您当前的位置:首页 > 电脑百科 > 程序开发 > 架构

JWT+Interceptor实现无状态登录和鉴权

时间:2021-04-12 10:37:22  来源:cnblogs  作者:赐我白日梦

先提一下啥是有状态登录

单一Tomcat的情况下:编码的流程如下

  1. 前端提交表单里用户的输入的账号密码
  2. 后台接受,查数据库,
  3. 在数据库中找到用户的信息后,把用户的信息存放到session里面,返回给用户cookie
  4. 以后用户的请求都会自动携带着cookie去访问后台,后台根据用户的cookie辨识用户的身份

但是有缺点

  • 如果有千千万的用户都往session里面存放信息,
  • session很难跨服务器,也就是说,用户每次请求,都必须访问同一台tomcat,新的tomcat不认识用户的cookie

无状态登录

  • 对于服务端,不再保存任何用户的信息,对于他们来说,所有的用户地位平等
  • 对于用户,他们需要自己携带着信息去访问服务端,携带的信息可以被所有服务端辨认,所以,对于用户,所有的服务地位平等

具体如何实现呢?

  • 用户登录,服务端返回给用户的个人信息+token令牌
  • 前端为了自己使用方便,将用户的个人信息缓存进浏览器(因为后端只是给了他一个token)
  • 用户携带自己的token去访问服务端
  • 认证通过,把用户请求的数据返回给客户端
  • 以后不论用户请求哪个微服务,都携带着token
  • 微服务对token进行解密,判断他是否有效
JWT+Interceptor实现无状态登录和鉴权

 


JWT(Json Web Token)生成规则#

整个登录.授权.鉴权的过程token的安全性至关重要,而JWT就是一门有关于如何生成一个不可仿造的token的规范

他是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权,而且它不是技术,和语言无关,JAVA有对这个规范的实现 叫做 jjwt -- 点击进入jjwt的github项目

JWT+Interceptor实现无状态登录和鉴权

 

由JWT算法得到的token格式如上图,由头部,载荷,签名三部分组成

  • 头部
    由两部分组成,alg表示使用的加密算法 typ表示使用的token的类型
  • 载荷,存放用户相关的信息
Copy// 下面是它已经定义好的载荷部分key,也允许我们自定义载荷部分key
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
  • 第三部分的签名是由 头+载荷+盐 三部分加密组成

从图可以看出,头部和载荷被串改后,生成的编码会发生改变,因此保证了token的安全 ,还有,载荷部分可解密,因此不要往里面放入敏感的信息(比如密码 )

只要密钥不泄露,别人就无法伪造任何信息

jwt的交互过程

JWT+Interceptor实现无状态登录和鉴权

 

RSA非对称加密算算法

由美国麻 省理工 学院三 位学者 Riv est、Sh amir 及Adleman 研 究发 展出 一套 可是 际使用 的公 开金 秘密 码系 统,那 就是
RSA(Rivest-Shamir-Adleman)密码系统

jwt(是一种非对称加密算法) JWT不一定非要搭配RSA算法,但是拥有RSA算法公钥私钥的特性,会使我们的业务逻辑变得简单,做到校验变少

  • 对称加密,如AES(Advanced Encryption Standard) 高级加密标准
    • 基本原理:将明文分成N个组,然后使用密钥对各个组进行加密,形成各自的密文,最后把所有的分组密文进行合并,形成最终的密文。
    • 优势:算法公开、计算量小、加密速度快、加密效率高
    • 缺陷:双方都使用同样密钥,安全性得不到保证
  • 非对称加密,如RSA
    • 基本原理:同时生成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端
    • 私钥加密,持有私钥或公钥才可以解密
    • 公钥加密,持有私钥才可解密
    • 优点:安全,难以破解
    • 缺点:算法比较耗时
  • 不可逆加密,如MD5,SHA

使用JJWT实现JWT

JJWT(java json web token)

坐标

Copy<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

创建jwt令牌

token最终会颁发给前端,这时候就得去和前端的哥们商量它想要什么信息

Copy// 生成令牌,主要是用它生成载荷
JwtBuilder builder = Jwts.builder()
        // 设置头部,使用hs256加密, + key,也就是盐
        .signWith(SignatureAlgorithm.HS256,"changwu")
        // 添加载荷
        .setId("666") // 用户id
        .setSubject("张三") // 用户名
        .setExpiration(new Date(new Date().getTime()+60*1000)) // 过期时间
        .setIssuedAt(new Date())// 登录时间
        // 添加自定义的键值对
        .claim("role","admin"); 
System.out.println(builder.compact());

经过它处理的token长这个样子, 三部组成

CopyXXX.YYY.ZZZ

解析token

能成功解析出结果的前提是两次的盐是一样的才行

CopyClaims map = Jwts.parser().setSigningKey("changwu")
        .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI2NjYiLCJzdWIiOiLlvKDkuIkiLCJleHAiOjE1NjU2MTg1MjUsImlhdCI6MTU2NTYxODQ2NSwicm9sZSI6ImFkbWluIn0.GDVfLq-ehSnMCRoxVcziXkirjOg34SUUPBK5vAEHu80")
        .getBody();

System.out.println("用户id" + map.getId());
System.out.println("用户名" + map.getSubject());
System.out.println("token过期时间" + new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(map.getExpiration()));
System.out.println("用户登录时间" + new SimpleDateFormat("yyyy-MM-dd HH:mm:ss").format(map.getIssuedAt()));
System.out.println("用户的角色是:"+map.get("role"));

拦截器

注意哦,使用的是SpringMvc的拦截器,而不是Servlet的过滤器

拦截器的体系架构

JWT+Interceptor实现无状态登录和鉴权

 

在拦截器的体系中,我们常用的是上面的来两个

HandlerInterceptor: 是顶级接口如下:

JWT+Interceptor实现无状态登录和鉴权

 

虽然是接口, 但是拥有jdk8的特性,是默认的方法,所以允许我们挑选它的部分方法实现而不会报错

prehandler: 请求到达控制器之间被回调,可以在这里进行设置编码,安全控制,权限校验, 一般全部返回ture,表示放行

postHandler: 控制器处理请求之后生成了ModelAndView,但是未进行渲染,提供了修改ModelAndView的机会

afterCompletion: 返回给用户ModelAndView之后执行, 用于收尾工作

第二个是HandlerInterceptorAdapter如下图

JWT+Interceptor实现无状态登录和鉴权

 

这个适配器方法全是空实现,同样可以满足我们的需求,但是它同时实现了AsyncHandlerInterceptor,拥有了一个新的方法,afterConcrruentHandingStarted(request,response,handler)

这个方法会在Controller方法异步执行时开始执行, 而Interceptor的postHandle方法则是需要等到Controller的异步执行完才能执行

编码实现

其实到这里该如何做已经清晰明了

用户登录,授权

授权得很简单

  • 用户发送登录请求提交form表单
  • 后端根据用户名密码查询用户的信息
  • 把用户的信息封装进jwt的载荷部分
  • 返回给前端token

用户再次请求,鉴权

后台会有很多方法需要指定权限的人才能访问, 所谓鉴定权限,其实就是把前端放在请求头中的token信息解析出来,如果解析成功了,说明用户的合法的,否则就提示前端用户没有权限

把token从请求头中解析出来的过程,其实是在大量的重复性工作,所以我们放在拦截器中实现

使用拦截器两步走

第一步,继承HandlerInterAdapter,选择重写它的方法

  • 设计的逻辑,这个方法肯定要返回true, 因为后台的方法中肯定存在大量的不需要任何权限就能访问的方法
  • 所以这个方法的作用就是,解析出请求头中的用户的权限信息,重新放回到request中,
  • 这样每个需要进行权限验证的请求,就不需要再进行解析请求头,而是直接使用当前回调方法的处理结果
Copy@Component
public class RequestInterceptor extends HandlerInterceptorAdapter {

@Autowired
JwtUtil jwtUtil;

 // 在请求进入处理器之前回调这个方法
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
    // 获取请求头
String header = request.getHeader("Authorization");
// 请求头不为空进行解析
if (StringUtils.isNotBlank(header)) {
    // 按照我们和前端约定的格式进行处理
    if (header.startsWith("Bearer ")){
        // 得到令牌
        String token = header.substring(7);
        // 验证令牌
        try{ // 令牌的解析这里一定的try起来,因为它解析错误的令牌时,会报错
            // 当然你也可以在自定义的jwtUtil中把异常 try起来,这里就不用写了
            Claims claims = jwtUtil.parseJWT(token);
            String roles =(String) claims.get("roles");
            System.err.println("roles=="+roles);
            if (roles!=null&&"admin".equals(roles)){
                request.setAttribute("role_admin",token);
            }
            if (roles!=null&&"user".equals(roles)){
                request.setAttribute("role_user",token);
            }
        }catch (Exception e){
            throw new RuntimeException("令牌不存在");
        }
    }
}
    return true;
}
}

这样 控制器中的方法需要进行权限验证时,就免去了解析的麻烦,直接从request中获取即可

第二步,将拦截器注册进容器

Copy@Configuration
public class InterceptorConfig extends WebMvcConfigurationSupport {

@Autowired
RequestInterceptor requestInterceptor;

// 注册拦截器
protected void addInterceptors(InterceptorRegistry registry) {
    registry.addInterceptor(requestInterceptor)
            .addPathPatterns("/**")
            .excludePathPatterns("/user/login/**");
}
}

作者: 赐我白日梦

出处:
https://www.cnblogs.com/ZhuChangwu/p/11345098.html



Tags:无状态登录   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
先提一下啥是有状态登录单一tomcat的情况下:编码的流程如下 前端提交表单里用户的输入的账号密码 后台接受,查数据库, 在数据库中找到用户的信息后,把用户的信息存放到sessi...【详细内容】
2021-04-12  Tags: 无状态登录  点击:(278)  评论:(0)  加入收藏
▌简易百科推荐
为了构建高并发、高可用的系统架构,压测、容量预估必不可少,在发现系统瓶颈后,需要有针对性地扩容、优化。结合楼主的经验和知识,本文做一个简单的总结,欢迎探讨。1、QPS保障目标...【详细内容】
2021-12-27  大数据架构师    Tags:架构   点击:(3)  评论:(0)  加入收藏
前言 单片机开发中,我们往往首先接触裸机系统,然后到RTOS,那么它们的软件架构是什么?这是我们开发人员必须认真考虑的问题。在实际项目中,首先选择软件架构是非常重要的,接下来我...【详细内容】
2021-12-23  正点原子原子哥    Tags:架构   点击:(7)  评论:(0)  加入收藏
现有数据架构难以支撑现代化应用的实现。 随着云计算产业的快速崛起,带动着各行各业开始自己的基于云的业务创新和信息架构现代化,云计算的可靠性、灵活性、按需计费的高性价...【详细内容】
2021-12-22    CSDN  Tags:数据架构   点击:(10)  评论:(0)  加入收藏
▶ 企业级项目结构封装释义 如果你刚毕业,作为Java新手程序员进入一家企业,拿到代码之后,你有什么感觉呢?如果你没有听过多模块、分布式这类的概念,那么多半会傻眼。为什么一个项...【详细内容】
2021-12-20  蜗牛学苑    Tags:微服务   点击:(8)  评论:(0)  加入收藏
我是一名程序员关注我们吧,我们会多多分享技术和资源。进来的朋友,可以多了解下青锋的产品,已开源多个产品的架构版本。Thymeleaf版(开源)1、采用技术: springboot、layui、Thymel...【详细内容】
2021-12-14  青锋爱编程    Tags:后台架构   点击:(20)  评论:(0)  加入收藏
在了解连接池之前,我们需要对长、短链接建立初步认识。我们都知道,网络通信大部分都是基于TCP/IP协议,数据传输之前,双方通过“三次握手”建立连接,当数据传输完成之后,又通过“四次挥手”释放连接,以下是“三次握手”与“四...【详细内容】
2021-12-14  架构即人生    Tags:连接池   点击:(16)  评论:(0)  加入收藏
随着移动互联网技术的快速发展,在新业务、新领域、新场景的驱动下,基于传统大型机的服务部署方式,不仅难以适应快速增长的业务需求,而且持续耗费高昂的成本,从而使得各大生产厂商...【详细内容】
2021-12-08  架构驿站    Tags:分布式系统   点击:(23)  评论:(0)  加入收藏
本系列为 Netty 学习笔记,本篇介绍总结Java NIO 网络编程。Netty 作为一个异步的、事件驱动的网络应用程序框架,也是基于NIO的客户、服务器端的编程框架。其对 Java NIO 底层...【详细内容】
2021-12-07  大数据架构师    Tags:Netty   点击:(16)  评论:(0)  加入收藏
前面谈过很多关于数字化转型,云原生,微服务方面的文章。虽然自己一直做大集团的SOA集成平台咨询规划和建设项目,但是当前传统企业数字化转型,国产化和自主可控,云原生,微服务是不...【详细内容】
2021-12-06  人月聊IT    Tags:架构   点击:(23)  评论:(0)  加入收藏
微服务看似是完美的解决方案。从理论上来说,微服务提高了开发速度,而且还可以单独扩展应用的某个部分。但实际上,微服务带有一定的隐形成本。我认为,没有亲自动手构建微服务的经历,就无法真正了解其复杂性。...【详细内容】
2021-11-26  GreekDataGuy  CSDN  Tags:单体应用   点击:(35)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条