接着上一篇博客:https://www.cnblogs.com/wwjj4811/p/14505081.html
JWT介绍
JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名,防止被篡改
构成
JWT 有三部分构成:头部、有效载荷、签名
-
头部:包含令牌的类型(JWT)与加密的签名算法(如 SHA256 或 ES256),Base64编码后加入第一部分
-
有效载荷:通俗一点讲就是token中需要携带的信息都将存于此部分,比如:用户id、权限标识等信息。
注:该部分信息任何人都可以读出来,所以添加的信息需要加密才会保证信息的安全性
-
签名:用于防止 JWT 内容被篡改, 会将头部和有效载荷分别进行 Base64编码,编码后用.连接组成新的字符串,然后再使用头部声明的签名算法进行签名。在具有秘钥的情况下,可以验证JWT的准确性,是否被篡改
认证服务器-对称加密 JWT 令牌
对称加密就是同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
JWT 管理令牌
1.重构 com.wj.oauth2.server.config.TokenConfig 将令牌存储方式切换为 JWT
@Configuration
public class TokenConfig {
@Bean
public TokenStore tokenStore(){
//jwt管理令牌
return new JwtTokenStore(jwtAccessTokenConverter());
}
// JWT 签名秘钥
private static final String SIGNING_KEY = "wj-key";
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter(){
JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);
return jwtAccessTokenConverter;
}
}
JWT转换器添加到令牌端点
修改AuthorizationServerConfig类:
@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter;
/**
* 重写父类的方法
*/
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
//密码模式需要设置此认证管理器
endpoints.authenticationManager(authenticationManager);
// 刷新令牌获取新令牌时需要
endpoints.userDetailsService(customUserDetailsService);
//设置token存储策略
endpoints.tokenStore(tokenStore).accessTokenConverter(jwtAccessTokenConverter);
//授权码管理策略,针对授权码模式有效,会将授权码放到 auth_code 表,授权后就会删除它
endpoints.authorizationCodeServices(authorizationCodeServices());
}
测试
使用密码授权模式获取access_token,发现access_token已经响应为jwt令牌
检查 JWT 令牌:http://localhost:8090/auth/oauth/check_token,已经包含了用户基本信息
资源服务器-对称加密 JWT 令牌
在 JwtAccessTokenConverter 中使用了一个对称密钥来签署我们的令牌,意味着我们需要为资源服务器使用同样的密钥来验证签名合法性。
JWT 管理令牌
这部分与认证服务器令牌配置是一样的, 将 JWT 令牌部分拷贝到cloud-oauth2-resource-product中的com.wj.oauth2.resource.config 包下即可.
@Configuration
public class TokenConfig {
@Bean
public TokenStore tokenStore(){
//jwt管理令牌
return new JwtTokenStore(jwtAccessTokenConverter());
}
// JWT 签名秘钥
private static final String SIGNING_KEY = "wj-key";
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter(){
JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
jwtAccessTokenConverter.setSigningKey(SIGNING_KEY);
return jwtAccessTokenConverter;
}
}
资源服务器校验 JWT 令牌
修改ResourceServerConfig配置类:注释掉tokenService方法,并设置resources的tokenStore,就会自动本地校验jwt
@Configuration
// 标识为资源服务器, 所有发往当前服务的请求,都会去请求头里找token,找不到或验证不通过不允许访问
@EnableResourceServer
//开启方法级别权限控制
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
//配置当前资源服务器的ID
private static final String RESOURCE_ID = "product-server";
@Autowired
private TokenStore tokenStore;
/**当前资源服务器的一些配置, 如资源服务器ID **/
@Override
public void configure(ResourceServerSecurityConfigurer resources) {
// 配置当前资源服务器的ID, 会在认证服务器验证(客户端表的resources配置了就可以访问这个服务)
resources.resourceId(RESOURCE_ID)
// 实现令牌服务, ResourceServerTokenServices实例
.tokenStore(tokenStore);
}
/* @Bean
public ResourceServerTokenServices tokenService() {
// 资源服务器去远程认证服务器验证 token 是否有效
RemoteTokenServices service = new RemoteTokenServices();
// 请求认证服务器验证URL,注意:默认这个端点是拒绝访问的,要设置认证后可访问
service.setCheckTokenEndpointUrl("http://localhost:8090/auth/oauth/check_token");
// 在认证服务器配置的客户端id
service.setClientId("wj-pc");
// 在认证服务器配置的客户端密码
service.setClientSecret("wj-secret");
return service;
}*/
@Override
public void configure(HttpSecurity http) throws Exception {
http.sessionManagement()
//不创建session
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
//资源授权规则
.authorizeRequests()
.antMatchers("/product/**").hasAuthority("product")
//所有的请求对应访问的用户都要有all范围的权限
.antMatchers("/**").access("#oauth2.hasScope('all')");
}
}
测试
密码认证模式先获取access_token,再通过 JWT令牌查询获取商品资源
为了安全性, JWT令牌每次请求获取令牌都是响应一个新令牌,因为里面已经包含用户信息, 而之前的是令牌在有效时间里每次请求都是响应一样的令牌。
认证服务器-非对称加密 JWT 令牌
非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用私钥对数据进行加密,只有用对应的公钥才能解密。
生成密钥证书
公私密钥可以用jdk的命令keytool生成:别名为 oauth2,秘钥算法为 RSA,秘钥口令为 oauth2,秘钥库(文件)名称为 oauth2.jks,秘钥库(文件)口令为 oauth2
keytool -genkeypair -alias oauth2 -keyalg RSA -keypass oauth2 -keystore oauth2.jks -storepass oauth2
生成后,在命令执行命令的所在目录下会有一个oauth2.jks文件
将该文件移动到认证服务的resources目录下:
非对称加密 JWT 令牌
修改认证服务的TokenConfig类:
@Configuration
public class TokenConfig {
@Bean
public TokenStore tokenStore(){
//return new JdbcTokenStore(dataSource);
//jwt管理令牌
return new JwtTokenStore(jwtAccessTokenConverter());
}
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter(){
JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
KeyStoreKeyFactory keyFactory = new KeyStoreKeyFactory(new ClassPathResource("oauth2.jks"), "oauth2".toCharArray());
jwtAccessTokenConverter.setKeyPair(keyFactory.getKeyPair("oauth2"));
return jwtAccessTokenConverter;
}
}
pom文件
修改认证服务的pom.xml
<build>
<resources>
<resource>
<!-- 防止JKS被maven错误解析 -->
<directory>src/main/resources</directory>
<filtering>false</filtering>
</resource>
</resources>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<version>2.2.4.RELEASE</version>
<configuration>
<mainClass>com.wj.oauth2.AuthServerApplication</mainClass>
</configuration>
</plugin>
</plugins>
</build>
因为有可能jks文件无法正确被maven解析,导致项目启动报错。
资源服务器-非对称加密 JWT 令牌
根据密钥文件获取公钥
OpenSSL 是一个加解密工具包,可以使用 OpenSSL 来获取公钥,下载网址:http://slproweb.com/products/Win32OpenSSL.html
安装完成后,配置openssl环境变量,即安装目录\bin
获取公钥
进入oauth2.jks所在目录执行命令:
keytool -list -rfc --keystore oauth2.jks | openssl x509 -inform pem -pubkey
复制出控制台打印出的内容到public.txt,并放到资源服务器的resources目录下(需要复制出public key的内容)
非对称加密 JWT 令牌
修改资源服务器的TokenConfig类:
@Slf4j
@Configuration
public class TokenConfig {
@Bean
public TokenStore tokenStore(){
//jwt管理令牌
return new JwtTokenStore(jwtAccessTokenConverter());
}
// JWT 签名秘钥
private static final String SIGNING_KEY = "wj-key";
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter(){
JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
ClassPathResource classPathResource = new ClassPathResource("public.txt");
String publicKey = null;
try {
publicKey=IOUtils.toString(classPathResource.getInputStream(),"UTF-8");
log.info("publicKey:{}" , publicKey);
} catch (IOException e) {
e.printStackTrace();
}
jwtAccessTokenConverter.setVerifierKey(publicKey);
return jwtAccessTokenConverter;
}
}
测试
先请求access_token令牌:发现比对称加密的字符数目多了不少
发送请求,仍然可以请求成功
