微服務(wù)架構(gòu) | 7.2 構(gòu)建使用 JWT 令牌存儲(chǔ)的 OAuth2 安全認(rèn)證

前言

《Spring Microservices in Action》
《Spring Cloud Alibaba 微服務(wù)原理與實(shí)戰(zhàn)》
《B站 尚硅谷 SpringCloud 框架開發(fā)教程 周陽》

JWT 為 OAuth2 令牌提供規(guī)范標(biāo)準(zhǔn)站宗,并且可以自定義 JWT 令牌阵具;

1. JWT 令牌存儲(chǔ)基礎(chǔ)知識

1.1 JSON Web Token

  • OAuth2 是一個(gè)基于令牌的驗(yàn)證框架萍悴,但它并沒有為如何定義其規(guī)范中的令牌提供任何標(biāo)準(zhǔn)哮塞;
  • 由此出現(xiàn)了 JSON Web Token ( JWT )新標(biāo)準(zhǔn);
  • JWT 是因特網(wǎng)工程任務(wù)組( Internet Engineering Task Force, IETF )提出的開放標(biāo)準(zhǔn)(RFC-7519 )趟径,旨在為 0Auth2令牌提供標(biāo)準(zhǔn)結(jié)構(gòu)
    • JWT 令牌的特點(diǎn):小巧堕仔、密碼簽名、自包含早敬、可擴(kuò)展忌傻;
  • Spring Cloud Security 為 JWT 提供了開箱即用的支持;


2. 構(gòu)建使用 JWT 令牌存儲(chǔ)的 OAuth2 服務(wù)器

2.1 引入 pom.xml 依賴文件

<!-- JWT OAuth2 庫 -->
<dependency> 
  <groupid>org.springframework.security</groupid> 
  <artifactid>spring-security-jwt</artifactid> 
</dependency>

<!--security 通用安全庫-->
<dependency> 
  <groupid>org.springframework.cloud</groupid> 
  <artifactid>spring-cloud-security</artifactid> 
</dependency> 
<!--oauth2.0-->
<dependency>
  <groupId>org.springframework.security.oauth</groupId>
  <artifactId>spring-security-oauth2</artifactId>
</dependency>

2.2 創(chuàng)建 JWT 令牌存儲(chǔ)

在 security 包或 config 包下搞监;

@Configration
public class JWTTokenStoreConfig{
    @Autowired
    private ServiceConfig serviceConfig;

    @Bean
    public TokenStore tokenStore(){
        return new JwtTokenStore(jwtAccessTokenConverter());
    }
 
    //用于從出示給服務(wù)的令牌中讀取數(shù)據(jù)
    @Bean
    @Primary  //用于告訴 Spring芯勘,如果有多個(gè)特定類型的 bean(本例中為 DefaultTokenService),那么使用 @Primary 標(biāo)注的 Bean 類型自動(dòng)注入
    public DefaultTikenServices tokenServices(){
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenStore(tokenStore());
        defaultTokenServices.setSupportRefreshToken(true);
        return defaultTokenServices;
    }
    
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        //在 JWT 和 OAuth2 服務(wù)器之間充當(dāng)翻譯 
        JwtAccessTokenConverter conver = new JwtAccessTokenConverter();
        //定義將用于簽署令牌的簽名密鑰
        conver.setSigningKey(serviceConfig.getJwtSigningKey());
    } 

    @Bean
    public TokenEnhancer jwtTokenEnhancer(){
        return new JWTTokenEnhancer();
    }

}
  • 該類用于定義 Spring 將如何管理 JWT 令牌的創(chuàng)建腺逛、簽名和翻譯;

2.3 將 JWT 掛載到驗(yàn)證服務(wù)中

@Configuration
public class JWTOAuth2Config extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private TokenStore tokenStore;
    @Autowired
    private DefaultTokenServices tokenServices;
    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;
    @Autowired
    private TokenEnhancer jwtTokenEnhancer;

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(jwtTokenEnhancer, jwtAccessTokenConverter));

        endpoints.tokenStore(tokenStore)                             //JWT衡怀,5.2中定義的命令存儲(chǔ)將在這里注入
                .accessTokenConverter(jwtAccessTokenConverter)       //JWT棍矛,鉤子,用于告訴 Spring Security OAuth2 代碼使用 JWT
                .tokenEnhancer(tokenEnhancerChain)                   //JWT
                .authenticationManager(authenticationManager)
                .userDetailsService(userDetailsService);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {

        clients.inMemory()
                .withClient("eagleeye")
                .secret("thisissecret")
                .authorizedGrantTypes("refresh_token", "password", "client_credentials")
                .scopes("webclient", "mobileclient");
    }
}


3. 在受保護(hù)服務(wù)中使用 JWT

3.1 引入 pom.xml 依賴文件

  • 同 OAuth2 服務(wù)器依賴抛杨;
<!-- JWT OAuth2 庫 -->
<dependency> 
    <groupid>org.springframework.security</groupid> 
    <artifactid>spring-security-jwt</artifactid> 
</dependency>

<!--security 通用安全庫-->
<dependency> 
    <groupid>org.springframework.cloud</groupid> 
    <artifactid>spring-cloud-security</artifactid> 
</dependency> 
<!--oauth2.0-->
<dependency>
    <groupId>org.springframework.security.oauth</groupId>
    <artifactId>spring-security-oauth2</artifactId>
</dependency>

3.2 在受保護(hù)服務(wù)中創(chuàng)建 JWTTokenStoreConfig 類

  • 同本篇《5.2 創(chuàng)建 JWT 令牌存儲(chǔ)》够委;
@Configuration
public class JWTTokenStoreConfig {

    @Autowired
    private ServiceConfig serviceConfig;
    //JWT
    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    //JWT
    @Bean
    @Primary
    public DefaultTokenServices tokenServices() {
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setTokenStore(tokenStore());
        defaultTokenServices.setSupportRefreshToken(true);
        return defaultTokenServices;
    }

    //JWT
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey(serviceConfig.getJwtSigningKey());
        return converter;
    }

}

3.3 創(chuàng)建自定義的 RestTemplate 類以注入 JWT 令牌

可以在主程序類里,也可以在主程序類所在包及其子包里怖现;

@Primary
@Bean
public RestTemplate getCustomRestTemplate() {
    RestTemplate template = new RestTemplate();
    List interceptors = template.getInterceptors();
    if (interceptors == null) {
        //UserContextInterceptor 會(huì)將 Authorization 首部注入每個(gè) REST 調(diào)用
        template.setInterceptors(Collections.singletonList(new UserContextInterceptor()));
    } else {
        interceptors.add(new UserContextInterceptor());
        template.setInterceptors(interceptors);
    }
    return template;
}

3.4 UserContextInterceptor 將注入 JWT 令牌到 REST 調(diào)用

public class UserContextInterceptor implements ClientHttpRequestInterceptor {
    @Override
    public ClientHttpResponse intercept(
            HttpRequest request, byte[] body, ClientHttpRequestExecution execution)
            throws IOException {

        HttpHeaders headers = request.getHeaders();
        headers.add(UserContext.CORRELATION_ID, UserContextHolder.getContext().getCorrelationId());
        //將授權(quán)令牌添加到 HTTP 首部
        headers.add(UserContext.AUTH_TOKEN, UserContextHolder.getContext().getAuthToken());

        return execution.execute(request, body);
    }
}

3.5 擴(kuò)展 JWT 令牌(也叫自定義茁帽、增強(qiáng))

  • 通過向被保護(hù)服務(wù)添加一個(gè) Spring OAuth2 令牌增強(qiáng)類,擴(kuò)展 JWT 令牌屈嗤;
//需要擴(kuò)展 TokenEnhancer 類
public class JWTTokenEnhancer implements TokenEnhancer {
    @Autowired
    private OrgUserRepository orgUserRepo;

    //基于用戶名查找用戶的組織 ID
    private String getOrgId(String userName){
        UserOrganization orgUser = orgUserRepo.findByUserName( userName );
        return orgUser.getOrganizationId();
    }

    //進(jìn)行這種增強(qiáng)潘拨,需要覆蓋 enhance() 方法
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
        Map<String, Object> additionalInfo = new HashMap<>();
        String orgId =  getOrgId(authentication.getName());

        additionalInfo.put("organizationId", orgId);
        //所有附加屬性放在 HashMap 中,并設(shè)置在傳入該方法的 accessToken 變量上
        ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
        return accessToken;
    }
}

3.6 告訴被保護(hù)服務(wù)使用 JWTTokenEnhancer 類

  • 首先需要公開 TokenEnhancer 類饶号;
@Bean
public TokenEnhancer jwtTokenEnhancer() {
    return new JWTTokenEnhancer();
}
  • TokenEnhancer 類掛鉤在驗(yàn)證服務(wù)中铁追。類似《2.3 將 JWT 掛載到驗(yàn)證服務(wù)中》;
@Configuration
public class JWTOAuth2Config extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private TokenStore tokenStore;
    @Autowired
    private DefaultTokenServices tokenServices;
    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;
    //自動(dòng)裝配 TokenEnhancer 類
    @Autowired
    private TokenEnhancer jwtTokenEnhancer;

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        //允許開發(fā)人員掛鉤多個(gè)令牌增強(qiáng)器
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        tokenEnhancerChain.setTokenEnhancers(Arrays.asList(jwtTokenEnhancer, jwtAccessTokenConverter));

        endpoints.tokenStore(tokenStore)                             //JWT
                .accessTokenConverter(jwtAccessTokenConverter)       //JWT
                .tokenEnhancer(tokenEnhancerChain)                   //JWT茫船,將令牌增強(qiáng)器鏈掛鉤到傳入 configure() 方法的 endpoints 參數(shù)
                .authenticationManager(authenticationManager)
                .userDetailsService(userDetailsService);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("eagleeye")
                .secret("thisissecret")
                .authorizedGrantTypes("refresh_token", "password", "client_credentials")
                .scopes("webclient", "mobileclient");
    }
}

3.7 使用 JJWT 庫在 Zuul 網(wǎng)關(guān)里解析 JWT 令牌中解析自定義字段

以下配置均在在 Zuul 網(wǎng)關(guān)服務(wù)里進(jìn)行琅束;

3.7.1 在 Zuul 網(wǎng)關(guān)里添加 pom.xml 依賴文件

<dependency>
  <groupId>io.jsonwebtoken</groupId>
  <artifactId>jjwt</artifactId>
  <version>0.7.0</version>
</dependency>

3.7.2 添加一個(gè)新方法,用來解析 serviceId

private String getOrganizationId(){
    String result="";
    if (filterUtils.getAuthToken()!=null){
        //從 HTTP 首部 Authorization 解析出令牌
        String authToken = filterUtils.getAuthToken().replace("Bearer ","");
        try {
            //傳入用于簽署令牌的簽名密鑰算谈,使用 JWTS 類解析令牌
            Claims claims = Jwts.parser()
                    .setSigningKey(serviceConfig.getJwtSigningKey().getBytes("UTF-8"))
                    .parseClaimsJws(authToken).getBody();
            //從令牌中提取 xxxId
            result = (String) claims.get("organizationId");
        }
        catch (Exception e){
            e.printStackTrace();
        }
    }
    return result;
}


最后

\color{blue}{\rm\small{新人制作涩禀,如有錯(cuò)誤,歡迎指出然眼,感激不盡艾船!}}

\color{blue}{\rm\small{歡迎關(guān)注我,并與我交流罪治!}}

\color{blue}{\rm\small{如需轉(zhuǎn)載丽声,請標(biāo)注出處!}}

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末觉义,一起剝皮案震驚了整個(gè)濱河市雁社,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌晒骇,老刑警劉巖霉撵,帶你破解...
    沈念sama閱讀 222,865評論 6 518
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件磺浙,死亡現(xiàn)場離奇詭異,居然都是意外死亡徒坡,警方通過查閱死者的電腦和手機(jī)撕氧,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,296評論 3 399
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來喇完,“玉大人伦泥,你說我怎么就攤上這事〗跸” “怎么了不脯?”我有些...
    開封第一講書人閱讀 169,631評論 0 364
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長刻诊。 經(jīng)常有香客問我防楷,道長,這世上最難降的妖魔是什么则涯? 我笑而不...
    開封第一講書人閱讀 60,199評論 1 300
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任复局,我火速辦了婚禮,結(jié)果婚禮上粟判,老公的妹妹穿的比我還像新娘亿昏。我一直安慰自己,他們只是感情好档礁,可當(dāng)我...
    茶點(diǎn)故事閱讀 69,196評論 6 398
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布龙优。 她就那樣靜靜地躺著,像睡著了一般事秀。 火紅的嫁衣襯著肌膚如雪彤断。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 52,793評論 1 314
  • 城市分裂傳說
    那天易迹,我揣著相機(jī)與錄音宰衙,去河邊找鬼。 笑死睹欲,一個(gè)胖子當(dāng)著我的面吹牛供炼,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播窘疮,決...
    沈念sama閱讀 41,221評論 3 423
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼袋哼,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了闸衫?” 一聲冷哼從身側(cè)響起涛贯,我...
    開封第一講書人閱讀 40,174評論 0 277
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎蔚出,沒想到半個(gè)月后弟翘,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體虫腋,經(jīng)...
    沈念sama閱讀 46,699評論 1 320
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,770評論 3 343
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年稀余,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了悦冀。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 40,918評論 1 353
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡睛琳,死狀恐怖盒蟆,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情师骗,我是刑警寧澤茁影,帶...
    沈念sama閱讀 36,573評論 5 351
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站丧凤,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏步脓。R本人自食惡果不足惜愿待,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,255評論 3 336
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望靴患。 院中可真熱鬧仍侥,春花似錦、人聲如沸鸳君。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,749評論 0 25
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽或颊。三九已至砸紊,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間囱挑,已是汗流浹背醉顽。 一陣腳步聲響...
    開封第一講書人閱讀 33,862評論 1 274
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留平挑,地道東北人游添。 一個(gè)月前我還...
    沈念sama閱讀 49,364評論 3 379
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像通熄,于是被迫代替她去往敵國和親唆涝。 傳聞我的和親對象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,926評論 2 361

推薦閱讀更多精彩內(nèi)容