Spring Cloud入门-Oauth2授权之JWT集成(Hoxton版本)
文章目录
项目使用的Spring Cloud为Hoxton版本,Spring Boot为2.2.2.RELEASE版本
Spring Cloud入门系列汇总
摘要
Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2还可以实现更多功能,比如使用JWT令牌存储信息,刷新令牌功能,本文将对其结合JWT使用进行详细介绍。
JWT简介
JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。
JWT的组成
JWT token的格式:header.payload.signature;
header中用于存放签名的生成算法;
{ "alg": "HS256", "typ": "JWT" }
payload中用于存放数据,比如过期时间、用户名、用户所拥有的权限等;
{ "user_name": "jourwon", "scope": [ "all" ], "exp": 1577678449, "authorities": [ "admin" ], "jti": "618cda6a-dfce-4966-b0df-00607f693ab5", "client_id": "admin" }
signature为以header和payload生成的签名,一旦header和payload被篡改,验证将失败。
JWT实例
这是一个JWT的字符串:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJqb3Vyd29uIiwic2NvcGUiOlsiYWxsIl0sImV4cCI6MTU3NzY3Nzc2MywiYXV0aG9yaXRpZXMiOlsiYWRtaW4iXSwianRpIjoiMGY4NmE2ODUtZDIzMS00M2E0LWJhZjYtNzAwMmE0Yzg1YmM1IiwiY2xpZW50X2lkIjoiYWRtaW4iLCJlbmhhbmNlIjoiZW5oYW5jZSBpbmZvIn0.RLrkBQEOdCikiz0SsJ8ZsVcxk8GkAyKsOj5fZytgNF8
可以在该网站上获得解析结果:https://jwt.io/
创建oauth2-jwt-server模块
该模块只是对oauth2-server模块的扩展,直接复制过来扩展下下即可。
oauth2中存储令牌的方式
在上一节中我们都是把令牌存储在内存中的,这样如果部署多个服务,就会导致无法使用令牌的问题。 Spring Cloud Security中有两种存储令牌的方式可用于解决该问题,一种是使用Redis来存储,另一种是使用JWT来存储。
使用Redis存储令牌
在pom.xml中添加Redis相关依赖:
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId> </dependency> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-security</artifactId> </dependency>
在application.yml中添加redis相关配置:
server: port: 9401 spring: application: name: oauth2-jwt-server redis: # redis相关配置 host: 10.172.0.201 database: 0
添加在Redis中存储令牌的配置:
@Configuration public class RedisTokenStoreConfig { @Autowired private RedisConnectionFactory redisConnectionFactory; @Bean public TokenStore redisTokenStore() { return new RedisTokenStore(redisConnectionFactory); } }
在授权服务器配置中指定令牌的存储策略为Redis:
@Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private PasswordEncoder passwordEncoder; @Autowired private AuthenticationManager authenticationManager; @Autowired private UserService userService; @Autowired @Qualifier("redisTokenStore") private TokenStore tokenStore; /** * 使用密码模式需要配置 */ @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) { endpoints.authenticationManager(authenticationManager) .userDetailsService(userService) //配置令牌存储策略 .tokenStore(tokenStore); } //省略代码... }
运行项目后使用密码模式来获取令牌,访问如下地址:http://localhost:9401/oauth/token
进行获取令牌操作,可以发现令牌已经被存储到Redis中。
使用JWT存储令牌
添加使用JWT存储令牌的配置:
@Configuration public class JwtTokenStoreConfig { @Bean @Primary public TokenStore jwtTokenStore() { return new JwtTokenStore(jwtAccessTokenConverter()); } @Bean public JwtTokenEnhancer jwtTokenEnhancer() { return new JwtTokenEnhancer(); } @Bean public JwtAccessTokenConverter jwtAccessTokenConverter() { JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter(); // 配置jwt使用的密钥 jwtAccessTokenConverter.setSigningKey("test_key"); return jwtAccessTokenConverter; } }
在授权服务器配置中指定令牌的存储策略为JWT:
@Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private PasswordEncoder passwordEncoder; @Autowired private AuthenticationManager authenticationManager; @Autowired private UserService userService; @Autowired @Qualifier("jwtTokenStore") private TokenStore tokenStore; @Autowired private JwtAccessTokenConverter jwtAccessTokenConverter; @Autowired private JwtTokenEnhancer jwtTokenEnhancer; /** * 使用密码模式需要配置 */ @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) { endpoints.authenticationManager(authenticationManager) .userDetailsService(userService) //配置令牌存储策略 .tokenStore(tokenStore) .accessTokenConverter(jwtAccessTokenConverter); } //省略代码... }
运行项目后使用密码模式来获取令牌,访问如下地址:http://localhost:9401/oauth/token
发现获取到的令牌已经变成了JWT令牌,将access_token拿到https://jwt.io/ 网站上去解析下可以获得其中内容。
{ "exp": 1577678092, "user_name": "jourwon", "authorities": [ "admin" ], "jti": "87db4bdf-2936-420d-87b9-fb580e255a4d", "client_id": "admin", "scope": [ "all" ] }
扩展JWT中存储的内容
有时候我们需要扩展JWT中存储的内容,这里我们在JWT中扩展一个key为
enhance,value为enhance info的数据。
继承TokenEnhancer实现一个JWT内容增强器:
public class JwtTokenEnhancer implements TokenEnhancer { @Override public OAuth2AccessToken enhance(OAuth2AccessToken oAuth2AccessToken, OAuth2Authentication oAuth2Authentication) { Map<String, Object> info = new HashMap<>(); info.put("enhance", "enhance info"); ((DefaultOAuth2AccessToken) oAuth2AccessToken).setAdditionalInformation(info); return oAuth2AccessToken; } }
创建一个JwtTokenEnhancer实例:
@Configuration public class JwtTokenStoreConfig { //省略代码... @Bean public JwtTokenEnhancer jwtTokenEnhancer() { return new JwtTokenEnhancer(); } }
在授权服务器配置中配置JWT的内容增强器:
@Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private PasswordEncoder passwordEncoder; @Autowired private AuthenticationManager authenticationManager; @Autowired private UserService userService; @Autowired @Qualifier("jwtTokenStore") private TokenStore tokenStore; @Autowired private JwtAccessTokenConverter jwtAccessTokenConverter; @Autowired private JwtTokenEnhancer jwtTokenEnhancer; /** * 使用密码模式需要配置 * * @param endpoints * @throws Exception */ @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain(); List<TokenEnhancer> delegates = new ArrayList<>(); // 配置jwt内容增强器 delegates.add(jwtTokenEnhancer); delegates.add(jwtAccessTokenConverter); tokenEnhancerChain.setTokenEnhancers(delegates); endpoints.authenticationManager(authenticationManager) .userDetailsService(userService) // 配置令牌存储策略 .tokenStore(tokenStore) .accessTokenConverter(jwtAccessTokenConverter) .tokenEnhancer(tokenEnhancerChain); } // 省略代码... }
运行项目后使用密码模式来获取令牌,之后对令牌进行解析,发现已经包含扩展的内容。
{ "user_name": "jourwon", "scope": [ "all" ], "exp": 1577678449, "authorities": [ "admin" ], "jti": "618cda6a-dfce-4966-b0df-00607f693ab5", "client_id": "admin", "enhance": "enhance info" }
Java中解析JWT中的内容
如果我们需要获取JWT中的信息,可以使用一个叫jjwt的工具包。
在pom.xml中添加相关依赖:
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency>
修改UserController类,使用jjwt工具类来解析Authorization头中存储的JWT内容。
@RestController @RequestMapping("/user") public class UserController { @GetMapping("/getCurrentUser") public Object getCurrentUser(Authentication authentication, HttpServletRequest request) { String header = request.getHeader("Authorization"); String token = StrUtil.subAfter(header, "bearer", false); return Jwts.parser() .setSigningKey("test_key".getBytes(StandardCharsets.UTF_8)) .parseClaimsJws(token) .getBody(); } }
将令牌放入
Authorization头中,访问如下地址获取信息:http://localhost:9401/user/getCurrentUser
刷新令牌
在Spring Cloud Security 中使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。
只需修改授权服务器的配置,添加refresh_token的授权模式即可。
@Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() // 配置client_id .withClient("admin") // 配置client_secret .secret(passwordEncoder.encode("admin123456")) // 配置访问token的有效期 .accessTokenValiditySeconds(3600) // 配置刷新token的有效期 .refreshTokenValiditySeconds(864000) // 配置redirect_uri,用于授权成功后的跳转 // .redirectUris("http://www.baidu.com") // 单点登录时配置 .redirectUris("http://localhost:9501/login") // 自动授权配置 .autoApprove(true) // 配置申请的权限范围 .scopes("all") // 配置grant_type,表示授权类型 .authorizedGrantTypes("authorization_code", "password", "refresh_token"); } }
使用刷新令牌模式来获取新的令牌,访问如下地址:http://localhost:9401/oauth/token
使用到的模块
springcloud-learning └── oauth2-jwt-server -- 使用jwt的oauth2授权测试服务
项目源码地址
- 点赞 3
- 收藏
- 分享
- 文章举报
- Spring Cloud入门-Oauth2授权之基于JWT完成单点登录(Hoxton版本)
- Spring Cloud入门-Nacos实现注册和配置中心(Hoxton版本)
- Spring Cloud入门-汇总篇(Hoxton版本)
- Spring Cloud入门-Seata处理分布式事务问题(Hoxton版本)
- Spring Cloud入门-Sentinel实现服务限流、熔断与降级(Hoxton版本)
- spring-oauth集成cas单点登录,登陆完成进入授权页面后,按回退按钮进入404页面的问题...
- InstallShield集成安装MSDE2000最小版本(三) fishout特许授权发布
- OAuth 授权版本
- 1 Springboot SpringCloud集成OAuth2入门详细教程
- C#.NET 大型通用信息化系统集成快速开发平台 4.1 版本 - 增强服务安全、阻止非授权的用户非法调用
- C#.NET 大型企业信息化系统集成快速开发平台 4.2 版本 - 几十套业务系统集中统一授权管理实现经验分享
- InstallShield集成安装MSDE2000最小版本(三) fishout特许授权发布
- Springboot SpringCloud集成OAuth2入门详细教程
- 入门教程:.NET开源OpenID Connect 和OAuth解决方案IdentityServer v3 MVC认证与授权(四)
- OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为R
- iOS开发 - 第05篇 - 项目 - 03 - 版本新特性 & OAuth授权
- spring-oauth集成cas单点登录,登陆完成进入授权页面后,按回退按钮进入404页面的问题
- 新浪微博API使用入门:申请应用、授权、使用官方java版本SDK
- spring-oauth集成cas单点登录,登陆完成进入授权页面后,按回退按钮进入404页面的问题
- HTC Vive VRTK SDK使用入门之集成(版本3.2.0)