溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇內容介紹了“SpringCloud中Gateway實現鑒權的方法是什么”的有關知識,在實際案例的操作過程中,不少人都會遇到這樣的困境,接下來就讓小編帶領大家學習一下如何處理這些情況吧!希望大家仔細閱讀,能夠學有所成!
JWT一般用于實現單點登錄。單點登錄:如騰訊下的游戲有很多,包括lol,飛車等,在qq游戲對戰平臺上登錄一次,然后這些不同的平臺都可以直接登陸進去了,這就是單點登錄的使用場景。JWT就是實現單點登錄的一種技術,其他的還有oath3等。
我們之前已經搭建過了網關,使用網關在網關系統中比較適合進行權限校驗。
那么我們可以采用JWT的方式來實現鑒權校驗。
思路分析
1. 用戶進入網關開始登陸,網關過濾器進行判斷,如果是登錄,則路由到后臺管理微服務進行登錄
2. 用戶登錄成功,后臺管理微服務簽發JWT TOKEN信息返回給用戶
3. 用戶再次進入網關開始訪問,網關過濾器接收用戶攜帶的TOKEN
4. 網關過濾器解析TOKEN ,判斷是否有權限,如果有,則放行,如果沒有則返回未認證錯誤
簽發token
(1)創建類: JwtUtil
package com.mye.nacosprovider.jwt;
import com.alibaba.fastjson.JSON;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Component;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;
import java.util.Date;
import java.util.*;
@Component
public class JwtUtil {
//加密 解密時的密鑰 用來生成key
public static final String JWT_KEY = "IT1995";
/**
* 生成加密后的秘鑰 secretKey
* @return
*/
public static SecretKey generalKey() {
byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
return key;
}
public static String createJWT(String id, String subject, long ttlMillis){
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; //指定簽名的時候使用的簽名算法,也就是header那部分,jjwt已經將這部分內容封裝好了。
long nowMillis = System.currentTimeMillis();//生成JWT的時間
Date now = new Date(nowMillis);
SecretKey key = generalKey();//生成簽名的時候使用的秘鑰secret,這個方法本地封裝了的,一般可以從本地配置文件中讀取,切記這個秘鑰不能外露哦。它就是你服務端的私鑰,在任何場景都不應該流露出去。一旦客戶端得知這個secret, 那就意味著客戶端是可以自我簽發jwt了。
JwtBuilder builder = Jwts.builder() //這里其實就是new一個JwtBuilder,設置jwt的body
// .setClaims(claims) //如果有私有聲明,一定要先設置這個自己創建的私有的聲明,這個是給builder的claim賦值,一旦寫在標準的聲明賦值之后,就是覆蓋了那些標準的聲明的
.setId(id) //設置jti(JWT ID):是JWT的唯一標識,根據業務需要,這個可以設置為一個不重復的值,主要用來作為一次性token,從而回避重放攻擊。
.setIssuedAt(now) //iat: jwt的簽發時間
.setSubject(subject) //sub(Subject):代表這個JWT的主體,即它的所有人,這個是一個json格式的字符串,可以存放什么userid,roldid之類的,作為什么用戶的唯一標志。
.signWith(signatureAlgorithm, key);//設置簽名使用的簽名算法和簽名使用的秘鑰
if (ttlMillis >= 0) {
long expMillis = nowMillis + ttlMillis;
Date exp = new Date(expMillis);
builder.setExpiration(exp); //設置過期時間
}
return builder.compact(); //就開始壓縮為xxxxxxxxxxxxxx.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx這樣的jwt
}
public static Claims parseJWT(String jwt){
SecretKey key = generalKey(); //簽名秘鑰,和生成的簽名的秘鑰一模一樣
Claims claims = Jwts.parser() //得到DefaultJwtParser
.setSigningKey(key) //設置簽名的秘鑰
.parseClaimsJws(jwt).getBody();//設置需要解析的jwt
return claims;
}
public static void main(String[] args){
Map<String, Object> user = new HashMap<>();
user.put("username", "it1995");
user.put("password", "123456");
String jwt = createJWT(UUID.randomUUID().toString(), JSON.toJSONString(user), 3600 * 24);
System.out.println("加密后:" + jwt);
//解密
Claims claims = parseJWT(jwt);
System.out.println("解密后:" + claims.getSubject());
}
}(2)修改login方法,用戶登錄成功 則 簽發TOKEN
@PostMapping("/login")
public String login(@RequestBody User user){
//在redis中根據用戶名查找密碼
String password = redisTemplate.opsForValue().get(user.getUsername());
System.out.println(password);
boolean checkResult = BCrypt.checkpw(user.getPassword(), password);
if (checkResult){
Map<String, String> info = new HashMap<>();
info.put("username", user.getUsername());
String token = JwtUtil.createJWT(UUID.randomUUID().toString(), user.getUsername(), 3600L*1000);
info.put("token",token);
return JSONUtil.toJsonStr(info);
}else {
return "登錄失敗";
}
}(3) 測試
網關過濾器驗證token
(1)網關模塊添加依賴
<!--鑒權--> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency>
(2)創建JWTUtil類
package com.mye.nacosprovider.jwt;
import com.alibaba.fastjson.JSON;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Component;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;
import java.util.Date;
import java.util.*;
@Component
public class JwtUtil {
//加密 解密時的密鑰 用來生成key
public static final String JWT_KEY = "IT1995";
/**
* 生成加密后的秘鑰 secretKey
* @return
*/
public static SecretKey generalKey() {
byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
return key;
}
public static String createJWT(String id, String subject, long ttlMillis){
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; //指定簽名的時候使用的簽名算法,也就是header那部分,jjwt已經將這部分內容封裝好了。
long nowMillis = System.currentTimeMillis();//生成JWT的時間
Date now = new Date(nowMillis);
SecretKey key = generalKey();//生成簽名的時候使用的秘鑰secret,這個方法本地封裝了的,一般可以從本地配置文件中讀取,切記這個秘鑰不能外露哦。它就是你服務端的私鑰,在任何場景都不應該流露出去。一旦客戶端得知這個secret, 那就意味著客戶端是可以自我簽發jwt了。
JwtBuilder builder = Jwts.builder() //這里其實就是new一個JwtBuilder,設置jwt的body
// .setClaims(claims) //如果有私有聲明,一定要先設置這個自己創建的私有的聲明,這個是給builder的claim賦值,一旦寫在標準的聲明賦值之后,就是覆蓋了那些標準的聲明的
.setId(id) //設置jti(JWT ID):是JWT的唯一標識,根據業務需要,這個可以設置為一個不重復的值,主要用來作為一次性token,從而回避重放攻擊。
.setIssuedAt(now) //iat: jwt的簽發時間
.setSubject(subject) //sub(Subject):代表這個JWT的主體,即它的所有人,這個是一個json格式的字符串,可以存放什么userid,roldid之類的,作為什么用戶的唯一標志。
.signWith(signatureAlgorithm, key);//設置簽名使用的簽名算法和簽名使用的秘鑰
if (ttlMillis >= 0) {
long expMillis = nowMillis + ttlMillis;
Date exp = new Date(expMillis);
builder.setExpiration(exp); //設置過期時間
}
return builder.compact(); //就開始壓縮為xxxxxxxxxxxxxx.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx這樣的jwt
}
public static Claims parseJWT(String jwt){
SecretKey key = generalKey(); //簽名秘鑰,和生成的簽名的秘鑰一模一樣
Claims claims = Jwts.parser() //得到DefaultJwtParser
.setSigningKey(key) //設置簽名的秘鑰
.parseClaimsJws(jwt).getBody();//設置需要解析的jwt
return claims;
}
public static void main(String[] args){
Map<String, Object> user = new HashMap<>();
user.put("username", "it1995");
user.put("password", "123456");
String jwt = createJWT(UUID.randomUUID().toString(), JSON.toJSONString(user), 3600 * 24);
System.out.println("加密后:" + jwt);
//解密
Claims claims = parseJWT(jwt);
System.out.println("解密后:" + claims.getSubject());
}
}(3)創建過濾器,用于token驗證
/**
* 鑒權過濾器 驗證token
*/
@Component
public class AuthorizeFilter implements GlobalFilter, Ordered {
private static final String AUTHORIZE_TOKEN = "token";
@Override
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
//1. 獲取請求
ServerHttpRequest request = exchange.getRequest();
//2. 則獲取響應
ServerHttpResponse response = exchange.getResponse();
//3. 如果是登錄請求則放行
if (request.getURI().getPath().contains("/admin/login")) {
return chain.filter(exchange);
}
//4. 獲取請求頭
HttpHeaders headers = request.getHeaders();
//5. 請求頭中獲取令牌
String token = headers.getFirst(AUTHORIZE_TOKEN);
//6. 判斷請求頭中是否有令牌
if (StringUtils.isEmpty(token)) {
//7. 響應中放入返回的狀態嗎, 沒有權限訪問
response.setStatusCode(HttpStatus.UNAUTHORIZED);
//8. 返回
return response.setComplete();
}
//9. 如果請求頭中有令牌則解析令牌
try {
JwtUtil.parseJWT(token);
} catch (Exception e) {
e.printStackTrace();
//10. 解析jwt令牌出錯, 說明令牌過期或者偽造等不合法情況出現
response.setStatusCode(HttpStatus.UNAUTHORIZED);
//11. 返回
return response.setComplete();
}
//12. 放行
return chain.filter(exchange);
}
@Override
public int getOrder() {
return 0;
}
}(4)測試:
首先進行登錄測試
在進行鑒權測試
“SpringCloud中Gateway實現鑒權的方法是什么”的內容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業相關的知識可以關注億速云網站,小編將為大家輸出更多高質量的實用文章!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
