AI 助理
备案控制台
开发者社区 云原生 微服务 文章 正文

微服务架构 | 7.2 构建使用 JWT 令牌存储的 OAuth2 安全认证

2022-02-03 257
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云原生网关 MSE Higress,422元/月
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
注册配置 MSE Nacos/ZooKeeper,118元/月
简介: JWT 为 OAuth2 令牌提供规范标准,并且可以自定义 JWT 令牌;

前言

《Spring Microservices in Action》
《Spring Cloud Alibaba 微服务原理与实战》
《B站 尚硅谷 SpringCloud 框架开发教程 周阳》

JWT 为 OAuth2 令牌提供规范标准,并且可以自定义 JWT 令牌;

1. JWT 令牌存储基础知识

1.1 JSON Web Token

  • OAuth2 是一个基于令牌的验证框架,但它并没有为如何定义其规范中的令牌提供任何标准;
  • 由此出现了 JSON Web Token ( JWT )新标准;

  • JWT是因特网工程任务组( Internet Engineering Task Force, IETF )提出的开放标准(RFC-7519 ),旨在为 0Auth2令牌提供标准结构

    • JWT 令牌的特点:小巧、密码签名、自包含、可扩展;
  • Spring Cloud Security 为 JWT 提供了开箱即用的支持;


2. 构建使用 JWT 令牌存储的 OAuth2 服务器

2.1 引入 pom.xml 依赖文件

<!-- JWT OAuth2 库 -->
<dependency> 
  <groupid>org.springframework.security</groupid> 
  <artifactid>spring-security-jwt</artifactid> 
</dependency>

<!--security 通用安全库-->
<dependency> 
  <groupid>org.springframework.cloud</groupid> 
  <artifactid>spring-cloud-security</artifactid> 
</dependency> 
<!--oauth2.0-->
<dependency>
  <groupId>org.springframework.security.oauth</groupId>
  <artifactId>spring-security-oauth2</artifactId>
</dependency>

2.2 创建 JWT 令牌存储

在 security 包或 config 包下; 
@Configration
public class JWTTokenStoreConfig{
    @Autowired
    private ServiceConfig serviceConfig;

    @Bean
    public TokenStore tokenStore(){
        return new JwtTokenStore(jwtAccessTokenConverter());
    }
 
    //用于从出示给服务的令牌中读取数据
    @Bean
    @Primary  //用于告诉 Spring,如果有多个特定类型的 bean(本例中为 DefaultTokenService),那么使用 @Primary 标注的 Bean 类型自动注入
    public DefaultTikenServices tokenServices(){
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenStore(tokenStore());
        defaultTokenServices.setSupportRefreshToken(true);
        return defaultTokenServices;
    }
    
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        //在 JWT 和 OAuth2 服务器之间充当翻译 
        JwtAccessTokenConverter conver = new JwtAccessTokenConverter();
        //定义将用于签署令牌的签名密钥
        conver.setSigningKey(serviceConfig.getJwtSigningKey());
    } 

    @Bean
    public TokenEnhancer jwtTokenEnhancer(){
        return new JWTTokenEnhancer();
    }

}
  • 该类用于定义 Spring 将如何管理 JWT 令牌的创建、签名和翻译;

2.3 将 JWT 挂载到验证服务中

@Configuration
public class JWTOAuth2Config extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private TokenStore tokenStore;
    @Autowired
    private DefaultTokenServices tokenServices;
    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;
    @Autowired
    private TokenEnhancer jwtTokenEnhancer;

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(jwtTokenEnhancer, jwtAccessTokenConverter));

        endpoints.tokenStore(tokenStore)                             //JWT,5.2中定义的命令存储将在这里注入
                .accessTokenConverter(jwtAccessTokenConverter)       //JWT,钩子,用于告诉 Spring Security OAuth2 代码使用 JWT
                .tokenEnhancer(tokenEnhancerChain)                   //JWT
                .authenticationManager(authenticationManager)
                .userDetailsService(userDetailsService);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

        clients.inMemory()
                .withClient("eagleeye")
                .secret("thisissecret")
                .authorizedGrantTypes("refresh_token", "password", "client_credentials")
                .scopes("webclient", "mobileclient");
    }
}


3. 在受保护服务中使用 JWT

3.1 引入 pom.xml 依赖文件

  • 同 OAuth2 服务器依赖;
<!-- JWT OAuth2 库 -->
<dependency> 
    <groupid>org.springframework.security</groupid> 
    <artifactid>spring-security-jwt</artifactid> 
</dependency>

<!--security 通用安全库-->
<dependency> 
    <groupid>org.springframework.cloud</groupid> 
    <artifactid>spring-cloud-security</artifactid> 
</dependency> 
<!--oauth2.0-->
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
</dependency>

3.2 在受保护服务中创建 JWTTokenStoreConfig 类

  • 同本篇《5.2 创建 JWT 令牌存储》;
@Configuration
public class JWTTokenStoreConfig {

    @Autowired
    private ServiceConfig serviceConfig;
    //JWT
    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    //JWT
    @Bean
    @Primary
    public DefaultTokenServices tokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenStore(tokenStore());
        defaultTokenServices.setSupportRefreshToken(true);
        return defaultTokenServices;
    }

    //JWT
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey(serviceConfig.getJwtSigningKey());
        return converter;
    }

}

3.3 创建自定义的 RestTemplate 类以注入 JWT 令牌

可以在主程序类里,也可以在主程序类所在包及其子包里; 
@Primary
@Bean
public RestTemplate getCustomRestTemplate() {
    RestTemplate template = new RestTemplate();
    List interceptors = template.getInterceptors();
    if (interceptors == null) {
        //UserContextInterceptor 会将 Authorization 首部注入每个 REST 调用
        template.setInterceptors(Collections.singletonList(new UserContextInterceptor()));
    } else {
        interceptors.add(new UserContextInterceptor());
        template.setInterceptors(interceptors);
    }
    return template;
}

3.4 UserContextInterceptor 将注入 JWT 令牌到 REST 调用

public class UserContextInterceptor implements ClientHttpRequestInterceptor {
    @Override
    public ClientHttpResponse intercept(
            HttpRequest request, byte[] body, ClientHttpRequestExecution execution)
            throws IOException {

        HttpHeaders headers = request.getHeaders();
        headers.add(UserContext.CORRELATION_ID, UserContextHolder.getContext().getCorrelationId());
        //将授权令牌添加到 HTTP 首部
        headers.add(UserContext.AUTH_TOKEN, UserContextHolder.getContext().getAuthToken());

        return execution.execute(request, body);
    }
}

3.5 扩展 JWT 令牌(也叫自定义、增强)

  • 通过向被保护服务添加一个 Spring OAuth2 令牌增强类,扩展 JWT 令牌;
//需要扩展 TokenEnhancer 类
public class JWTTokenEnhancer implements TokenEnhancer {
    @Autowired
    private OrgUserRepository orgUserRepo;

    //基于用户名查找用户的组织 ID
    private String getOrgId(String userName){
        UserOrganization orgUser = orgUserRepo.findByUserName( userName );
        return orgUser.getOrganizationId();
    }

    //进行这种增强,需要覆盖 enhance() 方法
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        Map<String, Object> additionalInfo = new HashMap<>();
        String orgId =  getOrgId(authentication.getName());

        additionalInfo.put("organizationId", orgId);
        //所有附加属性放在 HashMap 中,并设置在传入该方法的 accessToken 变量上
        ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
        return accessToken;
    }
}

3.6 告诉被保护服务使用 JWTTokenEnhancer 类

  • 首先需要公开 TokenEnhancer 类;
@Bean
public TokenEnhancer jwtTokenEnhancer() {
    return new JWTTokenEnhancer();
}
  • TokenEnhancer 类挂钩在验证服务中。类似《2.3 将 JWT 挂载到验证服务中》;
@Configuration
public class JWTOAuth2Config extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private TokenStore tokenStore;
    @Autowired
    private DefaultTokenServices tokenServices;
    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;
    //自动装配 TokenEnhancer 类
    @Autowired
    private TokenEnhancer jwtTokenEnhancer;

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        //允许开发人员挂钩多个令牌增强器
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(jwtTokenEnhancer, jwtAccessTokenConverter));

        endpoints.tokenStore(tokenStore)                             //JWT
                .accessTokenConverter(jwtAccessTokenConverter)       //JWT
                .tokenEnhancer(tokenEnhancerChain)                   //JWT,将令牌增强器链挂钩到传入 configure() 方法的 endpoints 参数
                .authenticationManager(authenticationManager)
                .userDetailsService(userDetailsService);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("eagleeye")
                .secret("thisissecret")
                .authorizedGrantTypes("refresh_token", "password", "client_credentials")
                .scopes("webclient", "mobileclient");
    }
}

3.7 使用 JJWT 库在 Zuul 网关里解析 JWT 令牌中解析自定义字段

以下配置均在在 Zuul 网关服务里进行;

3.7.1 在 Zuul 网关里添加 pom.xml 依赖文件

<dependency>
  <groupId>io.jsonwebtoken</groupId>
  <artifactId>jjwt</artifactId>
  <version>0.7.0</version>
</dependency>

3.7.2 添加一个新方法,用来解析 serviceId

private String getOrganizationId(){
    String result="";
    if (filterUtils.getAuthToken()!=null){
        //从 HTTP 首部 Authorization 解析出令牌
        String authToken = filterUtils.getAuthToken().replace("Bearer ","");
        try {
            //传入用于签署令牌的签名密钥,使用 JWTS 类解析令牌
            Claims claims = Jwts.parser()
                    .setSigningKey(serviceConfig.getJwtSigningKey().getBytes("UTF-8"))
                    .parseClaimsJws(authToken).getBody();
            //从令牌中提取 xxxId
            result = (String) claims.get("organizationId");
        }
        catch (Exception e){
            e.printStackTrace();
        }
    }
    return result;
}


文章标签:
云解析DNS
Java
微服务
数据安全/隐私保护
网络架构
Spring
安全
数据格式
存储
JSON
关键词:
架构微服务
架构构建
微服务架构
微服务构建
jwt令牌
多氯环己烷
目录
相关文章
游客qf4jmczx4xu2y
|
3天前
|
缓存 负载均衡 JavaScript
探索微服务架构下的API网关模式
【10月更文挑战第37天】在微服务架构的海洋中,API网关犹如一座灯塔,指引着服务的航向。它不仅是客户端请求的集散地,更是后端微服务的守门人。本文将深入探讨API网关的设计哲学、核心功能以及它在微服务生态中扮演的角色,同时通过实际代码示例,揭示如何实现一个高效、可靠的API网关。
游客qf4jmczx4xu2y
16 5
喜欢猪猪
|
6天前
|
设计模式 Java API
微服务架构演变与架构设计深度解析
【11月更文挑战第14天】在当今的IT行业中,微服务架构已经成为构建大型、复杂系统的重要范式。本文将从微服务架构的背景、业务场景、功能点、底层原理、实战、设计模式等多个方面进行深度解析,并结合京东电商的案例,探讨微服务架构在实际应用中的实施与效果。
喜欢猪猪
32 6
程序员成长之路
|
5天前
|
运维 Kubernetes Docker
利用Docker和Kubernetes构建微服务架构
利用Docker和Kubernetes构建微服务架构
程序员成长之路
20 1
喜欢猪猪
|
6天前
|
设计模式 Java API
微服务架构演变与架构设计深度解析
【11月更文挑战第14天】在当今的IT行业中,微服务架构已经成为构建大型、复杂系统的重要范式。本文将从微服务架构的背景、业务场景、功能点、底层原理、实战、设计模式等多个方面进行深度解析,并结合京东电商的案例,探讨微服务架构在实际应用中的实施与效果。
喜欢猪猪
19 1
131王
|
12天前
|
运维 持续交付 API
从零构建微服务架构:一次深度技术探索之旅####
【10月更文挑战第28天】 本文记录了作者在从零开始构建微服务架构过程中的深刻技术感悟,通过实战案例详细剖析了微服务设计、开发、部署及运维中的关键要点与挑战。文章首先概述了微服务架构的核心理念及其对企业IT架构转型的重要性,随后深入探讨了服务拆分策略、API网关选型、服务间通信协议选择、容器化部署(Docker+Kubernetes)、以及持续集成/持续部署(CI/CD)流程的设计与优化。最后,分享了在高并发场景下的性能调优经验与故障排查心得,旨在为读者提供一套可借鉴的微服务架构实施路径。 ####
131王
48 3
Ray.
|
2天前
|
Dubbo Java 应用服务中间件
服务架构的演进:从单体到微服务的探索之旅
随着企业业务的不断拓展和复杂度的提升,对软件系统架构的要求也日益严苛。传统的架构模式在应对现代业务场景时逐渐暴露出诸多局限性,于是服务架构开启了持续演变之路。从单体架构的简易便捷,到分布式架构的模块化解耦,再到微服务架构的精细化管理,企业对技术的选择变得至关重要,尤其是 Spring Cloud 和 Dubbo 等微服务技术的对比和应用,直接影响着项目的成败。 本篇文章会从服务架构的演进开始分析,探索从单体项目到微服务项目的演变过程。然后也会对目前常见的微服务技术进行对比,找到目前市面上所常用的技术给大家进行讲解。
Ray.
11 1
服务架构的演进:从单体到微服务的探索之旅
丰宝宝
|
1天前
|
Cloud Native 安全 API
云原生架构下的微服务治理策略与实践####
—透过云原生的棱镜,探索微服务架构下的挑战与应对之道 本文旨在探讨云原生环境下,微服务架构所面临的关键挑战及有效的治理策略。随着云计算技术的深入发展,越来越多的企业选择采用云原生架构来构建和部署其应用程序,以期获得更高的灵活性、可扩展性和效率。然而,微服务架构的复杂性也带来了服务发现、负载均衡、故障恢复等一系列治理难题。本文将深入分析这些问题,并提出一套基于云原生技术栈的微服务治理框架,包括服务网格的应用、API网关的集成、以及动态配置管理等关键方面,旨在为企业实现高效、稳定的微服务架构提供参考路径。 ####
丰宝宝
14 5
萝卜带泥
|
4天前
|
监控 API 微服务
后端技术演进:从单体架构到微服务的转变
随着互联网应用的快速增长和用户需求的不断演化,传统单体架构已难以满足现代软件开发的需求。本文深入探讨了后端技术在面对复杂系统挑战时的演进路径,重点分析了从单体架构向微服务架构转变的过程、原因及优势。通过对比分析,揭示了微服务架构如何提高系统的可扩展性、灵活性和维护效率,同时指出了实施微服务时面临的挑战和最佳实践。
萝卜带泥
17 7
萝卜带泥
|
2天前
|
Kubernetes 负载均衡 Cloud Native
云原生架构下的微服务治理策略
随着云原生技术的不断成熟,微服务架构已成为现代应用开发的主流选择。本文探讨了在云原生环境下实施微服务治理的策略和方法,重点分析了服务发现、负载均衡、故障恢复和配置管理等关键技术点,以及如何利用Kubernetes等容器编排工具来优化微服务的部署和管理。文章旨在为开发者提供一套实用的微服务治理框架,帮助其在复杂的云环境中构建高效、可靠的分布式系统。
萝卜带泥
14 5
ShaFaChuang-36210
|
2天前
|
负载均衡 监控 Cloud Native
云原生架构下的微服务治理策略与实践####
在数字化转型浪潮中,企业纷纷拥抱云计算,而云原生架构作为其核心技术支撑,正引领着一场深刻的技术变革。本文聚焦于云原生环境下微服务架构的治理策略与实践,探讨如何通过精细化的服务管理、动态的流量调度、高效的故障恢复机制以及持续的监控优化,构建弹性、可靠且易于维护的分布式系统。我们将深入剖析微服务治理的核心要素,结合具体案例,揭示其在提升系统稳定性、扩展性和敏捷性方面的关键作用,为读者提供一套切实可行的云原生微服务治理指南。 ####
ShaFaChuang-36210
13 4
云原生

微服务

热门文章

最新文章

  • 1
    微服务(Microservice)那点事
  • 2
    ASP.NET Core微服务之基于Consul实现服务治理(1)
  • 3
    微服务技术栈选型,看了这个别的可以不用看了
  • 4
    五分钟内免费体验 EDAS ,完美解决微服务痛点
  • 5
    Java微服务开发指南 -- 使用Spring Boot构建微服务
  • 6
    Spring Cloud Alibaba 新一代微服务解决方案
  • 7
    第二篇:SpringCloud 构建微服务系统之服务注册和发现(nacos)
  • 8
    10道面试官喜欢问的微服务面试题Spring Cloud+Spring Boot
  • 9
    虎牙直播在微服务改造方面的实践和总结
  • 10
    一行代码,保障分布式事务一致性—GTS:微服务架构下分布式事务解决方案
  • 1
    JVM进阶调优系列(9)大厂面试官:内存溢出几种?能否现场演示一下?| 面试就那点事
    28
  • 2
    热联集团:从 APISIX 迁移到云原生网关
    33
  • 3
    阿里云微服务引擎 MSE 及 云原生 API 网关 2024 年 10 月产品动态
    17
  • 4
    java.util的Collections类
    36
  • 5
    JVM进阶调优系列(8)如何手把手,逐行教她看懂GC日志?| IT男的专属浪漫
    61
  • 6
    无障碍工具条本地化安装部署
    34
  • 7
    服务器磁盘爆满?别慌,教你轻松清理!
    79
  • 8
    JVM进阶调优系列(6)一文详解JVM参数与大厂实战调优模板推荐
    88
  • 9
    JVM进阶调优系列(5)CMS回收器通俗演义一文讲透FullGC
    50
  • 10
    免费的CMS系统有哪些?
    146

    • 相关课程

    更多
  • 微服务实战-RocketMQ Binder
  • 微服务实战-服务熔断 - Sentinel
  • 微服务实战-服务注册中心 - Nacos
  • 微服务实战-Service Mesh与Istio
  • 微服务实战-服务注册与发现 - Nacos Discovery
  • Spring Cloud微服务架构设计与开发实战

    • 相关电子书

    更多
  • 微服务治理技术白皮书
  • 微服务与Serverless
  • EDAS4.0 助力企业一站实现微服务架构转型与 K8s 容器化升级

    • 相关实验场景

    更多
  • 使用 Jenkins 创建微服务应用的持续集成
  • 基于 IntelliJ IDEA 插件部署微服务应用
  • 基于Serverless架构的盲盒抽奖系统
  • 零基础部署一个Django Blog到Serverless架构
  • 基于MSE实现微服务的全链路灰度
  • 使用EDA架构部署在线外卖订单系统
    • 下一篇
    阿里云OSS设置跨域访问