终✧章
- ☣SpringSecurity权限框架(终✧章)
- 一、JWT
- 1、常用的WEB集中认证机制
- 2、什么是JWT?
- ✧ 优点
- ✧ 缺点
- ✧ 整体三部分
- 3、JWT快速入门
- ① 引入依赖
- ② 编写测试类
- 二、Spring Security Oauth2 整合JWT
- 1、JWT整合(基于Oauth密码模式修改)
- ① 添加JWT配置文件
- ② 认证服务器配置中指定令牌的存储策略为JWT
- 2、扩展JWT中存储的内容
- ① 创建JwtPlus.java继承TokenEnhancer实现一个JWT内容增强器
- ② JwtConfig.java中增加配置
- ③ 在认证服务器配置中配置JWT的内容增强器
- 3、 Java中解析JWT中的内容
- 4、刷新令牌
- 三、 Spring Security Oauth2 整合单点登录(SSO)
- 1、创建客户端
- ①、引入依赖
- ②、application.properties配置
- ③、Controller层编写和启动类
- 2、服务端配置修改
- ①、修改权限授权配置AuthorizationServerConfig.java
一、JWT 1、常用的WEB集中认证机制
- ① HTTP Basic Auth:每次请求会把用户名密码透露处理,导致安全性很低,所以现在很少使用
- ② cookie Auth :有HTTP的缺点而诞生,配合Session,Session中保存用户名密码,cookie则负责保存SeesionID,cookie保存在客户端,默认在我们关闭客户端时自动删除
- ③ OAuth:一个开放的授权标准,使用令牌,不用用户名和密码来访问用户资源 缺点:过重
- ④ Token Auth:基于Token的身份验证,流程是:用户请求登录,服务器验证无误返回用户一个Token,Token会被存放起来,比如cookie中,当用户访问时,服务器就会验证Token,验证无误,则返回数据给用户。比第一种方式更安全,比第二种方式更节约服务器资源,比第三种方式更加轻量
2、什么是JWT?
JSON Web Token(JWT) 是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。
✧ 优点
- jwt基于json,非常方便解析。
- 可以在令牌中自定义丰富的内容,易扩展。
- 通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。
- 资源服务使用JWT可不依赖认证服务即可完成授权。
✧ 缺点
- JWT令牌较长,占存储空间比较大
✧ 整体三部分
头部:》》》
负载存放内容的地方,有公共生命,私有声明(这个指的就是自定义的claim)
标准中注册的声明:(建议不强制使用)
iss: jwt签发者 sub: jwt所面向的用户 aud: 接收jwt的一方 exp: jwt的过期时间,这个过期时间必须要大于签发时间 nbf: 定义在什么时间之前,该jwt都是不可用的. iat: jwt的签发时间 jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
提示:声明中不要放一些敏感信息。
签证:由 1.header (base64后的) 2. payload (base64后的) 3. secret(盐,一定要保密)组成
总的来说就是三者组合到一起,在进行加密得出相似如下的字符串: eyJhbGciOiJIUzI1NiIsInR9cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI 6I kpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.8HI- Lod0ncfVDnbKIPJJqLH998duF9DSDGkx3gRPNVI
注意: secret 是保存在服务器端的, jwt 的签发生成也是在服务器端的, secret 就是用来进行 jwt 的签发和 jwt 的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个 secret , 那就意味着客户端是可以自我签发 jwt 了
3、JWT快速入门 ① 引入依赖
② 编写测试类org.springframework.boot spring-boot-starter-parent 2.2.2.RELEASE io.jsonwebtoken jjwt 0.9.0 org.springframework.boot spring-boot-starter-web org.springframework.boot spring-boot-starter-test test org.junit.vintage junit-vintage-engine
Jwtest.java
public class Jwtest {
@Test
public void test(){
//设置有效时间
long time= System.currentTimeMillis()+60*1000*5;
//创建一个JwtBuilder对象
JwtBuilder jwtBuilder = Jwts.builder()
//声明的标识{"jti":"888"}
.setId("888")
//主体,用户{"sub":"Rose"}
.setSubject("Rose")
//创建日期{"ita":"yjxxtxx"}
.setIssuedAt(new Date())
//签名手段,参数1:算法,参数2:盐
.signWith(SignatureAlgorithm.HS256,"yjxxt")
//自定义内容
.claim("name","李四")
.claim("age",20)
//设置有效时间
.setExpiration(new Date(time));
//获取jwt的token
String token = jwtBuilder.compact();
System.out.println(token);
//三部分的base64解密 System.out.println("--------------------");
String[] split = token.split("\.");
System.out.println(base64Codec.base64.decodeToString(split[0]));
System.out.println(base64Codec.base64.decodeToString(split[1]));
//无法解密
System.out.println(base64Codec.base64.decodeToString(split[2]));
}
@Test public void testParseToken(){
//token
String token = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiJSb3NlIiwiaWF0IjoxNjM2MTY2NzQ1LCJuYW1lIjoi5p2O5ZubIiwiYWdlIjoyMCwiZXhwIjoxNjM2MTY3MDQ1fQ.8fAPDicsFGg7-wg7dVSQbhqVPYm9TTrOdhdwOpO1leE";
//MalformedJwtException代表token被修改过
//ExpiredJwtException代笔token已经失效
// 解析token获取负载中的声明对象
Claims claims = Jwts.parser()
.setSigningKey("yjxxt")
.parseClaimsJws(token)
.getBody();
//打印声明的属性
System.out.println("id:"+claims.getId());
System.out.println("subject:"+claims.getSubject());
System.out.println("issuedAt:"+claims.getIssuedAt());
System.out.println(claims.get("name"));
System.out.println(claims.get("age"));
}
}
Token,不能修改,一但有一点不一样则会报错,案例里还设置了有效时间,一旦过期也会报错,还有自定义内容claim()的添加
二、Spring Security Oauth2 整合JWT 1、JWT整合(基于Oauth密码模式修改) ① 添加JWT配置文件
JwtConfig .java
@Configuration
public class JwtConfig {
@Bean
public TokenStore jwtTokenStore(){
return new JwtTokenStore(jwtAccessTokenConverter());
}
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter(){
JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();
//配置JWT使用的秘钥
accessTokenConverter.setSigningKey("ailike");
return accessTokenConverter;
}
}
② 认证服务器配置中指定令牌的存储策略为JWT
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
@Autowired
private PasswordEncoder passwordEncoder;
@Autowired
private AuthenticationManager authenticationManager;//认证管理器
@Resource
private UserService userService;
@Autowired
@Qualifier("jwtTokenStore") //预选
private TokenStore tokenStore;
@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter;//Jwt 访问令牌转换器
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
endpoints.authenticationManager(authenticationManager)
.userDetailsService(userService)
//配置存储令牌策略
.tokenStore(tokenStore)
.accessTokenConverter(jwtAccessTokenConverter);
}
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
//配置client_id
.withClient("admin")
//配置client-secret
.secret(passwordEncoder.encode("112233"))
//配置redirect_uri,用于授权成功后跳转
.redirectUris("http://www.baidu.com")
//配置申请的权限范围
.scopes("all")
//配置grant_type,表示授权类型
.authorizedGrantTypes("authorization_code","password");
}
}
使用密码模式测试:
拿令牌到jwt.io官网解密:
2、扩展JWT中存储的内容 ① 创建JwtPlus.java继承TokenEnhancer实现一个JWT内容增强器
public class JwtPlus implements TokenEnhancer {
@Override
public OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {
Map info = new HashMap<>();
info.put("enhance","enhance info");
((DefaultOAuth2AccessToken)accessToken)
.setAdditionalInformation(info);
return accessToken;
}
}
② JwtConfig.java中增加配置
//配置对象
@Bean
public JwtPlus jwtTokenEnhancer() {
return new JwtPlus();
}
③ 在认证服务器配置中配置JWT的内容增强器
@Autowired
private JwtPlus jwtPlus;
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
TokenEnhancerChain enhancerChain = new TokenEnhancerChain();
List delegates = new ArrayList<>();
//配置JWT的内容增强器
delegates.add(jwtPlus);
delegates.add(jwtAccessTokenConverter);
enhancerChain.setTokenEnhancers(delegates);
endpoints.authenticationManager(authenticationManager)
.userDetailsService(userService)
//配置存储令牌策略
.tokenStore(tokenStore)
.accessTokenConverter(jwtAccessTokenConverter)
.tokenEnhancer(enhancerChain);
}
密码模式方式进行测试:
3、 Java中解析JWT中的内容
修改Controller层,使用jjwt工具类来解析Authorization头中存储的JWT内容。
@RequestMapping("user")
@Controller
public class UserController {
//返回当前用户的信息
@GetMapping("getCurrentUser")
@ResponseBody
public Object getCurrentUser(Authentication authentication){
return authentication.getPrincipal();
}
@GetMapping("getParsing")
@ResponseBody
public Object getParsing(Authentication authentication,HttpServletRequest request){
String header = request.getHeader("Authorization");
String token = header.substring(header.indexOf("bearer") + 7);
return Jwts.parser()
.setSigningKey("ailike".getBytes(StandardCharsets.UTF_8))
.parseClaimsJws(token)
.getBody();
}
}
将令牌放入Authorization头中,访问如下地址获取信息:访问http://localhost:8080/user/getParsing
先获取Token
添加至请求头中,再次发送进行解析
4、刷新令牌
在Spring Cloud Security 中使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。
只需修改认证服务器的配置,添加refresh_token的授权模式即可。
AuthorizationServerConfig.java增加权限模式
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
//配置client_id
.withClient("admin")
//配置client-secret
.secret(passwordEncoder.encode("112233"))
//配置访问token的有效期
.accessTokenValiditySeconds(3600)
//配置刷新token的有效期
.refreshTokenValiditySeconds(86400)
//配置redirect_uri,用于授权成功后跳转
.redirectUris("http://www.baidu.com")
//配置申请的权限范围
.scopes("all")
//配置grant_type,表示授权类型
.authorizedGrantTypes("authorization_code","password","refresh_token");
}
获取令牌测试:
三、 Spring Security Oauth2 整合单点登录(SSO)
这里使用的方法是服务端和客户端,服务端就用上面的配置即可,下面我们创建一个新项目作为客户端
1、创建客户端 ①、引入依赖4.0.0 com.yjxxt.sso SpringSecuritySSO 1.0-SNAPSHOT SpringSecuritySSO http://www.example.com UTF-8 11 11 Greenwich.SR2 org.springframework.boot spring-boot-starter-parent 2.2.2.RELEASE org.springframework.cloud spring-cloud-dependencies ${spring-cloud.version} pom import org.springframework.cloud spring-cloud-starter-oauth2 org.springframework.cloud spring-cloud-starter-security org.springframework.boot spring-boot-starter-web org.springframework.boot spring-boot-starter-test test io.jsonwebtoken jjwt 0.9.0 org.springframework.boot spring-boot-starter-test test org.junit.vintage junit-vintage-engine org.springframework.boot spring-boot-maven-plugin
②、application.properties配置
server.port=8081
#防止cookie冲突,冲突会导致登录验证不通过
server.servlet.session.cookie.name=OAUTH2-CLIENT-SESSIONID01
#授权服务器地址
oauth2-server-url: http://localhost:8080
#与授权服务器对应的配置
security.oauth2.client.client-id=admin
security.oauth2.client.client-secret=112233
security.oauth2.client.user-authorization-uri=${oauth2-server-url}/oauth/authorize
security.oauth2.client.access-token-uri=${oauth2-server-url}/oauth/token
security.oauth2.resource.jwt.key-uri=${oauth2-server-url}/oauth/token_key
③、Controller层编写和启动类
@RestController
@RequestMapping("/user")
public class UserController {
@GetMapping("/getCurrentUser")
public Object getCurrentUser(Authentication authentication) {
return authentication;
}
}
Start.java
@SpringBootApplication
@EnableOAuth2Sso
public class Start {
public static void main(String[] args) {
SpringApplication.run(Start.class, args);
}
}
2、服务端配置修改
别搞错了,是修改服务端,别改客户端~
①、修改权限授权配置AuthorizationServerConfig.java @Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()
//配置client_id
.withClient("admin")
//配置client-secret
.secret(passwordEncoder.encode("112233"))
//配置访问token的有效期
.accessTokenValiditySeconds(3600)
//配置刷新token的有效期
.refreshTokenValiditySeconds(86400)
//配置redirect_uri,用于授权成功后跳转
//.redirectUris("http://www.baidu.com")
//单点登录时配置
.redirectUris("http://localhost:8081/login")
//自动授权配置
.autoApprove(true)
//配置申请的权限范围
.scopes("all")
//配置grant_type,表示授权类型
.authorizedGrantTypes("authorization_code","password","refresh_token");
}
@Override
public void configure(AuthorizationServerSecurityConfigurer security) {
// 获取密钥需要身份认证,使用单点登录时必须配置
security.tokenKeyAccess("isAuthenticated()");
}
服务端和客户端同时启动测试口http://localhost:8081/user/getCurrentUser
什么是单点登录,比如网页浏览京东,当我们打开一个不同功能页面,都是一个独立的小项目模块,都有独立的tomcat支撑其运行,当我们在不不同页面下单需要登录时,则这些服务器都会跳转一个专门登录的模块,无论是哪个模块,登录都会来这里登录,这便是单点登录。
