Page d'accueil>Tutoriel de programmation réseau>Tutoriel Java

Explication détaillée de la certification des services SpringCloud (JWT)

Auteur:Eve Cole Date de mise à jour:2025-07-04 11:32:01

- JWT

JWT (JSON Web Token) est une norme ouverte basée sur JSON (RFC 7519) implémentée pour faire passer les réclamations entre les environnements d'application réseau. Le jeton est conçu pour être compact et sécurisé, particulièrement adapté aux scénarios de connexion unique (SSO) de sites distribués. L'instruction JWT est généralement utilisée pour transmettre des informations d'identité utilisateur authentifiées entre les fournisseurs d'identité et les fournisseurs de services afin de faciliter l'acquisition de ressources à partir du serveur de ressources. Il peut également ajouter des informations de déclaration supplémentaires nécessaires à d'autres logiques commerciales. Le jeton peut également être utilisé directement pour l'authentification ou chiffré.

- La différence entre JWT et autres

Habituellement, il est très risqué d'exposer directement l'API. Si vous ne parlez de rien d'autre, vous pouvez le boire si vous êtes directement attaqué par une machine. D'une manière générale, un certain niveau d'autorisation doit être divisé en API, puis une authentification de l'utilisateur est effectuée, et l'API correspondante est donnée à l'utilisateur en fonction des résultats d'authentification. À l'heure actuelle, il existe plusieurs solutions plus traditionnelles:

Notamment

OAuth est une norme d'autorisation ouverte qui permet aux utilisateurs d'autoriser les applications tierces à accéder aux ressources privées (telles que des photos, des vidéos) stockées par l'utilisateur sur un service sans fournir de nom d'utilisateur et de mot de passe aux applications tierces.

OAuth permet aux utilisateurs de fournir un jeton au lieu d'un nom d'utilisateur et d'un mot de passe pour accéder aux données qu'ils stockent dans un fournisseur de services spécifique. Chaque jeton autorise un système tiers spécifique (par exemple, un site Web d'édition vidéo) pour accéder à une ressource spécifique (par exemple, juste une vidéo dans un certain album) dans un délai spécifique (par exemple, dans les 2 prochaines heures). De cette façon, OAuth permet aux utilisateurs d'autoriser des sites Web tiers pour accéder à certaines informations spécifiques qu'ils stockent dans d'autres fournisseurs de services, plutôt que tout le contenu

Cookie / Session Auth

Le mécanisme d'authentification des cookies est de créer un objet de session sur le serveur pour une demande d'authentification, et en même temps créer un objet cookie sur le navigateur du client; L'objet Cookie est amené au client pour correspondre à l'objet de session sur le serveur pour réaliser la gestion de l'état. Par défaut, les cookies seront supprimés lorsque nous fermerons le navigateur. Cependant, vous pouvez modifier l'heure d'expiration du cookie pour que le cookie valide pendant une certaine période. L'authentification basée sur la méthode de session mettra inévitablement une certaine pression sur le serveur (stockage de mémoire), pas facile à développer (nécessitant de gérer les séances distribuées), les attaques de contrefaçon de demande croisée (CSRF)

- Avantages de JWT

1. Comparé à la session, il n'a pas besoin d'être enregistré sur le serveur et n'occupe pas les frais généraux de mémoire du serveur.

2. Si la session existe sur la machine A, la session ne peut être enregistrée que sur l'un des serveurs. Pour le moment, vous ne pouvez pas accéder aux machines B et C, car la session n'est pas stockée sur B et C, et l'utilisation de jetons peut vérifier la légitimité de la demande de l'utilisateur. C'est normal pour moi d'ajouter quelques machines supplémentaires, c'est donc ce que cela signifie.

3. Séparation frontale et accès croisé dans le domaine croisé.

- La composition de JWT

 {"ISS": "Jwt Builder", "IAT": 1416797419, "EXP": 1448333419, "AUD": "www.battcn.com", "sub": "[email protected]", "Girename": "Levin", "nom de famille": "Lenin", "Courriel": " "[email protected]", "rôle": ["admin", "membre"]}
  1. ISS: L'émetteur du JWT, qu'il s'agisse de l'utiliser facultatif;
  2. Sub: l'utilisateur ciblé par ce JWT est facultatif;
  3. AUD: La partie recevant le JWT est facultative;
  4. EXP (expire): Quand est-il expiré, voici un horodatage UNIX et s'il faut l'utiliser est facultatif;
  5. IAT (émis sur): lorsqu'il est émis (temps Unix), et s'il faut l'utiliser est facultatif;
  6. NBF (pas avant): Si l'heure actuelle est avant l'heure dans NBF, le jeton n'est pas accepté; Généralement, une pièce sera laissée, comme quelques minutes; Que ce soit à l'utiliser est facultatif;

Un JWT est en fait une chaîne, qui se compose de trois parties, de l'en-tête, de la charge utile et de la signature (triée en séquence dans l'image ci-dessus)

Générateur de jetons JWT: https://jwt.io/

- Certification

- Authentification de connexion

  1. Le client envoie une demande de poste au serveur et soumet la couche de contrôleur pour le traitement de connexion.
  2. Appelez le service d'authentification pour l'authentification du nom d'utilisateur et du mot de passe. Si l'authentification est adoptée, les informations complètes de l'utilisateur et les informations d'autorisation correspondantes seront renvoyées.
  3. Utilisez JJWT pour construire un jeton pour les utilisateurs, les informations d'autorisation et les clés secrètes
  4. Retour au jeton construit

- Demande d'authentification

  1. Le client demande au serveur et le serveur lit les informations d'en-tête de demande (demande.headader) pour obtenir le jeton
  2. Si les informations de jeton sont trouvées, la LIB JJWT est appelée pour décrypter et décoder les informations de jeton en fonction de la clé de cryptage de signature dans le fichier de configuration;
  3. Après avoir terminé le décodage et la vérification de la signature, vérifiez les informations EXP, NBF, AUD et d'autres informations dans le jeton;
  4. Après tout, le jugement logique d'autorisation de la ressource demandée est fait sur la base des informations d'autorisation de rôle de l'utilisateur obtenu;
  5. Si le jugement logique d'autorisation est passé, il sera retourné via l'objet de réponse; Sinon, il sera retourné à HTTP 401;

Jeton non valide

Jeton valide

- Inconvénients de JWT

Il y a des avantages et des inconvénients. La question de savoir si elle est applicable devrait être considérée clairement, plutôt que la technologie et le style.

  1. Des jetons trop grands peuvent facilement prendre plus de place
  2. Les informations sensibles ne doivent pas être stockées en jetons
  3. JWT n'est pas une session, n'utilisez pas de jeton comme session
  4. Le jeton émis ne peut pas être invalidé car toutes les informations d'authentification se trouvent dans le JWT. Puisqu'il n'y a pas d'état sur le serveur, même si vous savez qu'un JWT a été volé, vous n'avez aucun moyen de l'invalider. Vous ne pouvez rien faire avant l'expiration du JWT (vous devriez certainement définir le temps d'expiration).
  5. Semblable au cache, car le jeton émis ne peut pas être invalidé, vous ne pouvez supporter que les données "expirées" avant qu'elles expirent (vous devez utiliser le jeton que vous libérez avec des larmes aux yeux).

- Code (fragment)

TokenProperties Key Mapping avec application.yml Resource, facile à utiliser

 @ Configuration @ configurationProperties (prefix = "battcn.security.token") classe publique tokenproperties {/ ** * {@link com.battcn.security.model.token.token} Temps d'expiration du token * / private Integer ExpirationTime; / ** * émetteur * / émetteur de chaînes privées; / ** * Signature a utilisé Key {@link com.battcn.security.model.token.token}. * / Private String SigningKey; / ** * {@link com.battcn.security.model.token.token} Temps d'expiration de rafraîchissement * / Rafreshaxtime entier privé; // soyez défini ...}

Classe générée par jeton

 @ComponentPublic Class TokenFactory {Propriétés privées finales de tokenproperties; @Autowired Public TokenFactory (TokenProperties Properties) {this.properties = propriétés; } / ** * Utilisez JJWT pour générer des jetons * @param context * @return * / public AccessToken CreateAccessToken (UserContext Context) {facultatif.ofNullable (context.getUsername ()). OrelSethrow (() -> new illégalargumentException ("Impossible de créer un token sans usinge")); Facultatif.ofNullable (context.getAuthorities ()). OrelSethrow (() -> new illégalArgumentException ("l'utilisateur n'a aucun privilège")); Réclame les affirmations = jwts.claims (). SetSubject (context.getUserName ()); revendication.put ("Scopes", context.getAuthorities (). Stream (). Map (objet :: toString) .Collect (tolist ())); LocalDateTime currentTime = localDateTime.now (); String token = jwts.builder () .setClaims (réclamation) .Settissuer (Properties.getSiner ()) .SetEtUedat (Date.From (actuel .AtZone (ZoneId.SystemDefault ()). ToInstant ())) .signWith (Signaturalgorithm.HS512, Properties.getSignInKey ()) .Compact (); retourner New AccessToken (Token, réclamation); } / ** * générer et rafraîchir RefreshToken * @param userContext * @return * / public token createrefreshtoken (userContext userContext) {if (stringUtils.isblank (userContext.getUsername ()))) {throw new illégalargumentException ("ne peut pas créer de token sans nom d'usage"); } LocalDateTime currentTime = localDateTime.now (); Réclame des revendications = jwts.claims (). SetSubject (userContext.getUsername ()); revendication.put ("Scopes", arrays.aslist (Scopes.Refresh_Token.Authority ())); String token = jwts.builder () .setClaims (réclamation) .Settissuer (Properties.getSiner ()) .SetIdat (uUid.randomuuid (). ToString ()) .SetSeudat (date.from (actuel .PlusMinutes (Properties.getRefreshexptime ())) .AtZone (ZoneId.SystemDefault ()). Toinstant ())) .signWith (Signaturalgorithm.HS512, Properties.getSigningKey ()) .Compact (); retourner New AccessToken (Token, réclamation); }}

Le fichier de configuration, y compris le temps d'expiration des jetons, la clé secrète, peut être élargi par lui-même

 BATTCN: Sécurité: Token: Temps d'expiration: 10 # Minutes 1440 Refresh-Exp-Time: 30 # Minutes 2880 Émetteur: http://blog.battcn.com Signing-Key: Battcn

WebSecurityConfig est une configuration clé de Spring Security. En sécurité, nous pouvons essentiellement implémenter les fonctions que nous voulons en définissant des filtres.

 @ Configuration @ activerwebsEBurityPublic class WebSeCurityConfig étend WebSecurityConfigurerAdapter {public static final String token_header_param = "x-authorisation"; public static final String form_based_login_entry_point = "/ api / auth / ligin"; public static final String token_based_auth_entry_point = "/ api / **"; Public Static Final String manage_token_based_auth_entry_point = "/ manage / **"; public static final String token_refresh_entry_point = "/ api / auth / token"; @Autowired private RestauthenticationEntryPoint AuthenticationEntryPoint; @Autowired Private AuthenticationsUccessHandler SuccessHandler; @Autowired Private AuthenticationFailureHandler FAILSHANDLER; @Autowired LoginAuthenticationProvider LoginAuthenticationProvider; @Autowired Private TokenauthenticationProvider tokenauthenticationProvider; @Autowired Private Tokenextractor Tokenextractor; @Autowired Private AuthenticationManager AuthenticationManager; Protégé LoginProcessingFilter BuildLoginProcessingFilter () lève une exception {LoginProcessingFilter Filter = new LoginProcessingFilter (form_based_login_entry_point, SuccessHandler, échecHandler); filter.setAuthenticationManager (this.authenticationManager); filtre de retour; } protégé TokenauthenticationProcessingFilter buildTokenAuthenticationProcessingFilter () lève exception {list <string> list = lists.newarraylist (token_based_auth_entry_point, manage_token_based_auth_entry_point); SkippathRequestmatcher Matcher = new SkippathRequestMatcher (liste); TokenauthenticationProcessingFilter Filter = new TokenauthenticationProcessingFilter (échechandler, tokenextractor, Matcher); filter.setAuthenticationManager (this.authenticationManager); filtre de retour; } @Bean @Override public AuthenticationManager AuthenticationManagerBean () lève une exception {return super.authenticationManagerBean (); } @Override Protected void configure (AuthenticationManagerBuilder Auth) {Auth.AuthenticationProvider (LoginAuthenticationProvider); auth.authenticationProvider (tokenauthenticationProvider); } @Override Protected void Configure (httpSecurity http) lève une exception {http .csrf (). Disable () // Parce qu'il utilise JWT, vous pouvez désactiver CSRF ici.ExceptionHandling () .AuthenticationEntryPoint (this.authenticationEntryPoint) .and () .SessionManation (). .SessionCreationPolicy (SessionCreationPolicy.Stateless) .And () .AuthorizeRequests () .Antmatchers (Form_Based_Login_entry_Point) .permitall () // Login End-point .antmatchers (token_refresh_entry_point) .Permital .AuthorizeRequests () .antmatchers (token_based_auth_entry_point) .Authenticated () // Protected API Point. .adddFilterBefore (buildLoginProcessingFilter (), usernamepasswordAuthenticationFilter.class) .AddFilterBefore (buildTokenAuthenticationProcessingFilter (), userNamepasswordAuthenticationFilter.class); }}

- Dire quelque chose

Étant donné que le code JWT est simplement encapsulé et contient beaucoup de contenu, seuls les fragments principaux sont publiés dans l'article. Si le code complet est nécessaire, vous pouvez l'obtenir directement à partir du GIT suivant

Code de ce chapitre (Battcn-jwt-Service): http://xiazai.vevb.com/201801/yuanma/battcn-cloud_jb51.rar

Ce qui précède est tout le contenu de cet article. J'espère que cela sera utile à l'apprentissage de tous et j'espère que tout le monde soutiendra davantage Wulin.com.

Articles connexes