Главная страница>Учебник по сетевому программированию>Учебник по Java

Подробное объяснение сертификации SpringCloud Service (JWT)

Автор:Eve Cole Время обновления:2025-07-04 11:32:01

- JWT

JWT (JSON Web Token)-это открытый стандарт на основе JSON (RFC 7519), реализованный для передачи претензий между средами прикладных приложений. Токен предназначен для компактного и безопасного, особенно подходящего для сценариев распределенных участков с одним входом (SSO). Оператор JWT, как правило, используется для передачи аутентифицированной информации пользователей идентификации между поставщиками идентификаций и поставщиками услуг для облегчения получения ресурсов с сервера ресурсов. Это также может добавить дополнительную информацию об объявлении, необходимую для другой бизнес -логики. Токен также может быть использован непосредственно для аутентификации или зашифрован.

- Разница между JWT и другими

Обычно очень рискованно разоблачить API напрямую. Если вы не говорите ни о чем еще, вы можете выпить его, если на вас напрямую атаковается машина. Вообще говоря, определенный уровень разрешения должен быть разделен на API, и затем выполняется аутентификация пользователя, и соответствующий API передается пользователю на основе результатов аутентификации. В настоящее время есть еще несколько основных решений:

Оаут

OAuth-это открытый стандарт авторизации, который позволяет пользователям разрешать сторонним приложениям получить доступ к частным ресурсам (например, фотографии, видео), хранящиеся пользователем в сервисе без предоставления имени пользователя и пароля сторонним приложениям.

OAuth позволяет пользователям предоставлять токен вместо имени пользователя и пароля для доступа к данным, которые они хранят в конкретном поставщике услуг. Каждый токен разрешает конкретную стороннюю систему (например, веб-сайт редактирования видео) для доступа к конкретному ресурсу (например, просто видео в определенном альбоме) в течение определенного периода времени (например, в течение следующих 2 часов). Таким образом, OAuth позволяет пользователям авторизовать сторонние веб-сайты для доступа к определенной конкретной информации, которую они хранят в других поставщиках услуг, а не во всех контентах

Cookie/session auth

Механизм аутентификации cookie состоит в том, чтобы создать объект сеанса на сервере для запроса на аутентификацию и в то же время создать объект cookie в браузере клиента; Объект cookie доставляется клиенту, чтобы соответствовать объекту сеанса на сервере для достижения управления состоянием. По умолчанию файлы cookie будут удалены, когда мы закроем браузер. Тем не менее, вы можете изменить время истечения срока службы печенья, чтобы сделать файл cookie действительным в течение определенного периода времени. Аутентификация на основе метода сеанса неизбежно окажет некоторое давление на сервер (хранилище памяти), нелегко развернуть (требуя обработки распределенных сеансов), атаки подделки перекрестных запросов (CSRF)

- Преимущества JWT

1. По сравнению с сеансом, его не нужно сохранять на сервере и не занимать накладные расходы на память сервера.

2. без сохранения состояния и очень масштабируемые: например, есть 3 машины (A, B, C) для формирования кластера сервера. Если сеанс существует на машине A, сеанс может быть сохранен только на одном из серверов. В настоящее время вы не можете получить доступ к машинам B и C, потому что сеанс не хранится на B и C, а использование токенов может проверить легитимность запроса пользователя. Для меня можно добавить еще несколько машин, так что это то, что это значит.

3. Фронт-элитное разделение и поддержание доступа к перекрестному домену.

- композиция jwt

 {"ISS": "JWT Builder", "IAT": 1416797419, "exp": 1448333419, "Aud": "www.battcn.com", "sub": "[email protected]", "Givenname": «Левин», «Фаринма»: «Левин», «Элемент»: «Левин»: «Левин»: «Левин»: «Левин»: «Левин». «[email protected]», «Роль»: [«Администратор», «Член»]}
  1. ISS: эмитент JWT, будь то его использование, не является обязательным;
  2. Sub: пользователь, нацеленный на этот JWT, является необязательным;
  3. AUD: партия, получающая JWT, не является обязательной;
  4. exp (истекает): когда он истекает, вот временная метка UNIX, и использовать ее, не является обязательным;
  5. IAT (выпущен в): когда выпущен (Unix Time), и использовать его, не является обязательным;
  6. NBF (не раньше): если текущее время происходит до времени в NBF, токен не принимается; Как правило, останется какая -то комната, например, несколько минут; Использовать ли он необязательно;

JWT на самом деле является строкой, которая состоит из трех частей, заголовка, полезной нагрузки и подписи (отсортированная в последовательности на рисунке выше)

JWT Token Generator: https://jwt.io/

- Сертификация

- Аутентификация входа в систему

  1. Клиент отправляет запрос сообщения на сервер и представляет уровень контроллера для обработки входа в систему.
  2. Позвоните в службу аутентификации для имени пользователя и аутентификации пароля. Если аутентификация передается, будет возвращена полная информация пользователя и соответствующая информация о разрешении.
  3. Используйте JJWT для создания токена для пользователей, информации о разрешении и секретных ключей
  4. Вернуться к встроенному токену

- Запрос на аутентификацию

  1. Клиент запрашивает сервер, а сервер считывает информацию о заголовке запроса (request.header), чтобы получить токен
  2. Если информация о токене найдена, LIB JJWT призвана расшифровать и расшифровать информацию о токене в соответствии с ключом шифрования подписи в файле конфигурации;
  3. После завершения декодирования и проверки подписи проверьте Exp, NBF, AUD и другую информацию в токене;
  4. После того, как все пройдут, суждение логики разрешений по запрошенному ресурсу вынесено на основе полученной информации о разрешении пользователя;
  5. Если решение логики разрешения будет принято, оно будет возвращено через объект ответа; В противном случае он будет возвращен в HTTP 401;

Неверный токен

Допустимый токен

- Недостатки JWT

Есть преимущества и недостатки. Применимо ли это, следует рассматривать четко, а не технологии и стиль.

  1. Слишком большие токены могут легко занять больше места
  2. Конфиденциальная информация не должна храниться в токенах
  3. JWT - это не сеанс, не используйте токен в качестве сеанса
  4. Выданный токен не может быть признан недействительным, потому что вся информация о аутентификации находится в JWT. Поскольку на сервере нет состояния, даже если вы знаете, что JWT был украден, у вас нет возможности сделать его невозможно. Вы ничего не можете сделать до истечения срока действия JWT (вы обязательно должны установить время истечения).
  5. Подобно кэшу, поскольку выданный токен не может быть признан недействительным, вы можете терпеть только «истекшие» данные до истечения срока действия (вы должны использовать токен, который вы выпускаете со слезами на глазах).

- код (фрагмент)

Отображение ключей TokenProperties с ресурсом Application.yml, простой в использовании

 @Configuration@configurationproperties (prefix = "battcn.security.token") открытый класс TokenProperties { / *** {@link com.battcn.security.model.token.token} Token Time* / private Integer LextimeTime; / *** Эмитент*/ Частный эмитент строки; /*** Signature использовал ключ {@link com.battcn.security.model.token.token}. */ private String ingringKey; / *** {@link com.battcn.security.model.token.token} Время истечения срока обновления*/ private Integer Refreshexptime; // получить установку ...}

Класс, сгенерированный токеном

 @Componentpublic class tokenfactory {private final TokenProperties Properties; @Autowired public tokenFactory (свойства tokenProperties) {this.properties = Properties; } / ** * Используйте jjwt, чтобы сгенерировать токен * @param context * @return * / public accesstoken createaccesstoken (usercontext context) {необязательный. Необязательный. Ofnullable (context.getAuthorities ()). Orelsethrow (()-> new allogalargumentException («У пользователя нет никаких привилегий»)); Претензии претензий = jwts.claims (). SetSubject (context.getUsername ()); retemss.put ("scopes", context.getauthorities (). stream (). map (object :: tostring) .collect (tolist ())); LocalDateTime CurrentTime = localDateTime.now (); String token = jwts.builder () .setClaims (претензии) .setIssuer (свойства.getIssuer ()) .setissIssuedat (date.from (currenttime.atzone (zeenid.systemdefault ()). Toinstant ()) .setexpiration (date.from (currentHive.plusMinutes (protsErtextextime) .atzone (ZoneID.SystemDefault ()). TOInstant ())) .Signwith (SignatureAlgorithm.hs512, Properties.getSigningKey ()) .compact (); вернуть новый AccessToken (токен, претензии); } / ** * Сгенерировать и обновить обновления * @param usercontext * @return * / public token createrefreshtoken (usercontext usercontext) {if (stringutils.isblank (usercontext.getusername ()))) {throw newlylalargumentException (»не может создать токен без USERNAME ())))) {Throw NewallArgumentException (» («Невозможно создать токен без USERNAME»))))) {Thress NewallalArgumentExcept } LocalDateTime currentTime = localDateTime.now (); Претензии претензий = jwts.claims (). Setsubject (usercontext.getusername ()); retemss.put ("scopes", arrays.aslist (scopes.refresh_token.authority ())); String token = jwts.builder () .setClaims (претензии) .setissuer (properties.getissuer ()) .setid (uuid.randomuuid (). .plusminutes (properties.getRefreshexptime ())) .atzone (zeanId.systemDefault ()). toinstant ())) .signwith (signaturealgorithm.hs512, свойства. вернуть новый AccessToken (токен, претензии); }}

Файл конфигурации, включая время истечения срока действия, секретный ключ, может быть расширен сам по себе

 BATTCN: Безопасность: Токен: Время истечения: 10 # минуты 1440 Обновление-экспресс-время: 30 # минуты 2880 Эмитент: http://blog.battcn.com Подписание-ключ: Battcn

WebsecurityConfig - это ключевая конфигурация Spring Security. В безопасности мы можем в основном реализовать функции, которые мы хотим, определив фильтры.

 @Configuration@enablewebsecuritypublic class websecurityconfig Extens WebseCurityConfigurerAdapter {public Static Final String Token_header_param = "x-authorization"; public Static Final String form_based_login_entry_point = "/api/auth/login"; Public Static Final String Token_BADE_AUTH_ENTRY_POINT = "/api/**"; public Static Final String Manage_token_based_auth_entry_point = "/Manage/**"; Public Static Final String Token_Refresh_entry_point = "/api/auth/token"; @Autowired Private RestauthenticationEntryPoint AuthenticationEntryPoint; @Autowired Private AuthenticationAcationCesshesshandler SuccessHandler; @Autowired Private AuthenticationFailureHandler ufflyhandler; @Autowired private LoginauthenticationProvider LoginauthenticationProvider; @Autowired частная токенаутификация provider tokenauthentication provider; @Autowired private tokenextractor tokenextractor; @Autowired Private Authentication Manager AuthenticationManager; Защищенный вход в систему progressingFilter buildLoginProcessingFilter () Throws Exception {LoginProcessingFilter Filter = новый LoginProcessingFilter (form_based_login_Entry_point, SuccessHandler, Dailbhandler); Filter.setAuthenticationManager (this.AuthenticationManager); вернуть фильтр; } Защищенный tokenauthentication processingfilter buildtokenauthenticationprocessingFilter () Throws exception {list <string> list = lists.newarraylist (token_based_auth_entry_point, Manage_token_base_auth_entry_point); Skippathrequestmatcher matcher = new skippathrequestmatcher (список); TokenauthenticationProcessingFilter Filter = новый TokenauthenticationProcessingFilter (сбой, что TokenexTractor, Matchter); Filter.setAuthenticationManager (this.AuthenticationManager); вернуть фильтр; } @Bean @Override public authentication manage outentication managerbean () throws exception {return super.authentication managerbean (); } @Override Protected void configure (AuthenticationManagerBuilder auth) {auth.AuthenticationProvider (LoginaThenticationProvider); Auth.AuthenticationProvider (TokenauthenticationProvider); } @Override Protected void configure (httpsecurity http) выбрасывает исключение {http .csrf (). Disable () // Поскольку он использует jwt, вы можете отключить CSRF здесь. ExceptionHandling (). .SessionCreationPolicy (sessionCreationPolicy.StateLess). и () .AuthorizERequests () .antMatchers (form_based_login_entry_point) .permitall () // Вход в конечную точку. .AntMatchers (token_based_auth_entry_point) .authenticated () // Защищенные конечные точки API .antmatchers (Manage_token_based_auth_entry_point) .hasanyrole (roleenum.admin.name (). и (). Usernamepasswordauthenticationfilter.class). Addfilterbefore (BuildTokenAuthenticationProcessingFilter (), userNamePassWordAuthenticationFilter.class); }}

- Скажите что-то

Поскольку код JWT просто инкапсулирован и содержит много контента, в статье размещаются только основные фрагменты. Если необходим полный код, вы можете напрямую получить его из следующего GIT

Код этой главы (battcn-jwt-service): http://xiazai.vevb.com/201801/yuanma/battcn-cloud_jb51.rar

Выше всего содержание этой статьи. Я надеюсь, что это будет полезно для каждого обучения, и я надеюсь, что все будут поддерживать Wulin.com больше.

Связанные статьи