Startseite>Tutorial zur Netzwerkprogrammierung>Java-Tutorial

Detaillierte Erläuterung der SpringCloud Service Certification (JWT)

Autor:Eve Cole Aktualisierungszeit:2025-07-04 11:32:01

- Jwt

JWT (JSON Web Token) ist ein JSON-basierter Open Standard (RFC 7519), der implementiert ist, um Ansprüche zwischen Netzwerkanwendungsumgebungen zu übergeben. Das Token ist kompakt und sicher ausgestattet, insbesondere für Einzel-SSO-Szenarien von verteilten Standorten geeignet. Die JWT -Anweisung wird im Allgemeinen verwendet, um authentifizierte Benutzeridentitätsinformationen zwischen Identitätsanbietern und Dienstanbietern zu übergeben, um den Erwerb von Ressourcen aus dem Ressourcenserver zu erleichtern. Es kann auch einige zusätzliche Erklärungsinformationen hinzufügen, die für andere Geschäftslogik erforderlich sind. Das Token kann auch direkt zur Authentifizierung oder verschlüsselt werden.

- Der Unterschied zwischen JWT und anderen

Normalerweise ist es sehr riskant, die API direkt aufzudecken. Wenn Sie nichts anderes sprechen, können Sie es trinken, wenn Sie direkt von einer Maschine angegriffen werden. Im Allgemeinen muss eine bestimmte Berechtigungsstufe in die API unterteilt werden, und dann wird eine Benutzerauthentifizierung durchgeführt, und die entsprechende API wird dem Benutzer basierend auf den Authentifizierungsergebnissen gegeben. Gegenwärtig gibt es einige weitere Mainstream -Lösungen:

OAuth

OAuth ist ein offener Autorisierungsstandard, mit dem Benutzer Anwendungen von Drittanbietern ermöglichen können, um auf private Ressourcen (wie Fotos, Videos) zuzugreifen, die vom Benutzer in einem Dienst gespeichert sind, ohne Benutzername und Kennwort für Anwendungen von Drittanbietern bereitzustellen.

Mit OAuth können Benutzer ein Token anstelle eines Benutzernamens und eines Kennworts bereitstellen, um auf Daten zuzugreifen, die sie in einem bestimmten Dienstanbieter speichern. Jedes Token autorisiert ein bestimmtes Drittanbieter-System (z. B. eine Videobearbeitungs-Website), um innerhalb eines bestimmten Zeitraums (z. B. innerhalb der nächsten 2 Stunden) auf eine bestimmte Ressource (z. B. nur ein Video in einem bestimmten Album) zuzugreifen. Auf diese Weise ermöglicht OAuth Benutzern, Websites von Drittanbietern zu autorisieren, um auf bestimmte spezifische Informationen zugreifen zu

Cookie/Session Auth

Der Cookie -Authentifizierungsmechanismus besteht darin, ein Sitzungsobjekt auf dem Server für eine Authentifizierungsanforderung zu erstellen und gleichzeitig ein Cookie -Objekt im Browser des Clients zu erstellen. Das Cookie -Objekt wird zum Client gebracht, um das Sitzungsobjekt auf dem Server zu entsprechen, um die staatliche Verwaltung zu erreichen. Standardmäßig werden Cookies gelöscht, wenn wir den Browser schließen. Sie können jedoch die Auslaufzeit des Keks ändern, um den Cookie für einen bestimmten Zeitraum gültig zu machen. Die Authentifizierung basierend auf der Sitzungsmethode wird zwangsläufig einen gewissen Druck auf den Server ausüben (Speicherspeicher), nicht einfach zu erweitern (für die Behandlung von verteilten Sitzungen), Cross-Site-Anfrage-Fälschungsangriffe (CSRF)

- Vorteile von JWT

1. Im Vergleich zur Sitzung muss es nicht auf dem Server gespeichert werden und belegt keinen Serverspeicher -Overhead.

2.. Staatelo und hoch skalierbar: Zum Beispiel gibt es 3 Maschinen (a, b, c), um einen Servercluster zu bilden. Wenn die Sitzung auf Maschine A vorhanden ist, kann die Sitzung nur auf einem der Server gespeichert werden. Zu diesem Zeitpunkt können Sie nicht auf Maschinen B und C zugreifen, da die Sitzung nicht auf B und C gespeichert ist und die Verwendung von Token die Legitimität der Anfrage des Benutzers überprüfen kann. Es ist in Ordnung für mich, ein paar weitere Maschinen hinzuzufügen, also bedeutet dies.

3..

- Die Komposition von JWT

 {"iss": "jwt builder", "iat": 1416797419, "exp": 14483333419, "aud": "www.battcn.com", "sub": "[email protected] "[email protected]", "Rolle": ["Admin", "Mitglied"]}
  1. ISS: Der Emittent des JWT, ob es verwendet werden soll, ist optional;
  2. Sub: Der von diesem JWT gezielte Benutzer ist optional.
  3. AUD: Die Partei, die die JWT erhält, ist optional;
  4. EXP (Ausgelassen): Wann ist es abgelaufen, hier ist ein Unix -Zeitstempel und ob es optional ist.
  5. IAT (ausgestellt bei): Wenn er ausgestellt wird (Unix -Zeit), und ob es optional ist, ist es optional;
  6. NBF (nicht vorher): Wenn die aktuelle Zeit vor der Zeit in NBF liegt, wird das Token nicht akzeptiert; Im Allgemeinen bleibt ein Zimmer mehr, wie z. B. ein paar Minuten; Ob es verwendet werden soll, ist optional;

Ein JWT ist eigentlich eine Zeichenfolge, die aus drei Teilen, Header, Nutzlast und Signatur besteht (nach Abfolge im Bild oben sortiert)

JWT Token Generator: https://jwt.io/

- Zertifizierung

- Anmeldeauthentifizierung

  1. Der Client sendet eine Postanforderung an den Server und legt die Controller -Ebene für die Anmeldung ab.
  2. Rufen Sie den Authentifizierungsdienst für Benutzernamen und Kennwortauthentifizierung an. Wenn die Authentifizierung übergeben wird, werden die vollständigen Benutzerinformationen und entsprechenden Berechtigungsinformationen zurückgegeben.
  3. Verwenden Sie JJWT, um ein Token für Benutzer, Berechtigungsinformationen und geheime Schlüssel zu erstellen
  4. Kehren Sie zum gebauten Token zurück

- Authentifizierungsanfrage

  1. Die Clientanfragen an den Server und der Server liest die Anforderungsheaderinformationen (Request.Header), um das Token zu erhalten
  2. Wenn die Token -Informationen gefunden werden, wird die JJWT Lib aufgerufen, die Token -Informationen gemäß dem Signaturverschlüsselungsschlüssel in der Konfigurationsdatei zu entschlüsseln und zu entschlüsseln.
  3. Nach Abschluss der Decodierung und Überprüfung der Signatur verifizieren Sie die Exp, NBF, AUD und andere Informationen im Token.
  4. Nach allen Passungen wird die Erlaubnis logische Beurteilung der angeforderten Ressource basierend auf den Rollenberechtigungsinformationen des erhaltenen Benutzers erstellt.
  5. Wenn das Beurteilung des Berechtigungslogiks verabschiedet wird, wird es durch das Antwortobjekt zurückgegeben. Andernfalls wird es an HTTP 401 zurückgegeben.

Ungültiges Token

Gültiges Token

- Nachteile von JWT

Es gibt Vor- und Nachteile. Ob es anwendbar ist, sollte eher klar als Technologie und Stil berücksichtigt werden.

  1. Zu große Token können leicht mehr Platz einnehmen
  2. Sensible Informationen sollten nicht in Token gespeichert werden
  3. JWT ist keine Sitzung, benutze Token nicht als Sitzung
  4. Das ausgegebene Token kann nicht ungültig werden, da alle Authentifizierungsinformationen in der JWT enthalten sind. Da es keinen Zustand auf dem Server gibt, auch wenn Sie wissen, dass ein JWT gestohlen wurde, haben Sie keine Möglichkeit, es ungültig zu machen. Es gibt nichts, was Sie tun können, bevor der JWT abläuft (Sie sollten die Ablaufzeit auf jeden Fall festlegen).
  5. Ähnlich wie bei Cache können Sie, da das ausgestellte Token nicht ungültig gemacht werden kann, die "abgelaufenen" Daten nur vor dem Ablauf der Daten aus (Sie sollten das Token verwenden, das Sie mit Tränen in den Augen freigeben).

- Code (Fragment)

TokenProperties Key Mapping mit Application.yml Resource, einfach zu bedienen

 @Configuration@configurationProperties (Präfix = "battcn.security.token") public class tokenProperties { / *** {@link com.battcn.security.model.token.token} Token -Expirationszeit* / private Inteheger ExpirationTim; / *** Emittent*/ private String Emittent; /*** Signatur verwendet Taste {@link com.battcn.security.model.token.token}. */ private String SigningKey; / *** {@link com.battcn.security.model.token.token} Refresh -Ablaufzeit*/ private Ganzzahl refresxptime; // set ...}

Klasse von Token generiert

 @ComponentPublic Class Tokenfactory {private endgültige Tokenproperties Properties; @Autowired Public TokenFactory (TokenProperties Properties) {this.Properties = Properties; } / ** * Verwenden Sie JJWT, um Token zu generieren Optional.ofnullable (context.getAuthorities ()). Orelsethrow (()-> Neue IllegalArgumentException ("Benutzer hat keine Berechtigungen"); Ansprüche Claims = jwts.claims (). SetSubject (context.getUnername ()); clinets.put ("Scopes", context.getAuthorities (). Stream (). MAP (Objekt :: toString) .Collect (tolist ()); LocalDatetime currentime = localDateTime.now (); String token = jwts.builder () .setClaims (Ansprüche) .setISSUER (Properties.getISSUer ()) .SetISSUedat (Datum.From (currentime.ATzon (zoneId.SystemDEfAULT ()). Toinstant ()) .setExpiration (Datum (currentTime.PlusMime.PlusMin) (currentTime.PlusMinTe.PlusMinute.PlusMinute.PlusMinute () (currentTime.PlusMinTen.PlusMinute () (currentTime.PlusMinTen.PlusMinute.PlusMinute.PlusMinute.PlusMinute (). .atton (zoneId.SystemDefault ()). toinstant ()) .SignWith (SignatureAlgorithm.HS512, Properties.GetSigningKey ()) .Compact (); Neue AccessToken zurückgeben (Token, Ansprüche); } / ** * erzeugen und aktualisieren aktualisieren * @param userContext * @return * / public token CreatereFreshtoken (UserContext userContext) {if (stringutils } LocalDatetime currentime = localDateTime.now (); Ansprüche Ansprüche = jwts.claims (). SetSubject (userContext.getUnername ()); Claims.put ("Scopes", Arrays.aslist (Scopes.Refresh_Token.Authority ())); String token = jwts.builder () .setClaims (Ansprüche) .setISSUER (properties.getIssuer ()) .setId (uUid.randomuuid (). ToString () .setISSUedat (Datum.Datum.From (CurrentTime.ATzone). .plusminutes (Properties.getRefresExptime ())) .ATzone (zoneId.SystemDefault ()). toinstant ()) .Signwith (SignatureAlgorithm.hs512, Eigenschaften.getSsigningKey ()) .Compact (); Neue AccessToken zurückgeben (Token, Ansprüche); }}

Konfigurationsdatei, einschließlich Token -Ablaufzeit, geheimer Schlüssel, kann selbst erweitert werden

 BATTCN: Sicherheit: Token: Ablaufzeit: 10 # Minuten 1440 Refresh-exp-Zeit: 30 # Minuten 2880 Emittent: http://blog.battcn.com Signing-Key: Battcn

WebSecurityConfig ist eine wichtige Konfiguration der Spring Security. In der Sicherheit können wir die gewünschten Funktionen im Grunde genommen durch Definieren von Filtern implementieren.

 @Configuration@enableWebSecurityPublic Class WebSecurityConfig erweitert WebSecurityConFigurerAdapter {public static Final String token_Header_param = "X-Authorization"; public static Final String Form_Based_login_entry_point = "/api/auth/login"; public static Final String token_based_auth_entry_point = "/api/**"; public static Final String verwalten verwalten_token_based_auth_entry_point = "/verwalten/**"; public static Final String token_refresh_entry_point = "/api/auth/token"; @Autowired Private RestauthenticationEntryPoint AuthenticationEntryPoint; @Autowired Private AuthenticationsCessHandler SuccessHandler; @Autowired Private AuthenticationFailureHandler MisserersHandler; @Autowired Private LoginauthenticationProvider LoginauthenticationProvider; @Autowired Private tokenauThenticationProvider TokenauThenticationProvider; @Autowired Private Tokenextractor Tokenextractor; @Autowired Private AuthenticationManager AuthenticationManager; Protected LoginprocessingFilter BuildLoginprocessingFilter () löst Ausnahme aus {loginprocessingFilter filter = new LoginprocessingFilter (Form_Based_login_entry_Point, SuccessHandler, FailureHandler); filter.setAuthenticationManager (this.authenticationManager); Rückgabefilter; } Protected tokenauuthenticationsprozessingfilter bautenAtokenAuthentationsprozessingFilter () löst Ausnahme aus {list <string> list = lists.newarrayList (token_based_auth_entry_point, verwalten_token_based_auth_entry_point); SkippathequestMatcher -Matcher = neuer SkippathequestMatcher (Liste); TokenauThenticationprocessingFilter filter = neuer tokenauthenticationsprozessingfilter (VersagensHandler, Tokenextractor, Match); filter.setAuthenticationManager (this.authenticationManager); Rückgabefilter; } @Bean @Override public AuthenticationManager AuthenticationManagerBean () löst Ausnahme aus {return Super.authenticationManagerBean (); } @Override Protected void configure (AuthenticationManagerBuilder auth) {auth.authenticationProvider (loginauthenticationProvider); Auth.AuthenticationProvider (tokenauthenticationProvider); } @Override Protected void configure (httpecurity http) löst Ausnahme aus. . .AntMatchers (token_based_auth_entry_point) .Authenticated () // API-Endpunkte .AntMatchers (Management_Token_Based_auth_entry_Point) .hasanyrol (roleenum.admin.name () .And () .AddFilterBeforBeforte (buildloginprocessingFilter ().).). UsernamepasswordAuthenticationFilter.class) .AddFilterBefore (BuildokenAuthentication -ProcessingFilter (), usernamePasswordAuthenticationFilter.class); }}

- Sag etwas

Da der JWT -Code einfach eingekapselt ist und viele Inhalte enthält, werden im Artikel nur die Hauptfragmente veröffentlicht. Wenn der vollständige Code benötigt wird, können Sie ihn direkt aus dem folgenden Git abrufen

Code dieses Kapitel

Das obige ist der gesamte Inhalt dieses Artikels. Ich hoffe, es wird für das Lernen aller hilfreich sein und ich hoffe, jeder wird Wulin.com mehr unterstützen.

Ähnliche Artikel