前端技术 > javascript >内容正文

javascript

Spring Cloud Security：Oauth2结合JWT使用

發(fā)布時間：2024/10/6 javascript 28 豆豆

生活随笔收集整理的這篇文章主要介紹了 Spring Cloud Security：Oauth2结合JWT使用小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

摘要

Spring Cloud Security 為構(gòu)建安全的SpringBoot應(yīng)用提供了一系列解決方案，結(jié)合Oauth2還可以實(shí)現(xiàn)更多功能，比如使用JWT令牌存儲信息，刷新令牌功能，本文將對其結(jié)合JWT使用進(jìn)行詳細(xì)介紹。

JWT簡介

JWT是JSON WEB TOKEN的縮寫，它是基于 RFC 7519 標(biāo)準(zhǔn)定義的一種可以安全傳輸?shù)牡腏SON對象，由于使用了數(shù)字簽名，所以是可信任和安全的。

JWT的組成

JWT token的格式：header.payload.signature；
header中用于存放簽名的生成算法；

{"alg": "HS256","typ": "JWT" }

payload中用于存放數(shù)據(jù)，比如過期時間、用戶名、用戶所擁有的權(quán)限等；

{"exp": 1572682831,"user_name": "macro","authorities": ["admin"],"jti": "c1a0645a-28b5-4468-b4c7-9623131853af","client_id": "admin","scope": ["all"] }

signature為以header和payload生成的簽名，一旦header和payload被篡改，驗(yàn)證將失敗。

JWT實(shí)例

這是一個JWT的字符串：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzI2ODI4MzEsInVzZXJfbmFtZSI6Im1hY3JvIiwiYXV0aG9yaXRpZXMiOlsiYWRtaW4iXSwianRpIjoiYzFhMDY0NWEtMjhiNS00NDY4LWI0YzctOTYyMzEzMTg1M2FmIiwiY2xpZW50X2lkIjoiYWRtaW4iLCJzY29wZSI6WyJhbGwiXX0.x4i6sRN49R6JSjd5hd1Fr2DdEMBsYdC4KB6Uw1huXPg

可以在該網(wǎng)站上獲得解析結(jié)果：https://jwt.io/

創(chuàng)建oauth2-jwt-server模塊

該模塊只是對oauth2-server模塊的擴(kuò)展，直接復(fù)制過來擴(kuò)展下下即可。

oauth2中存儲令牌的方式

在上一節(jié)中我們都是把令牌存儲在內(nèi)存中的，這樣如果部署多個服務(wù)，就會導(dǎo)致無法使用令牌的問題。 Spring Cloud Security中有兩種存儲令牌的方式可用于解決該問題，一種是使用Redis來存儲，另一種是使用JWT來存儲。

使用Redis存儲令牌

在pom.xml中添加Redis相關(guān)依賴：

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId> </dependency>

在application.yml中添加redis相關(guān)配置：

spring:redis: #redis相關(guān)配置password: 123456 #有密碼時設(shè)置

添加在Redis中存儲令牌的配置：

/*** 使用redis存儲token的配置* Created by macro on 2019/10/8.*/ @Configuration public class RedisTokenStoreConfig {@Autowiredprivate RedisConnectionFactory redisConnectionFactory;@Beanpublic TokenStore redisTokenStore (){return new RedisTokenStore(redisConnectionFactory);} }

在認(rèn)證服務(wù)器配置中指定令牌的存儲策略為Redis：

運(yùn)行項(xiàng)目后使用密碼模式來獲取令牌，訪問如下地址：http://localhost:9401/oauth/token
進(jìn)行獲取令牌操作，可以發(fā)現(xiàn)令牌已經(jīng)被存儲到Redis中

使用JWT存儲令牌

添加使用JWT存儲令牌的配置：

/*** 使用Jwt存儲token的配置* Created by macro on 2019/10/8.*/ @Configuration public class JwtTokenStoreConfig {@Beanpublic TokenStore jwtTokenStore() {return new JwtTokenStore(jwtAccessTokenConverter());}@Beanpublic JwtAccessTokenConverter jwtAccessTokenConverter() {JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();accessTokenConverter.setSigningKey("test_key");//配置JWT使用的秘鑰return accessTokenConverter;} }

在認(rèn)證服務(wù)器配置中指定令牌的存儲策略為JWT：

/*** 認(rèn)證服務(wù)器配置* Created by macro on 2019/9/30.*/ @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {@Autowiredprivate PasswordEncoder passwordEncoder;@Autowiredprivate AuthenticationManager authenticationManager;@Autowiredprivate UserService userService;@Autowired@Qualifier("jwtTokenStore")private TokenStore tokenStore;@Autowiredprivate JwtAccessTokenConverter jwtAccessTokenConverter;@Autowiredprivate JwtTokenEnhancer jwtTokenEnhancer;/*** 使用密碼模式需要配置*/@Overridepublic void configure(AuthorizationServerEndpointsConfigurer endpoints) {endpoints.authenticationManager(authenticationManager).userDetailsService(userService).tokenStore(tokenStore) //配置令牌存儲策略.accessTokenConverter(jwtAccessTokenConverter);}//省略代碼... }

運(yùn)行項(xiàng)目后使用密碼模式來獲取令牌，訪問如下地址：http://localhost:9401/oauth/token
發(fā)現(xiàn)獲取到的令牌已經(jīng)變成了JWT令牌，將access_token拿到https://jwt.io/ 網(wǎng)站上去解析下可以獲得其中內(nèi)容。

{"exp": 1572682831,"user_name": "macro","authorities": ["admin"],"jti": "c1a0645a-28b5-4468-b4c7-9623131853af","client_id": "admin","scope": ["all"] }

擴(kuò)展JWT中存儲的內(nèi)容

有時候我們需要擴(kuò)展JWT中存儲的內(nèi)容，這里我們在JWT中擴(kuò)展一個key為enhance，value為 enhance info 的數(shù)據(jù)。

繼承TokenEnhancer實(shí)現(xiàn)一個JWT內(nèi)容增強(qiáng)器：

/*** Jwt內(nèi)容增強(qiáng)器* Created by macro on 2019/10/8.*/ public class JwtTokenEnhancer implements TokenEnhancer {@Overridepublic OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {Map<String, Object> info = new HashMap<>();info.put("enhance", "enhance info");((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(info);return accessToken;} }

創(chuàng)建一個JwtTokenEnhancer實(shí)例：

/*** 使用Jwt存儲token的配置* Created by macro on 2019/10/8.*/ @Configuration public class JwtTokenStoreConfig {//省略代碼...@Beanpublic JwtTokenEnhancer jwtTokenEnhancer() {return new JwtTokenEnhancer();} }

在認(rèn)證服務(wù)器配置中配置JWT的內(nèi)容增強(qiáng)器：

/*** 認(rèn)證服務(wù)器配置* Created by macro on 2019/9/30.*/ @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {@Autowiredprivate PasswordEncoder passwordEncoder;@Autowiredprivate AuthenticationManager authenticationManager;@Autowiredprivate UserService userService;@Autowired@Qualifier("jwtTokenStore")private TokenStore tokenStore;@Autowiredprivate JwtAccessTokenConverter jwtAccessTokenConverter;@Autowiredprivate JwtTokenEnhancer jwtTokenEnhancer;/*** 使用密碼模式需要配置*/@Overridepublic void configure(AuthorizationServerEndpointsConfigurer endpoints) {TokenEnhancerChain enhancerChain = new TokenEnhancerChain();List<TokenEnhancer> delegates = new ArrayList<>();delegates.add(jwtTokenEnhancer); //配置JWT的內(nèi)容增強(qiáng)器delegates.add(jwtAccessTokenConverter);enhancerChain.setTokenEnhancers(delegates);endpoints.authenticationManager(authenticationManager).userDetailsService(userService).tokenStore(tokenStore) //配置令牌存儲策略.accessTokenConverter(jwtAccessTokenConverter).tokenEnhancer(enhancerChain);}//省略代碼... }

運(yùn)行項(xiàng)目后使用密碼模式來獲取令牌，之后對令牌進(jìn)行解析，發(fā)現(xiàn)已經(jīng)包含擴(kuò)展的內(nèi)容。

{"user_name": "macro","scope": ["all"],"exp": 1572683821,"authorities": ["admin"],"jti": "1ed1b0d8-f4ea-45a7-8375-211001a51a9e","client_id": "admin","enhance": "enhance info" }

Java中解析JWT中的內(nèi)容

如果我們需要獲取JWT中的信息，可以使用一個叫jjwt的工具包。

在pom.xml中添加相關(guān)依賴：

<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.0</version> </dependency>

修改UserController類，使用jjwt工具類來解析Authorization頭中存儲的JWT內(nèi)容。

/*** Created by macro on 2019/9/30.*/ @RestController @RequestMapping("/user") public class UserController {@GetMapping("/getCurrentUser")public Object getCurrentUser(Authentication authentication, HttpServletRequest request) {String header = request.getHeader("Authorization");String token = StrUtil.subAfter(header, "bearer ", false);return Jwts.parser().setSigningKey("test_key".getBytes(StandardCharsets.UTF_8)).parseClaimsJws(token).getBody();}}

將令牌放入Authorization頭中，訪問如下地址獲取信息：
http://localhost:9401/user/getCurrentUser

刷新令牌

在Spring Cloud Security 中使用oauth2時，如果令牌失效了，可以使用刷新令牌通過refresh_token的授權(quán)模式再次獲取access_token。

只需修改認(rèn)證服務(wù)器的配置，添加refresh_token的授權(quán)模式即可。

/*** 認(rèn)證服務(wù)器配置* Created by macro on 2019/9/30.*/ @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {@Overridepublic void configure(ClientDetailsServiceConfigurer clients) throws Exception {clients.inMemory().withClient("admin").secret(passwordEncoder.encode("admin123456")).accessTokenValiditySeconds(3600).refreshTokenValiditySeconds(864000).redirectUris("http://www.baidu.com").autoApprove(true) //自動授權(quán)配置.scopes("all").authorizedGrantTypes("authorization_code","password","refresh_token"); //添加授權(quán)模式} }

使用刷新令牌模式來獲取新的令牌，訪問如下地址：http://localhost:9401/oauth/token

使用到的模塊

springcloud-learning └── oauth2-jwt-server -- 使用jwt的oauth2認(rèn)證測試服務(wù)

總結(jié)

以上是生活随笔為你收集整理的Spring Cloud Security：Oauth2结合JWT使用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇： Spring Cloud Securit
下一篇： Spring Cloud Securit