我要评论jwt(json web token)是一种开放标准(rfc 7519),用于在网络应用环境间安全地传递声明。它的主要用途是身份验证和信息交换。
在微服务架构中,jwt 作为认证机制非常常见,特别是与 api 网关结合使用时。
jwt 介绍
jwt 是由三部分组成的:
- header(头部):通常包含签名的算法信息(例如 hmac sha256 或 rsa)。
- payload(负载):包含声明(claims)。声明可以是关于实体(通常是用户)的信息,或者元数据。jwt 的负载部分是 base64 编码的。
- signature(签名):签名是用来验证 jwt 数据是否被篡改的。它通过将 header 和 payload 使用私钥加密生成,确保 jwt 的数据安全性和完整性。
微服务架构中的 jwt 使用
在微服务架构中,多个微服务通常会通过 http 请求进行交互。如果没有合适的认证机制,用户的身份验证信息可能会在多个服务之间重复验证,这不但增加了冗余,也降低了安全性。
jwt 在这种情况下非常有用,因为它能在用户登录时生成一个有效的 token,该 token 可以在不同的服务之间传递,而不需要每个服务都进行用户认证。
结合微服务网关的 jwt 验证
微服务网关(如 spring cloud gateway 或 nginx)在微服务架构中起到了流量管理、路由、负载均衡等作用。
jwt 与微服务网关结合时,网关通常扮演验证用户身份的角色。
具体的流程如下:
流程示例
- 用户登录:用户通过用户名和密码登录。后端服务会验证这些凭证,如果验证成功,则生成一个 jwt token 返回给前端。
- 前端保存 jwt:前端将 jwt 保存在客户端(如 localstorage 或 sessionstorage),并在后续的 api 请求中将其添加到 http 请求的 authorization 头中。
- 微服务网关验证 jwt:用户在每次请求时会将 jwt 发送到微服务网关。网关会验证 jwt 的有效性、签名、过期时间等。如果 jwt 合法,则网关将请求转发给目标微服务。
- 微服务接收请求:微服务通过网关接收到请求时,已经可以信任这个用户的身份,无需再进行身份验证。微服务可以从 jwt 的 payload 中提取用户信息来处理请求。
1. 用户登录,生成 jwt
public class jwtutil {
private static final string secret_key = "secret"; // 用于加密的秘钥
// 生成 jwt
public static string createjwt(string username) {
return jwts.builder()
.setsubject(username)
.setissuedat(new date()) // 设置发放时间
.setexpiration(new date(system.currenttimemillis() + 3600000)) // 设置过期时间,1小时
.signwith(signaturealgorithm.hs256, secret_key) // 使用 hmac-sha256 加密
.compact();
}
// 解析 jwt
public static claims parsejwt(string jwt) {
return jwts.parser()
.setsigningkey(secret_key)
.parseclaimsjws(jwt)
.getbody();
}
}2. 自定义过滤器来实现 jwt 的验证
@component
public class jwtauthenticationfilter implements gatewayfilter, ordered {
private static final string authorization_header = "authorization";
@override
public mono<void> filter(serverwebexchange exchange, gatewayfilterchain chain) {
string token = exchange.getrequest().getheaders().getfirst(authorization_header);
if (token == null || !token.startswith("bearer ")) {
return mono.error(new runtimeexception("unauthorized"));
}
try {
string jwt = token.substring(7); // 去掉 "bearer " 前缀
claims claims = jwtutil.parsejwt(jwt); // 解析 jwt
// 可以根据解析的 claims 来做进一步的验证或设置安全上下文
exchange.getrequest().mutate()
.header("user", claims.getsubject()) // 在请求头中设置用户信息
.build();
} catch (exception e) {
return mono.error(new runtimeexception("invalid token"));
}
return chain.filter(exchange); // 继续处理请求
}
@override
public int getorder() {
return -1; // 优先级,越小越优先
}
}3. 微服务中使用 jwt 数据
微服务从网关接收到请求时,可以直接从请求头中读取用户信息:
@restcontroller
@requestmapping("/user")
public class usercontroller {
@getmapping("/info")
public string getuserinfo(@requestheader("user") string username) {
// 使用 username 获取用户信息
return "hello, " + username;
}
}总结
通过将 jwt 和微服务网关结合使用,可以实现分布式系统中的统一身份验证。用户登录时通过 jwt 获取认证信息,网关负责验证 jwt 的有效性和用户身份,然后将请求转发到对应的微服务。微服务无需再验证用户身份,只需要从 jwt 中提取必要的用户信息进行业务处理。
这种方式有效地减少了重复认证的开销,同时提高了系统的安全性和可扩展性。
以上为个人经验,希望能给大家一个参考,也希望大家多多支持代码网。
发表评论