Spring Security 分佈式認證

原創 爱游戏爱动漫的肥宅 2020-07-03 05:34

目錄標題

相關介紹

1)JWT
JWT:全稱 JSON Web Token,是一個分佈式身份校驗方案,可生產 token,也可解析 token
JWT生成的 token 由三部分組成:

  • 頭部:主要設置一些規範信息,簽名部分的編碼格式就在頭部聲明
  • 載荷:token 中存放有效信息的部分。比如用戶名、角色、過期時間等,切記不要放密碼,會泄露
  • 簽名:將頭部與載荷分別採用base64編碼後,用“.”相連,再加入鹽,最後使用頭部聲明的編碼類型進行編碼,就得到了簽名。

2)RSA 非對稱加密
基本原理:同時生成兩把密鑰(公鑰和私鑰),私鑰隱祕保存,公鑰可發放給信任的客戶端

  • 私鑰加密:持有私鑰或公鑰可解密
  • 公鑰加密:持有私鑰纔可解密

優點:安全,難以破解
缺點:算法耗時,但可以接受

3)項目說明
在這裏插入圖片描述

以下只貼關鍵代碼,需要完整代碼見本文末尾 github 鏈接

公共模塊

1)首先創建一個父工程,把其中 src 目錄刪除,添加 pom 依賴,主要添加 springboot 依賴


    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.0.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>

2)在該工程下創建子模塊----公共模塊
該模塊放了一些 JWT 和 RSA 的工具類,因此需要加入 jwt 和 json 相關的依賴

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <parent>
        <artifactId>springsecurity_jwt_parent</artifactId>
        <groupId>com.xiao</groupId>
        <version>0.0.1-SNAPSHOT</version>
    </parent>
    <modelVersion>4.0.0</modelVersion>

    <artifactId>common_module</artifactId>


    <dependencies>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-api</artifactId>
            <version>0.11.1</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-impl</artifactId>
            <version>0.11.1</version>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-jackson</artifactId>
            <version>0.11.1</version>
            <scope>runtime</scope>
        </dependency>

        <dependency>
            <groupId>com.fasterxml.jackson.core</groupId>
            <artifactId>jackson-databind</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-logging</artifactId>
        </dependency>
        <dependency>
            <groupId>joda-time</groupId>
            <artifactId>joda-time</artifactId>
            <version>2.10.5</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
        </dependency>
    </dependencies>
</project>

具體工具類見源碼>>源碼

認證模塊

1)認證模塊,主要對用戶信息進行校驗並生成 token。也算是一個完整的項目,需要實體類(用戶信息、角色信息)、service 、mapper等。
這些類的代碼可以參考《Spring Security 簡單認證與授權

2)配置文件

rsa:
  key:
    private-key-path: G:\temp\authRsa\rsa_id_key
    public-key-path: G:\temp\authRsa\rsa_id_key.pub

這個密鑰文件可以通過工具類的 密鑰生成方法生成,代碼在公共模塊的測試類中

3)JWT 的認證和驗證 過濾器

public class JwtLoginFilter extends UsernamePasswordAuthenticationFilter {
	//過濾器不放到容器中,無法直接注入,需通過構造器傳入
    private AuthenticationManager authenticationManager;
    private RsaKeyProperties rsaKeyProperties;

    public JwtLoginFilter(AuthenticationManager authenticationManager, RsaKeyProperties rsaKeyProperties){
        this.authenticationManager = authenticationManager;
        this.rsaKeyProperties = rsaKeyProperties;
    }

	//認證邏輯
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException {

        try {
        	//從請求中獲取用戶信息
            SysUser sysUser = new ObjectMapper().readValue(request.getInputStream(), SysUser.class);
            UsernamePasswordAuthenticationToken authRequest =
                    new UsernamePasswordAuthenticationToken(sysUser.getUsername(), sysUser.getPassword());
            return authenticationManager.authenticate(authRequest);
        } catch (IOException e) {
        	//認證失敗,返回失敗信息
            response.setContentType("application/json;charset=utf-8");
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            try {
                PrintWriter writer = response.getWriter();
                Map resultMap = new HashMap<>();
                resultMap.put("code",HttpServletResponse.SC_UNAUTHORIZED);
                resultMap.put("msg", "用戶名或密碼錯誤!");
                writer.write(new ObjectMapper().writeValueAsString(resultMap));
                writer.flush();
                writer.close();
            }catch(Exception ex) {
                ex.printStackTrace();
            }
            throw new RuntimeException(e);
        }

    }

	// 認證成功後,生成 token,返回 token
    public void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        SysUser sysUser = new SysUser();
        sysUser.setUsername(authResult.getName());  // 密碼是敏感信息,不放到頭部
        sysUser.setRoles((List<SysRole>) authResult.getAuthorities());
        String token = JwtUtils.generateTokenExpireInMinutes(sysUser, rsaKeyProperties.getPrivateKey(), 24 * 60);
        response.addHeader("Authorization", "Bearer " + token);
        response.setContentType("application/json;charset=utf-8");
        response.setStatus(HttpServletResponse.SC_OK);
        try {
            PrintWriter writer = response.getWriter();
            Map resultMap = new HashMap<>();
            resultMap.put("code",HttpServletResponse.SC_OK);
            resultMap.put("msg", "認證通過!");
            writer.write(new ObjectMapper().writeValueAsString(resultMap));
            writer.flush();
            writer.close();
        }catch(Exception ex) {
            ex.printStackTrace();
        }
    }


}

//驗證token是否正確
public class JwtVerifyFilter extends BasicAuthenticationFilter {
    private RsaKeyProperties rsaKeyProperties;

    public JwtVerifyFilter(AuthenticationManager authenticationManager, RsaKeyProperties rsaKeyProperties) {
        super(authenticationManager);
        this.rsaKeyProperties = rsaKeyProperties;
    }

    public void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        String header = request.getHeader("Authorization");
        if(header == null || !header.startsWith("Bearer")){
            chain.doFilter(request, response);
            response.setContentType("application/json;charset=utf-8");
            response.setStatus(HttpServletResponse.SC_FORBIDDEN);
            PrintWriter writer = response.getWriter();
            Map resultMap = new HashMap<>();
            resultMap.put("code",HttpServletResponse.SC_FORBIDDEN);
            resultMap.put("msg", "請登錄!");
            writer.write(new ObjectMapper().writeValueAsString(resultMap));
            writer.flush();
            writer.close();
        }else {
            //攜帶了正確格式的token
            String token = header.replace("Bearer", "");
            //驗證token是否正確
            Payload<SysUser> payload = JwtUtils.getInfoFromToken(token, rsaKeyProperties.getPublicKey(), SysUser.class);
            //獲取到當前登錄用戶的信息
            SysUser userInfo = payload.getUserInfo();
            if(userInfo != null) {
                UsernamePasswordAuthenticationToken authResult = new UsernamePasswordAuthenticationToken(userInfo.getUsername(), "", userInfo.getAuthorities());
                SecurityContextHolder.getContext().setAuthentication(authResult);
                chain.doFilter(request, response);
            }
        }

    }

}

4)配置類主要需要配置 RSA 和 springsecurity
從配置文件綁定屬性到實體類中

@ConfigurationProperties(prefix = "rsa.key")
public class RsaPath {
    private String publicKeyPath;
    private String privateKeyPath;

    public String getPublicKeyPath() {
        return publicKeyPath;
    }

    public void setPublicKeyPath(String publicKeyPath) {
        this.publicKeyPath = publicKeyPath;
    }

    public String getPrivateKeyPath() {
        return privateKeyPath;
    }

    public void setPrivateKeyPath(String privateKeyPath) {
        this.privateKeyPath = privateKeyPath;
    }

}

@Component
public class RsaKeyProperties {

    @Autowired
    RsaPath rsaPath;

    private PublicKey publicKey;
    private PrivateKey privateKey;

    @PostConstruct     //該註釋確保publicKeyPath和privateKeyPath都有值後才執行該方法
    public void getRsaKey() throws Exception {
        System.out.println(rsaPath.getPublicKeyPath());
        publicKey = RsaUtils.getPublicKey(rsaPath.getPublicKeyPath());
        privateKey = RsaUtils.getPrivateKey(rsaPath.getPrivateKeyPath());
    }

    public PublicKey getPublicKey() {
        return publicKey;
    }

    public void setPublicKey(PublicKey publicKey) {
        this.publicKey = publicKey;
    }

    public PrivateKey getPrivateKey() {
        return privateKey;
    }

    public void setPrivateKey(PrivateKey privateKey) {
        this.privateKey = privateKey;
    }
}

@Configuration
@EnableWebSecurity
public class SpringsecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private SysUserService userService;
    @Autowired
    private RsaKeyProperties rsaKeyProperties;

    //配置加密
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder(); //spring security 內置加密算法
    }

    //認證用戶的來源
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
    }

    //Spring Security配置
    public void configure(HttpSecurity hs) throws Exception {
        hs.csrf()
            .disable()
            .authorizeRequests()
            .antMatchers("/**").hasAnyRole("NORMAL")
            .anyRequest().authenticated()

            .and()  //綁定過濾器
            .addFilter(new JwtLoginFilter(super.authenticationManager(), rsaKeyProperties))
            .addFilter(new JwtVerifyFilter(super.authenticationManager(), rsaKeyProperties))
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); //分佈式不需要session
    }
}

5)測試
使用 postman 進行測試(用到的數據庫數據可參考上一篇《Spring Security 簡單認證與授權》)
登錄認證 > 攜帶返回的 token 訪問資源
在這裏插入圖片描述

在這裏插入圖片描述

資源模塊

該模塊大部分內容與認證模塊相同。該模塊不能放置私鑰,所以需要把跟私鑰相關的信息刪除即可。跟認證的邏輯有關的內容也要刪除,因爲該模塊不需要用戶登錄,只校驗其攜帶的 token。

該模塊主要是需要校驗請求攜帶的 token 是否有效,有效則允許訪問資源,否則拒絕訪問。

具體代碼可參考源碼

測試
無需進行登錄,把剛剛在認證模塊返回的、還未失效的 token 拿過來去請求訪問資源即可。

本項目 github 地址:https://github.com/godXiaogf/springsecurity_jwt_parent_idea

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

敲敲雲與JeecgBoot、明道雲、簡道雲 等低代碼平臺對比,那個更好用?

敲敲雲、JeecgBoot、明道雲和簡道雲都是目前市場上比較受歡迎的產品,它們都提供了一些相似的功能,但也有一些不同之處。下面將對這四款產品進行對比。 功能特點 敲敲雲 敲敲雲是一款雲端APaaS零代碼平臺,幫助企業快速搭建個性化業務應

原創 2023-11-02 01:59:58

Github Star 36.2K的開源低代碼平臺推薦—JeecgBoot

一、什麼是低代碼開發平臺呢? 低代碼的含義是少寫代碼並不是不寫代碼,面向的用戶羣體還是編程人員,傳統的快速開發平臺、在線開發平臺、OA辦公系統 都可以稱爲低代碼平臺,那他是怎麼幫助你少寫代碼的呢,往下看! 低代碼有哪些節省代碼的技巧 1、在

原創 2023-10-31 01:16:31

最新版Spring Security 中的路徑匹配方案!

@[toc] Spring Security 是一個功能強大且可高度定製的安全框架,它提供了一套完整的解決方案,用於保護基於 Spring 的應用程序。在 Spring Security 中,路徑匹配是權限控制的核心部分,它決定了哪些請求可

原創 2024-04-22 12:14:28

Higress 全新 Wasm 運行時,性能大幅提升

本文作者: 澄潭,阿里雲 API 網關軟件工程師,Higress 開源項目主要貢獻者 何良,Intel Web Platform Engineering 軟件工程師,WAMR 開源項目主要貢獻者 本文介紹 Higress 將 Wasm 插件

原創 2024-04-15 21:12:23

雲原生最佳實踐系列 6:MSE 雲原生網關使用 JWT 進行認證鑑權

方案概述 MSE 網關可以爲後端服務提供轉發路由能力,在此基礎上,一些敏感的後端服務需要特定認證授權的用戶才能夠訪問。MSE 雲原生網關致力於提供給雲上用戶體系化的安全解決方案,其中 JWT 認證能力是在 Json Web Token 這種

原創 2024-04-01 21:12:23

雲原生最佳實踐系列 7:基於 OSS Object FC 實現非結構化文件實時處理

方案概述 現在絕大多數客戶都有很多非結構化的數據存在 OSS 中,以圖片,視頻,音頻居多。舉一個圖片處理的場景,現在各種終端種類繁多,不同的終端對圖片的格式、分辨率要求也不同,所以一張圖片往往會有很多張衍生圖,那如果所有的衍生圖都存在 OS

原創 2024-04-01 21:12:15

百萬併發,API 網關抗住了亞運會流量高峯

1.背景 2023 年杭州亞運會給大家留下了美好的回憶,當時各種線上線下的活動和賽事也將如火如荼地展開,與亞運會相關的應用和服務迎來流量高峯。作爲亞運會所有核心流量的入口,阿里雲 API 網關的重要性不言而喻。爲了確保 API 網關能夠穩

原創 2024-02-23 00:45:31

Java 21 虛擬線程如何限流控制吞吐量

虛擬線程(Virtual Threads)是 Java 21 所有新特性中最爲吸引人的內容,它可以大大來簡化和增強Java應用的併發性。但是,隨着這些變化而來的是如何最好地管理此吞吐量的問題。本文,就讓我們看一下開發人員在使用虛擬線程時,應

原創 2024-02-20 21:55:41

2023年度,最受人歡迎的低代碼開發平臺大盤點

什麼是低代碼? 現在很多產品都叫低代碼,實質上並不是低代碼產品,這給大家造成了很大誤區! 我覺得低代碼產品必須擁有完善的工作流模塊、流程設計引擎、表單設計引擎、大屏設計引擎、報表設計器、儀表盤設計、門戶設計、APP設計等低代碼組件。可以通過

原創 2023-10-13 01:06:41

Dubbo 3.3.0-beta 版本正式發佈

近日,Apache Dubbo 發佈了 3.3 分支大版本 3.3.0-beta.1,相較於 3.2 系列版本,3.3.0-beta 引入了一些重量級的功能升級,按照社區規劃,3.3 也將是 Dubbo3 非常重要的一個里程碑大版本,在 3

原創 2023-12-19 01:05:01

[翻譯]Spring Boot 中的測試

原文地址:https://www.baeldung.com/spring-boot-testing 1 概覽 在這個教程中,我們會帶你看看如果使用 Spring Boot 中的框架編寫測試用例。內容會覆蓋單元測試,也會有在執行測試用例

原創 2023-12-12 22:54:09

JeecgBoot官方已經推出了SpringBoot 3分支(支持jdk17和springboot3)

總有人問JeecgBoot何時支持jdk17和springboot3,目前官方已經推出了SpringBoot 3分支,大家可以提前下載體驗 https://github.com/jeecgboot/jeecg-boot/tree/sprin

原創 2023-12-06 02:19:10

docker compose部署springboot+mysql

1、宿主機爲安裝了ubuntu22.04系統的虛擬機。docker和docker-compose的安裝過程略過。 2、先看下項目結構: 項目爲普通的springboot項目,只有一個測試接口,功能是從數據庫表裏查詢數據。 Dockerfi

原創 2023-11-22 03:34:18

哪一個更好?Spring boot還是Node.js

前言 本篇文章有些與衆不同,由於我自己手頭有些關於這個主題的個人經驗,受其啓發寫出此文。雖然SpringBoot和Node.js服務於很不一樣的場景,但是這兩個框架共性驚人。其實每種語言都有不計其數的框架,但僅僅一部分是真正卓越的。如果咱們

原創 2023-10-26 22:45:27

常見的安全漏洞

跨站腳本攻擊(XSS) 存儲型XSS攻擊 常見的就是富文本編輯器保存的html,需要到頁面上渲染,如果保存了釣魚網站的超鏈接,或者惡意引導,則渲染時會觸發xss攻擊。 反射型XSS攻擊 DOM型XSS攻擊 CSP(content secur

原創 2023-12-15 12:55:35