（六）Gateway开发教程之实现统一授权【集成JWT】-阿里云开发者社区

（六）Gateway开发教程之实现统一授权【集成JWT】

2021-12-02 969

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 本篇文章就是告诉大家如何在SpringCloud项目中使用JWT实现统一授权。Gateway中集成统一认证授权，是微服务网关中必然要集成的功能之一，重要性不言而喻.

前情回顾

上篇文章，我们讲到了为什么要选择JWT来实现统一认证授权，其优点更符合初期项目的形成，同样可以通过双token来增强用户的体验度种种，而这些纸上谈兵式的谈论过去，迎来的就是如何去实现这些。

本篇文章就是告诉大家如何在SpringCloud项目中使用JWT实现统一授权。

使用JWT来加密解密

在集成到SpringCloud项目中之前，我们要先做一些JWT技术的调研，但是要调研到什么程度才能做到集成的基本要素呢？

如果你问我，我会告诉你，最起码也要将JWT的token加密、解密弄清楚，或者是调试成功，才能去进行集成至SpringCloud中。

准备工作

首先我们要先提供一个密钥，通过此密钥来进行加解密。

JWT加密

直接贴代码：

String key = Base64.getEncoder().encodeToString("zhegekeysuibianshejijiuxingkannixinqing".getBytes(Charsets.UTF_8));
//用户信息
Map<String,String> map = new HashMap<>();
map.put("userId","zhangsan");
//加密
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
byte[] apiKeySecretBytes = Base64.getDecoder().decode(key);
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
JwtBuilder builder = Jwts.builder().signWith(signingKey);
map.forEach(builder::claim);
//输出token
System.out.println(builder.compact());

根据上述代码，我们会生成如下图的一大串token。

JWT解密

解密的话，其实就是将token解析出相应的用户信息。

Claims claims = Jwts.parserBuilder().setSigningKey(Base64.getDecoder().decode(JwtUtil.key)).build()
      .parseClaimsJws(token).getBody();
System.out.println(claims.get("userId"));

可以得到下图：

将JWT集成到Gateway中

登录认证

我们在Controller层书写一个LoginController.java类，在其中书写一个获取token的api接口。

@RestController
public class LoginController {
    @PostMapping("/token")
    public R<AuthInfo> token(@RequestParam(required = false) String account,
                                      @RequestParam(required = false) String password) {
        Map<String,String> map = new HashMap<>(16);
        map.put("account", account);
        map.put("password", password);
        String token = JwtUtil.createJwt(map);
        if (userInfo == null || userInfo.getUser() == null || userInfo.getUser().getId() == null) {
            return R.fail();
        }
        return R.success(token);
    }
}

编写过滤器验证token

既然搞定了登录获取token的api接口，我们就要将所有访问的URL链接进行过滤器中进行过滤。

所以接下来我们来书写一个认证过滤器。

public class AuthFilter implements GlobalFilter, Ordered {
   @Override
   public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
      String path = exchange.getRequest().getURI().getPath();
      ServerHttpResponse resp = exchange.getResponse();
      String headerToken = exchange.getRequest().getHeaders().getFirst("auth");
      if (StringUtils.isBlank(headerToken)) {
         return unAuth(resp, "缺失令牌,鉴权失败");
      }
      Claims claims = JwtUtil.parseJWT(headerToken);
      if (claims == null) {
         return unAuth(resp, "请求未授权");
      }
      return chain.filter(exchange);
   }
   @Override
   public int getOrder() {
      return -99;
   }
}

总结

Gateway中集成统一认证授权，是微服务网关中必然要集成的功能之一，重要性不言而喻，希望大家可以有所重视。

（六）Gateway开发教程之实现统一授权【集成JWT】

前情回顾

使用JWT来加密解密

准备工作

JWT加密

JWT解密

将JWT集成到Gateway中

登录认证

编写过滤器验证token

总结

热门文章

最新文章

相关课程

相关电子书