Адрес фактического проекта электронной коммерции SpringBoot (20k+star):GitHub.com/macro-positive/…
Резюме
Spring Cloud Security предоставляет ряд решений для создания безопасных приложений SpringBoot.В сочетании с Oauth2 можно реализовать больше функций, таких как использование токенов JWT для хранения информации и функций токенов обновления.В этой статье будет подробно рассказано о его использовании в сочетании с JWT.
Введение в JWT
JWT — это сокращение от JSON WEB TOKEN. Это объект JSON, который можно безопасно передавать на основе стандарта RFC 7519. Благодаря использованию цифровых подписей он надежен и безопасен.
Состав JWT
- Формат токена JWT: header.payload.signature;
- Алгоритм генерации, используемый для хранения подписи в заголовке;
{
"alg": "HS256",
"typ": "JWT"
}
- Полезная нагрузка используется для хранения данных, таких как время истечения срока действия, имя пользователя, разрешения пользователя и т. д.;
{
"exp": 1572682831,
"user_name": "macro",
"authorities": [
"admin"
],
"jti": "c1a0645a-28b5-4468-b4c7-9623131853af",
"client_id": "admin",
"scope": [
"all"
]
}
- Подпись — это подпись, созданная с заголовком и полезными данными. Если заголовок и полезные данные будут изменены, проверка завершится неудачно.
экземпляр JWT
- Вот строка JWT:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzI2ODI4MzEsInVzZXJfbmFtZSI6Im1hY3JvIiwiYXV0aG9yaXRpZXMiOlsiYWRtaW4iXSwianRpIjoiYzFhMDY0NWEtMjhiNS00NDY4LWI0YzctOTYyMzEzMTg1M2FmIiwiY2xpZW50X2lkIjoiYWRtaW4iLCJzY29wZSI6WyJhbGwiXX0.x4i6sRN49R6JSjd5hd1Fr2DdEMBsYdC4KB6Uw1huXPg
- Результаты анализа доступны на сайте:jwt.io/
Создайте модуль oauth2-jwt-server.
Этот модуль является просто расширением модуля oauth2-server, просто скопируйте его и разверните.
Как хранить токены в oauth2
В предыдущем разделе мы сохранили токен в памяти, поэтому, если было развернуто несколько служб, токен нельзя было использовать. Есть два способа хранения токенов в Spring Cloud Security, которые можно использовать для решения этой проблемы: один — использовать Redis для хранения, а другой — использовать для хранения JWT.
Хранение токенов с помощью Redis
- Добавьте связанные с Redis зависимости в pom.xml:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>
- Добавьте конфигурацию, связанную с Redis, в application.yml:
spring:
redis: #redis相关配置
password: 123456 #有密码时设置
- Добавьте конфигурацию для хранения токена в Redis:
/**
* 使用redis存储token的配置
* Created by macro on 2019/10/8.
*/
@Configuration
public class RedisTokenStoreConfig {
@Autowired
private RedisConnectionFactory redisConnectionFactory;
@Bean
public TokenStore redisTokenStore (){
return new RedisTokenStore(redisConnectionFactory);
}
}
- Укажите стратегию хранения токенов как Redis в конфигурации сервера аутентификации:
/**
* 认证服务器配置
* Created by macro on 2019/9/30.
*/
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private PasswordEncoder passwordEncoder;
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private UserService userService;
@Autowired
@Qualifier("redisTokenStore")
private TokenStore tokenStore;
/**
* 使用密码模式需要配置
*/
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
endpoints.authenticationManager(authenticationManager)
.userDetailsService(userService)
.tokenStore(tokenStore);//配置令牌存储策略
}
//省略代码...
}
- После запуска проекта используйте режим пароля для получения токена и посетите следующий адрес:http://localhost:9401/oauth/token
- Выполните операцию получения токена, и вы обнаружите, что токен был сохранен в Redis.
Хранение токенов с помощью JWT
- Добавьте конфигурацию для хранения токена с помощью JWT:
/**
* 使用Jwt存储token的配置
* Created by macro on 2019/10/8.
*/
@Configuration
public class JwtTokenStoreConfig {
@Bean
public TokenStore jwtTokenStore() {
return new JwtTokenStore(jwtAccessTokenConverter());
}
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter() {
JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();
accessTokenConverter.setSigningKey("test_key");//配置JWT使用的秘钥
return accessTokenConverter;
}
}
- Укажите стратегию хранения токенов как JWT в конфигурации сервера аутентификации:
/**
* 认证服务器配置
* Created by macro on 2019/9/30.
*/
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private PasswordEncoder passwordEncoder;
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private UserService userService;
@Autowired
@Qualifier("jwtTokenStore")
private TokenStore tokenStore;
@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter;
@Autowired
private JwtTokenEnhancer jwtTokenEnhancer;
/**
* 使用密码模式需要配置
*/
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
endpoints.authenticationManager(authenticationManager)
.userDetailsService(userService)
.tokenStore(tokenStore) //配置令牌存储策略
.accessTokenConverter(jwtAccessTokenConverter);
}
//省略代码...
}
- После запуска проекта используйте режим пароля для получения токена и посетите следующий адрес:http://localhost:9401/oauth/token
- Выяснено, что полученный токен стал токеном JWT, а access_token можно получить, перенеся access_token на сайт https://jwt.io/ и проанализировав его.
{
"exp": 1572682831,
"user_name": "macro",
"authorities": [
"admin"
],
"jti": "c1a0645a-28b5-4468-b4c7-9623131853af",
"client_id": "admin",
"scope": [
"all"
]
}
Расширить то, что хранится в JWT
Иногда нам нужно расширить содержимое, хранящееся в JWT, здесь мы расширяем ключ в JWT как
enhance, значениеenhance infoДанные.
- Унаследуйте TokenEnhancer для реализации усилителя контента JWT:
/**
* Jwt内容增强器
* Created by macro on 2019/10/8.
*/
public class JwtTokenEnhancer implements TokenEnhancer {
@Override
public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
Map<String, Object> info = new HashMap<>();
info.put("enhance", "enhance info");
((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(info);
return accessToken;
}
}
- Создайте экземпляр JwtTokenEnhancer:
/**
* 使用Jwt存储token的配置
* Created by macro on 2019/10/8.
*/
@Configuration
public class JwtTokenStoreConfig {
//省略代码...
@Bean
public JwtTokenEnhancer jwtTokenEnhancer() {
return new JwtTokenEnhancer();
}
}
- Настройте усилитель контента для JWT в конфигурации сервера аутентификации:
/**
* 认证服务器配置
* Created by macro on 2019/9/30.
*/
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private PasswordEncoder passwordEncoder;
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private UserService userService;
@Autowired
@Qualifier("jwtTokenStore")
private TokenStore tokenStore;
@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter;
@Autowired
private JwtTokenEnhancer jwtTokenEnhancer;
/**
* 使用密码模式需要配置
*/
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
TokenEnhancerChain enhancerChain = new TokenEnhancerChain();
List<TokenEnhancer> delegates = new ArrayList<>();
delegates.add(jwtTokenEnhancer); //配置JWT的内容增强器
delegates.add(jwtAccessTokenConverter);
enhancerChain.setTokenEnhancers(delegates);
endpoints.authenticationManager(authenticationManager)
.userDetailsService(userService)
.tokenStore(tokenStore) //配置令牌存储策略
.accessTokenConverter(jwtAccessTokenConverter)
.tokenEnhancer(enhancerChain);
}
//省略代码...
}
- После запуска проекта используйте режим пароля для получения маркера, а затем проанализируйте маркер и обнаружите, что содержимое расширения было включено.
{
"user_name": "macro",
"scope": [
"all"
],
"exp": 1572683821,
"authorities": [
"admin"
],
"jti": "1ed1b0d8-f4ea-45a7-8375-211001a51a9e",
"client_id": "admin",
"enhance": "enhance info"
}
Разбор содержимого JWT в Java
Если нам нужно получить информацию в JWT, мы можем использовать набор инструментов под названием jjwt.
- Добавьте связанные зависимости в pom.xml:
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
- Измените класс UserController и используйте класс инструментов jjwt для анализа содержимого JWT, хранящегося в заголовке Authorization.
/**
* Created by macro on 2019/9/30.
*/
@RestController
@RequestMapping("/user")
public class UserController {
@GetMapping("/getCurrentUser")
public Object getCurrentUser(Authentication authentication, HttpServletRequest request) {
String header = request.getHeader("Authorization");
String token = StrUtil.subAfter(header, "bearer ", false);
return Jwts.parser()
.setSigningKey("test_key".getBytes(StandardCharsets.UTF_8))
.parseClaimsJws(token)
.getBody();
}
}
- положить жетон в
AuthorizationВ шапке посетите следующий адрес для получения информации:http://localhost:9401/user/getCurrentUser
обновить токен
При использовании oauth2 в Spring Cloud Security, если токен недействителен, вы можете использовать токен обновления, чтобы снова получить access_token через режим авторизации refresh_token.
- Просто измените конфигурацию сервера аутентификации и добавьте режим авторизации refresh_token.
/**
* 认证服务器配置
* Created by macro on 2019/9/30.
*/
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
.withClient("admin")
.secret(passwordEncoder.encode("admin123456"))
.accessTokenValiditySeconds(3600)
.refreshTokenValiditySeconds(864000)
.redirectUris("http://www.baidu.com")
.autoApprove(true) //自动授权配置
.scopes("all")
.authorizedGrantTypes("authorization_code","password","refresh_token"); //添加授权模式
}
}
- Чтобы получить новый токен в режиме обновления токена, посетите следующий адрес:http://localhost:9401/oauth/token
используемые модули
springcloud-learning
└── oauth2-jwt-server -- 使用jwt的oauth2认证测试服务
Адрес исходного кода проекта
публика
проект торгового центраПолный набор учебных пособий сериализуется,Обратите внимание на публичный аккаунтПолучите это прямо сейчас.