注册
登录
springboot
使用Spring Boot进行JWT身份验证
返回
使用Spring Boot进行JWT身份验证
作者:
真不错
发布时间:
2024-01-19 11:33:41 (6月前)
转自:
<div class =“excerpt”> 我正在开发一个使用微服务架构的Rest后端 <span class =“result-highlight”> SpringBoot </跨度> 。为了保护端点,我使用了JWT令牌机制。我正在使用Zuul API网关。 如果请求需要...... </DIV>
收藏
举报
2 条回复
0#
回复此人
拥有小太阳的向日葵
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 首先(如果我已经正确理解)安全实现是在代理上?因为代理必须只有两件事要做:过滤和路由...... </p> <P> 我的microservces应用程序流程,我已经实现了如下图所示: <a href="https://i.stack.imgur.com/LiGav.png" rel="nofollow noreferrer"> <img src =“https://i.stack.imgur.com/LiGav.png”alt =“在此处输入图片说明”/> </A> </p> <P> 流程应该是这样的: <a href="https://tools.ietf.org/html/rfc6749#page-7" rel="nofollow noreferrer"> https://tools.ietf.org/html/rfc6749#page-7 </A> </p> <P> 关于流程的简短介绍: </p> <OL> <LI> 登录时,您应该传递用户凭据 </LI> <LI> 如果请求具有上下文路径“/ security”(例如),则应将请求重定向到AuthServer(您决定安全性实现) <ol start =“3”> <LI> 如果用户传递可用凭据,则AuthServer必须返回access_token。 </LI> <LI> 拥有访问令牌,用户可以向AccountServices(资源服务)发出请求; </LI> </醇> </LI> </醇> <P> <EM> 在AccountServices中,您必须实现一个配置类来解码access_token并检查用户是否有权访问所请求的资源 </EM> </p> <P> 您也可以在这里找到关于在Spring中实现的OAuth2框架的优秀文档: <a href="http://projects.spring.io/spring-security-oauth/docs/oauth2.html" rel="nofollow noreferrer"> http://projects.spring.io/spring-security-oauth/docs/oauth2.html </A> </p> <P> 一些代码: </p> <OL> <LI> <P> 的<strong> 在AuthService上 </强> </p> <pre> <code> @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { public final static String RESOURCE_ID = "server-resource"; @Value("${jwt.publicKey}") private String publicKey; @Value("${jwt.privateKey}") private String privateKey; @Autowired private AuthenticationManager authenticationManager; @Bean public TokenStore tokenStore() { return new JwtTokenStore(accessTokenConverter()); } @Bean public JwtAccessTokenConverter accessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setVerifierKey(publicKey); converter.setSigningKey(privateKey); return converter; } @Bean public TokenEnhancer customTokenEnhancer() { return new CustomTokenEnhancer(); } @Override public void configure(ClientDetailsServiceConfigurer client) throws Exception { client.inMemory() .withClient("client") .secret("clientsecret") .scopes("read", "write") .resourceIds("user") .authorizedGrantTypes("password", "refresh_token", "authorization_code") .authorities("ROLE_TRUSTED_CLIENT") .accessTokenValiditySeconds(tokenExpire) // one day available .refreshTokenValiditySeconds(refreshExpire); } @Override public void configure(AuthorizationServerSecurityConfigurer server) throws Exception { server .tokenKeyAccess("hasAuthority('ROLE_TRUSTED_CLIENT')") .checkTokenAccess("hasAuthority('ROLE_TRUSTED_CLIENT')"); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints .tokenStore(tokenStore()) .authenticationManager(authenticationManager) .accessTokenConverter(accessTokenConverter()); } } </code> </pre> </LI> </醇> <P> 的<strong> 关于公钥和私钥: </强> 该 <EM> 私钥 </EM> 必须仅由AuthServer知道,并且必须在包括AuthService的任何服务中传递公钥。您可以在此处生成公钥和私钥: <a href="http://travistidwell.com/jsencrypt/demo/" rel="nofollow noreferrer"> http://travistidwell.com/jsencrypt/demo/ </A> 并添加这些键 <EM> application.yml </EM> 文件并传入配置类 <code> @Value </code> 。 </p> <ol start =“2”> <LI> <P> 的<strong> 在资源服务器上 </强> </p> <pre> <code> @Configuration @EnableResourceServer @EnableGlobalMethodSecurity(prePostEnabled = true) public class OAuth2ResourceServerConfiguration extends ResourceServerConfigurerAdapter { @Value("${jwt.publicKey}") private String publicKey; @Bean public TokenStore tokenStore() { return new JwtTokenStore(jwtAccessTokenConverter()); } @Bean protected JwtAccessTokenConverter jwtAccessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setVerifierKey(publicKey); return converter; } @Override public void configure(ResourceServerSecurityConfigurer resources) throws Exception { resources .tokenStore(tokenStore()) .resourceId("user"); } @Override public void configure(HttpSecurity http) throws Exception { http .csrf().disable() .authorizeRequests().antMatchers("/**").permitAll(); } } </code> </pre> </LI> </醇> <P> 您唯一需要做的就是为资源服务(AccountService)创建一个配置类来解码access_token并检查用户是否有ROLE来做某事......在这里你必须只传递 的<strong> 公钥 </强> 以同样的方式 <EM> application.yml </EM> 文件。 </p> <P> 关于 <code> @EnableGlobalMethodSecurity(prePostEnabled = true) </code> 您可以添加的注释 <code> @preauthorize </code> 控制器方法的注释。 </p> </DIV>
编辑
登录
后才能参与评论
