微服务鉴权

一般微服务鉴权都是放在网关里

微服务间调用鉴权 微服务 鉴权_加密方式

JWT令牌

  • JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递可靠的消息
  • 一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名

头部(Header)

  • 头部用于描述关于该JWT的最基本信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSNO对象
{"type":"JWT","alg":"HS256"}

载荷(playload)

  • 载荷就是存放有效信息的地方
    定义一个playload:
{"sub":"1234567890","name":"John Doe","admin":true}

然后将其进行base64加密,得到JWT的第二部分

签证(signature)

  • jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
    header(base64编码后的内容)
    payload(base64编码后的内容)
    secret(密钥)
    这个部分需要base64加密后的header和base64加密后的payload使用,连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了JWT的第三部分
eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI3ODciLCJzdWIiOiLoh7vlrp0iLCJpYXQiOjE1OTk3OTIyNTh9.qtu_OuNnJC95yz9eRwRKfg8Zz4P2PWVTI2-n9iUJoH0
    //之间用.隔开
    //头部.载荷.签证

JJWT签发与验证token

JJWT是一个提供端到消费端的JWT创建和验证的Java库。永远免费和开源(Apache License,版本2.0),JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它大部分的复杂性。

JWT令牌生成:

步骤:

  1. 导入依赖
<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
  1. 编码
//生成jwt令牌
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId("787")//设置jwt编码
                .setSubject("臻宝")//设置jwt主体
                .setIssuedAt(new Date())//设置jwt令牌的签发日期
                .signWith(SignatureAlgorithm.HS256, "qiyun");//设置加密方式为HS256,密钥为:qiyun

        //生成jwt
        String jwtToken = jwtBuilder.compact();
        System.out.println(jwtToken);

JWT令牌解析:

//解析JWT,得到内部的数据
        Claims qiyun = Jwts.parser().setSigningKey("qiyun")//给签名
                .parseClaimsJws(jwtToken)//解析jwt令牌
                .getBody();//得到内容
        System.out.println(qiyun);

设置JWT令牌设置过期时间

//获取系统当前时间
        long currentTimeMillis = System.currentTimeMillis();
        Date date = new Date(currentTimeMillis);

        //生成jwt令牌
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId("787")//设置jwt编码
                .setSubject("臻宝")//设置jwt主体
                .setIssuedAt(new Date())//设置jwt令牌的签发日期
                .setExpiration(date)//设置令牌过期时间
                .signWith(SignatureAlgorithm.HS256, "qiyun");//设置加密方式为HS256,密钥为:qiyun

自定义JWT令牌内容

//生成jwt令牌
        JwtBuilder jwtBuilder = Jwts.builder()
                .setId("787")//设置jwt编码
                .setSubject("臻宝")//设置jwt主体
                .setIssuedAt(new Date())//设置jwt令牌的签发日期
                .claim("zhizunbao","sunwukong")//自定义JWT令牌内容
                .claim("tpys","zhubajie")//自定义JWT令牌内容
                .signWith(SignatureAlgorithm.HS256, "qiyun");//设置加密方式为HS256,密钥为:qiyun