建议您结合Google登录ID提供程序实施“无状态”身份验证系统。
“使用JWT作为授权的载体,您可以通过简单地检查有效载荷中的到期是否尚未到期以及签名是否有效来无状态地验证用户是否已通过身份验证。”
乔纳坦·尼尔森(Jonatan Nilsson)
关于这个问题的一些很好的资源:
- https://www.jbspeakr.cc/purpose-jwt-stateless-authentication/
- https://auth0.com/blog/stateless-auth-for-stateful-minds/
总体思路是:
- 前端检索Google登录身份验证JWT令牌。
- 前端随每个HTTP请求发送JWT令牌(带有授权标头)
- 后端为每个请求检索JWT,验证其签名并获取有效负载属性(电子邮件,ID…)
- 然后,后端检查用户数据库中的“电子邮件”或“ id”以允许还是不允许请求。
后端是无状态的,并且易于实现。这种设计往往会成为云平台上的一种良好做法,例如,Google Cloud在其新产品中大量使用了这种设计:Cloud
Run
每个步骤的一些细节:
1)前端检索Google登录身份验证JWT令牌。
为此,您可以直接使用Google登录库,也可以使用ng-gapi在Angular中管理Google登录。
2)每个对后端的http调用都有一个授权标头,其中包含 从Google登录中检索的 JWT令牌 (id_token)。
您可以为此使用HttpInterceptor。
headers: { Authorization: Bearer ___JWT ID TOKEN___}请参阅MichaelKarén的使用Angular中的Interceptor的十大方法。
请注意,不要将Google JWT
Id_token存储在变量中。如果过期,它可能会刷新(由Google登录自动完成),因此,每次在HttpInterceptor中使用它时,都应使用一个新版本。
3)在Spring Boot中实现过滤器
对于每个请求,此安全过滤器都会
JWT ID TOKEN使用Google图书馆对其进行检索和验证。
NetHttpTransport transport = new NetHttpTransport();JsonFactory jsonFactory = new GsonFactory();GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) .setAudience(Collections.singletonList(clientId)) .build();GoogleIdToken idToken = GoogleIdToken.parse(verifier.getJsonFactory(), token);boolean tokenIsValid = (idToken != null) && verifier.verify(idToken);if (tokenIsValid) { GoogleIdToken.Payload payload = idToken.getPayload(); // Get profile information from payload payload.getEmail())......但是要小心,不要
GoogleIdTokenVerifier为每个请求创建一个
factory模式。此类将检索证书并自动对其进行缓存,以避免对Google服务器的无用请求。
一些资源: Google登录,通过后端服务器进行身份验证
