设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 单点登录解决方案,用这个真棒!
返回列表 发新帖
查看: 2225|回复: 0

单点登录解决方案,用这个真棒!

[复制链接]
Meng0f

251

主题

270

帖子

1797

积分

金牌会员

Rank: 6Rank: 6

积分
1797
发表于 2022-3-13 21:58:49 | 显示全部楼层 |阅读模式
单点登录解决方案,用这个真棒!
转载于:不加班程序员

​通过前面几天文章我们详细的介绍了SpringSecurity的使用,本文我们来看下,结合JWT来实现单点登录操作。
一、什么是单点登陆单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统
二、简单的运行机制单点登录的机制其实是比较简单的,用一个现实中的例子做比较。某公园内部有许多独立的景点,游客可以在各个景点门口单独买票。
对于需要游玩所有的景点的游客,这种买票方式很不方便,需要在每个景点门口排队买票,钱包拿 进拿出的,容易丢失,很不安全。
于是绝大多数游客选择在大门口买一张通票(也叫套票),就可以玩遍所有的景点而不需要重新再买票。他们只需要在每个景点门 口出示一下刚才买的套票就能够被允许进入每个独立的景点。
单点登录的机制也一样,如下图所示,

img
用户认证: 这一环节主要是用户向认证服务器发起认证请求,认证服务器给用户返回一个成功的令牌token,主要在认证服务器中完成,即图中的认证系统,注意认证系统只能有一个。
身份校验: 这一环节是用户携带token去访问其他服务器时,在其他服务器中要对token的真伪进行检验,主要在资源服务器中完成,即图中的应用系统2 3
三、JWT介绍概念说明
从分布式认证流程中,我们不难发现,这中间起最关键作用的就是token,token的安全与否,直接关系到系统的健壮性,这里我们选择使用JWT来实现token的生成和校验。
JWT,全称JSON Web Token,官网地址https://jwt.io,是一款出色的分布式身份校验方案。可以生成token,也可以解析检验token。
JWT生成的token由三部分组成:

           
  •         头部:主要设置一些规范信息,签名部分的编码格式就在头部中声明。

           
  •         载荷:token中存放有效信息的部分,比如用户名,用户角色,过期时间等,但是不要放密码,会泄露!

           
  •         签名:将头部与载荷分别采用base64编码后,用“.”相连,再加入盐,最后使用头部声明的编码类型进行编码,就得到了签名。

JWT生成token的安全性分析
从JWT生成的token组成上来看,要想避免token被伪造,主要就得看签名部分了,而签名部分又有三部分组成,其中头部和载荷的base64编码,几乎是透明的,毫无安全性可言,那么最终守护token安全的重担就落在了加入的盐上面了!
试想:如果生成token所用的盐与解析token时加入的盐是一样的。岂不是类似于中国人民银行把人民币防伪技术公开了?大家可以用这个盐来解析token,就能用来伪造token。这时,我们就需要对盐采用非对称加密的方式进行加密,以达到生成token与校验token方所用的盐不一致的安全效果!
非对称加密RSA介绍
基本原理: 同时生成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端

           
  •         私钥加密,持有私钥或公钥才可以解密

           
  •         公钥加密,持有私钥才可解密

优点: 安全,难以破解
缺点: 算法比较耗时,为了安全,可以接受
历史: 三位数学家Rivest、Shamir 和 Adleman 设计了一种算法,可以实现非对称加密。这种算法用他们三个人的名字缩写:RSA。
四、SpringSecurity整合JWT1.认证思路分析SpringSecurity主要是通过过滤器来实现功能的!我们要找到SpringSecurity实现认证和校验身份的过滤器!
回顾集中式认证流程
用户认证:使用UsernamePasswordAuthenticationFilter过滤器中attemptAuthentication方法实现认证功能,该过滤器父类中successfulAuthentication方法实现认证成功后的操作。
身份校验:使用BasicAuthenticationFilter过滤器中doFilterInternal方法验证是否登录,以决定能否进入后续过滤器。
分析分布式认证流程
用户认证:
由于分布式项目,多数是前后端分离的架构设计,我们要满足可以接受异步post的认证请求参数,需要修改UsernamePasswordAuthenticationFilter过滤器中attemptAuthentication方法,让其能够接收请求体。
另外,默认successfulAuthentication方法在认证通过后,是把用户信息直接放入session就完事了,现在我们需要修改这个方法,在认证通过后生成token并返回给用户。
身份校验:
原来BasicAuthenticationFilter过滤器中doFilterInternal方法校验用户是否登录,就是看session中是否有用户信息,我们要修改为,验证用户携带的token是否合法,并解析出用户信息,交给SpringSecurity,以便于后续的授权功能可以正常使用。
2.具体实现为了演示单点登录的效果,我们设计如下项目结构

img
2.1父工程创建
因为本案例需要创建多个系统,所以我们使用maven聚合工程来实现,首先创建一个父工程,导入springboot的父依赖即可
  1. <parent>
  2.     <groupId>org.springframework.boot</groupId>
  3.     <artifactId>spring-boot-starter-parent</artifactId>
  4.     <version>2.1.3.RELEASE</version>
  5.     <relativePath/>
  6. </parent>
复制代码

​2.2公共工程创建
然后创建一个common工程,其他工程依赖此系统

img
导入JWT相关的依赖

  1. <dependencies>
  2.     <dependency>
  3.         <groupId>io.jsonwebtoken</groupId>
  4.         <artifactId>jjwt-api</artifactId>
  5.         <version>0.10.7</version>
  6.     </dependency>
  7.     <dependency>
  8.         <groupId>io.jsonwebtoken</groupId>
  9.         <artifactId>jjwt-impl</artifactId>
  10.         <version>0.10.7</version>
  11.         <scope>runtime</scope>
  12.     </dependency>
  13.     <dependency>
  14.         <groupId>io.jsonwebtoken</groupId>
  15.         <artifactId>jjwt-jackson</artifactId>
  16.         <version>0.10.7</version>
  17.         <scope>runtime</scope>
  18.     </dependency>
  19.     <!--jackson包-->
  20.     <dependency>
  21.         <groupId>com.fasterxml.jackson.core</groupId>
  22.         <artifactId>jackson-databind</artifactId>
  23.         <version>2.9.9</version>
  24.     </dependency>
  25.     <!--日志包-->
  26.     <dependency>
  27.         <groupId>org.springframework.boot</groupId>
  28.         <artifactId>spring-boot-starter-logging</artifactId>
  29.     </dependency>
  30.     <dependency>
  31.         <groupId>joda-time</groupId>
  32.         <artifactId>joda-time</artifactId>
  33.     </dependency>
  34.     <dependency>
  35.         <groupId>org.projectlombok</groupId>
  36.         <artifactId>lombok</artifactId>
  37.     </dependency>
  38.     <dependency>
  39.         <groupId>org.springframework.boot</groupId>
  40.         <artifactId>spring-boot-starter-test</artifactId>
  41.     </dependency>
  42. </dependencies>
复制代码

​创建相关的工具类

img
Payload

  1. /**
  2. * @program: springboot-54-security-jwt-demo
  3. * @description:
  4. * @author: 波波烤鸭
  5. */
  6. @Data
  7. public class Payload <T>{
  8.     private String id;
  9.     private T userInfo;
  10.     private Date expiration;
  11. }
复制代码

JsonUtils
  1. package com.dpb.utils;

  3. import com.fasterxml.jackson.core.JsonProcessingException;
  4. import com.fasterxml.jackson.core.type.TypeReference;
  5. import com.fasterxml.jackson.databind.ObjectMapper;
  6. import org.slf4j.Logger;
  7. import org.slf4j.LoggerFactory;

  9. import java.io.IOException;
  10. import java.util.List;
  11. import java.util.Map;

  13. /**
  14. * @author: 波波烤鸭
  15. **/
  16. public class JsonUtils {

  18.     public static final ObjectMapper mapper = new ObjectMapper();

  20.     private static final Logger logger = LoggerFactory.getLogger(JsonUtils.class);

  22.     public static String toString(Object obj) {
  23.         if (obj == null) {
  24.             return null;
  25.         }
  26.         if (obj.getClass() == String.class) {
  27.             return (String) obj;
  28.         }
  29.         try {
  30.             return mapper.writeValueAsString(obj);
  31.         } catch (JsonProcessingException e) {
  32.             logger.error("json序列化出错:" + obj, e);
  33.             return null;
  34.         }
  35.     }

  37.     public static <T> T toBean(String json, Class<T> tClass) {
  38.         try {
  39.             return mapper.readValue(json, tClass);
  40.         } catch (IOException e) {
  41.             logger.error("json解析出错:" + json, e);
  42.             return null;
  43.         }
  44.     }

  46.     public static <E> List<E> toList(String json, Class<E> eClass) {
  47.         try {
  48.             return mapper.readValue(json, mapper.getTypeFactory().constructCollectionType(List.class, eClass));
  49.         } catch (IOException e) {
  50.             logger.error("json解析出错:" + json, e);
  51.             return null;
  52.         }
  53.     }

  55.     public static <K, V> Map<K, V> toMap(String json, Class<K> kClass, Class<V> vClass) {
  56.         try {
  57.             return mapper.readValue(json, mapper.getTypeFactory().constructMapType(Map.class, kClass, vClass));
  58.         } catch (IOException e) {
  59.             logger.error("json解析出错:" + json, e);
  60.             return null;
  61.         }
  62.     }

  64.     public static <T> T nativeRead(String json, TypeReference<T> type) {
  65.         try {
  66.             return mapper.readValue(json, type);
  67.         } catch (IOException e) {
  68.             logger.error("json解析出错:" + json, e);
  69.             return null;
  70.         }
  71.     }
  72. }
复制代码

JwtUtils
  1. package com.dpb.utils;

  3. import com.dpb.domain.Payload;
  4. import io.jsonwebtoken.Claims;
  5. import io.jsonwebtoken.Jws;
  6. import io.jsonwebtoken.Jwts;
  7. import io.jsonwebtoken.SignatureAlgorithm;
  8. import org.joda.time.DateTime;

  10. import java.security.PrivateKey;
  11. import java.security.PublicKey;
  12. import java.util.Base64;
  13. import java.util.UUID;

  15. /**
  16. * @author: 波波烤鸭
  17. * 生成token以及校验token相关方法
  18. */
  19. public class JwtUtils {

  21.     private static final String JWT_PAYLOAD_USER_KEY = "user";

  23.     /**
  24.      * 私钥加密token
  25.      *
  26.      * @param userInfo   载荷中的数据
  27.      * @param privateKey 私钥
  28.      * @param expire     过期时间,单位分钟
  29.      * @return JWT
  30.      */
  31.     public static String generateTokenExpireInMinutes(Object userInfo, PrivateKey privateKey, int expire) {
  32.         return Jwts.builder()
  33.                 .claim(JWT_PAYLOAD_USER_KEY, JsonUtils.toString(userInfo))
  34.                 .setId(createJTI())
  35.                 .setExpiration(DateTime.now().plusMinutes(expire).toDate())
  36.                 .signWith(privateKey, SignatureAlgorithm.RS256)
  37.                 .compact();
  38.     }

  40.     /**
  41.      * 私钥加密token
  42.      *
  43.      * @param userInfo   载荷中的数据
  44.      * @param privateKey 私钥
  45.      * @param expire     过期时间,单位秒
  46.      * @return JWT
  47.      */
  48.     public static String generateTokenExpireInSeconds(Object userInfo, PrivateKey privateKey, int expire) {
  49.         return Jwts.builder()
  50.                 .claim(JWT_PAYLOAD_USER_KEY, JsonUtils.toString(userInfo))
  51.                 .setId(createJTI())
  52.                 .setExpiration(DateTime.now().plusSeconds(expire).toDate())
  53.                 .signWith(privateKey, SignatureAlgorithm.RS256)
  54.                 .compact();
  55.     }

  57.     /**
  58.      * 公钥解析token
  59.      *
  60.      * @param token     用户请求中的token
  61.      * @param publicKey 公钥
  62.      * @return Jws<Claims>
  63.      */
  64.     private static Jws<Claims> parserToken(String token, PublicKey publicKey) {
  65.         return Jwts.parser().setSigningKey(publicKey).parseClaimsJws(token);
  66.     }

  68.     private static String createJTI() {
  69.         return new String(Base64.getEncoder().encode(UUID.randomUUID().toString().getBytes()));
  70.     }

  72.     /**
  73.      * 获取token中的用户信息
  74.      *
  75.      * @param token     用户请求中的令牌
  76.      * @param publicKey 公钥
  77.      * @return 用户信息
  78.      */
  79.     public static <T> Payload<T> getInfoFromToken(String token, PublicKey publicKey, Class<T> userType) {
  80.         Jws<Claims> claimsJws = parserToken(token, publicKey);
  81.         Claims body = claimsJws.getBody();
  82.         Payload<T> claims = new Payload<>();
  83.         claims.setId(body.getId());
  84.         claims.setUserInfo(JsonUtils.toBean(body.get(JWT_PAYLOAD_USER_KEY).toString(), userType));
  85.         claims.setExpiration(body.getExpiration());
  86.         return claims;
  87.     }

  89.     /**
  90.      * 获取token中的载荷信息
  91.      *
  92.      * @param token     用户请求中的令牌
  93.      * @param publicKey 公钥
  94.      * @return 用户信息
  95.      */
  96.     public static <T> Payload<T> getInfoFromToken(String token, PublicKey publicKey) {
  97.         Jws<Claims> claimsJws = parserToken(token, publicKey);
  98.         Claims body = claimsJws.getBody();
  99.         Payload<T> claims = new Payload<>();
  100.         claims.setId(body.getId());
  101.         claims.setExpiration(body.getExpiration());
  102.         return claims;
  103.     }
  104. }
复制代码

RsaUtils
  1. package com.dpb.utils;

  3. import java.io.File;
  4. import java.io.IOException;
  5. import java.nio.file.Files;
  6. import java.security.*;
  7. import java.security.spec.InvalidKeySpecException;
  8. import java.security.spec.PKCS8EncodedKeySpec;
  9. import java.security.spec.X509EncodedKeySpec;
  10. import java.util.Base64;

  12. /**
  13. * @author 波波烤鸭
  14. */
  15. public class RsaUtils {

  17.     private static final int DEFAULT_KEY_SIZE = 2048;
  18.     /**
  19.      * 从文件中读取公钥
  20.      *
  21.      * @param filename 公钥保存路径,相对于classpath
  22.      * @return 公钥对象
  23.      * @throws Exception
  24.      */
  25.     public static PublicKey getPublicKey(String filename) throws Exception {
  26.         byte[] bytes = readFile(filename);
  27.         return getPublicKey(bytes);
  28.     }

  30.     /**
  31.      * 从文件中读取密钥
  32.      *
  33.      * @param filename 私钥保存路径,相对于classpath
  34.      * @return 私钥对象
  35.      * @throws Exception
  36.      */
  37.     public static PrivateKey getPrivateKey(String filename) throws Exception {
  38.         byte[] bytes = readFile(filename);
  39.         return getPrivateKey(bytes);
  40.     }

  42.     /**
  43.      * 获取公钥
  44.      *
  45.      * @param bytes 公钥的字节形式
  46.      * @return
  47.      * @throws Exception
  48.      */
  49.     private static PublicKey getPublicKey(byte[] bytes) throws Exception {
  50.         bytes = Base64.getDecoder().decode(bytes);
  51.         X509EncodedKeySpec spec = new X509EncodedKeySpec(bytes);
  52.         KeyFactory factory = KeyFactory.getInstance("RSA");
  53.         return factory.generatePublic(spec);
  54.     }

  56.     /**
  57.      * 获取密钥
  58.      *
  59.      * @param bytes 私钥的字节形式
  60.      * @return
  61.      * @throws Exception
  62.      */
  63.     private static PrivateKey getPrivateKey(byte[] bytes) throws NoSuchAlgorithmException, InvalidKeySpecException {
  64.         bytes = Base64.getDecoder().decode(bytes);
  65.         PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(bytes);
  66.         KeyFactory factory = KeyFactory.getInstance("RSA");
  67.         return factory.generatePrivate(spec);
  68.     }

  70.     /**
  71.      * 根据密文,生存rsa公钥和私钥,并写入指定文件
  72.      *
  73.      * @param publicKeyFilename  公钥文件路径
  74.      * @param privateKeyFilename 私钥文件路径
  75.      * @param secret             生成密钥的密文
  76.      */
  77.     public static void generateKey(String publicKeyFilename, String privateKeyFilename, String secret, int keySize) throws Exception {
  78.         KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
  79.         SecureRandom secureRandom = new SecureRandom(secret.getBytes());
  80.         keyPairGenerator.initialize(Math.max(keySize, DEFAULT_KEY_SIZE), secureRandom);
  81.         KeyPair keyPair = keyPairGenerator.genKeyPair();
  82.         // 获取公钥并写出
  83.         byte[] publicKeyBytes = keyPair.getPublic().getEncoded();
  84.         publicKeyBytes = Base64.getEncoder().encode(publicKeyBytes);
  85.         writeFile(publicKeyFilename, publicKeyBytes);
  86.         // 获取私钥并写出
  87.         byte[] privateKeyBytes = keyPair.getPrivate().getEncoded();
  88.         privateKeyBytes = Base64.getEncoder().encode(privateKeyBytes);
  89.         writeFile(privateKeyFilename, privateKeyBytes);
  90.     }

  92.     private static byte[] readFile(String fileName) throws Exception {
  93.         return Files.readAllBytes(new File(fileName).toPath());
  94.     }

  96.     private static void writeFile(String destPath, byte[] bytes) throws IOException {
  97.         File dest = new File(destPath);
  98.         if (!dest.exists()) {
  99.             dest.createNewFile();
  100.         }
  101.         Files.write(dest.toPath(), bytes);
  102.     }
  103. }
复制代码

在通用子模块中编写测试类生成rsa公钥和私钥
  1. /**
  2. * @program: springboot-54-security-jwt-demo
  3. * @description:
  4. * @author: 波波烤鸭
  5. */
  6. public class JwtTest {
  7.     private String privateKey = "c:/tools/auth_key/id_key_rsa";

  9.     private String publicKey = "c:/tools/auth_key/id_key_rsa.pub";

  11.     @Test
  12.     public void test1() throws Exception{
  13.         RsaUtils.generateKey(publicKey,privateKey,"dpb",1024);
  14.     }

  16. }
复制代码



img
2.3认证系统创建
接下来我们创建我们的认证服务。

img
导入相关的依赖

  1. <dependencies>
  2.     <dependency>
  3.         <groupId>org.springframework.boot</groupId>
  4.         <artifactId>spring-boot-starter-web</artifactId>
  5.     </dependency>
  6.     <dependency>
  7.         <groupId>org.springframework.boot</groupId>
  8.         <artifactId>spring-boot-starter-security</artifactId>
  9.     </dependency>
  10.     <dependency>
  11.         <artifactId>security-jwt-common</artifactId>
  12.         <groupId>com.dpb</groupId>
  13.         <version>1.0-SNAPSHOT</version>
  14.     </dependency>
  15.     <dependency>
  16.         <groupId>mysql</groupId>
  17.         <artifactId>mysql-connector-java</artifactId>
  18.         <version>5.1.47</version>
  19.     </dependency>
  20.     <dependency>
  21.         <groupId>org.mybatis.spring.boot</groupId>
  22.         <artifactId>mybatis-spring-boot-starter</artifactId>
  23.         <version>2.1.0</version>
  24.     </dependency>
  25.     <dependency>
  26.         <groupId>com.alibaba</groupId>
  27.         <artifactId>druid</artifactId>
  28.         <version>1.1.10</version>
  29.     </dependency>
  30.     <dependency>
  31.         <groupId>org.springframework.boot</groupId>
  32.         <artifactId>spring-boot-configuration-processor</artifactId>
  33.         <optional>true</optional>
  34.     </dependency>
  35. </dependencies>
复制代码

创建配置文件
  1. spring:  datasource:    driver-class-name: com.mysql.jdbc.Driver    url: jdbc:mysql://localhost:3306/srm    username: root    password: 123456    type: com.alibaba.druid.pool.DruidDataSourcemybatis:  type-aliases-package: com.dpb.domain  mapper-locations: classpath:mapper/*.xmllogging:  level:    com.dpb: debugrsa:  key:    pubKeyFile: c:\tools\auth_key\id_key_rsa.pub    priKeyFile: c:\tools\auth_key\id_key_rsa
复制代码



img
提供公钥私钥的配置类


  1. package com.dpb.config;import com.dpb.utils.RsaUtils;import lombok.Data;import org.springframework.boot.context.properties.ConfigurationProperties;import org.springframework.context.annotation.Configuration;import javax.annotation.PostConstruct;import java.security.PrivateKey;import java.security.PublicKey;/** * @program: springboot-54-security-jwt-demo * @description: * @author: 波波烤鸭 */@Data@ConfigurationProperties(prefix = "rsa.key")public class RsaKeyProperties {    private String pubKeyFile;    private String priKeyFile;    private PublicKey publicKey;    private PrivateKey privateKey;    /**     * 系统启动的时候触发     * @throws Exception     */    @PostConstruct    public void createRsaKey() throws Exception {        publicKey = RsaUtils.getPublicKey(pubKeyFile);        privateKey = RsaUtils.getPrivateKey(priKeyFile);    }}
复制代码

创建启动类
  1. /** * @program: springboot-54-security-jwt-demo * @description: 启动类 * @author: 波波烤鸭 */@SpringBootApplication@MapperScan("com.dpb.mapper")@EnableConfigurationProperties(RsaKeyProperties.class)public class App {    public static void main(String[] args) {        SpringApplication.run(App.class,args);    }}
复制代码

完成数据认证的逻辑
pojo
  1. package com.dpb.domain;import com.fasterxml.jackson.annotation.JsonIgnore;import lombok.Data;import org.springframework.security.core.GrantedAuthority;/** * @program: springboot-54-security-jwt-demo * @description: * @author: 波波烤鸭 */@Datapublic class RolePojo implements GrantedAuthority {    private Integer id;    private String roleName;    private String roleDesc;    @JsonIgnore    @Override    public String getAuthority() {        return roleName;    }}package com.dpb.domain;import com.fasterxml.jackson.annotation.JsonIgnore;import lombok.Data;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.core.authority.SimpleGrantedAuthority;import org.springframework.security.core.userdetails.UserDetails;import java.util.ArrayList;import java.util.Collection;import java.util.List;/** * @program: springboot-54-security-jwt-demo * @description: * @author: 波波烤鸭 */@Datapublic class UserPojo implements UserDetails {    private Integer id;    private String username;    private String password;    private Integer status;    private List<RolePojo> roles;    @JsonIgnore    @Override    public Collection<? extends GrantedAuthority> getAuthorities() {        List<SimpleGrantedAuthority> auth = new ArrayList<>();        auth.add(new SimpleGrantedAuthority("ADMIN"));        return auth;    }    @Override    public String getPassword() {        return this.password;    }    @Override    public String getUsername() {        return this.username;    }    @JsonIgnore    @Override    public boolean isAccountNonExpired() {        return true;    }    @JsonIgnore    @Override    public boolean isAccountNonLocked() {        return true;    }    @JsonIgnore    @Override    public boolean isCredentialsNonExpired() {        return true;    }    @JsonIgnore    @Override    public boolean isEnabled() {        return true;    }}
复制代码
Mapper接口
public interface UserMapper {    public UserPojo queryByUserName(@Param("userName") String userName);}
Mapper映射文件
<?xml version="1.0" encoding="UTF-8" ?><!DOCTYPE mapper        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"        "http://mybatis.org/dtd/mybatis-3-mapper.dtd"><mapper namespace="com.dpb.mapper.UserMapper">    <select id="queryByUserName" resultType="UserPojo">        select * from t_user where username = #{userName}    </select></mapper>
Service
public interface UserService extends UserDetailsService {}@Service@Transactionalpublic class UserServiceImpl implements UserService {    @Autowired    private UserMapper mapper;    @Override    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {        UserPojo user = mapper.queryByUserName(s);        return user;    }}
自定义认证过滤器
package com.dpb.filter;import com.dpb.config.RsaKeyProperties;import com.dpb.domain.RolePojo;import com.dpb.domain.UserPojo;import com.dpb.utils.JwtUtils;import com.fasterxml.jackson.databind.ObjectMapper;import net.bytebuddy.agent.builder.AgentBuilder;import org.springframework.security.authentication.AuthenticationManager;import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;import org.springframework.security.core.Authentication;import org.springframework.security.core.AuthenticationException;import org.springframework.security.core.authority.SimpleGrantedAuthority;import org.springframework.security.core.userdetails.User;import org.springframework.security.core.userdetails.UserDetails;import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;import javax.servlet.FilterChain;import javax.servlet.ServletException;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.io.IOException;import java.io.PrintWriter;import java.util.ArrayList;import java.util.HashMap;import java.util.List;import java.util.Map;/** * @program: springboot-54-security-jwt-demo * @description: * @author: 波波烤鸭 */public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {    private AuthenticationManager authenticationManager;    private RsaKeyProperties prop;    public TokenLoginFilter(AuthenticationManager authenticationManager, RsaKeyProperties prop) {        this.authenticationManager = authenticationManager;        this.prop = prop;    }    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {        try {            UserPojo sysUser = new ObjectMapper().readValue(request.getInputStream(), UserPojo.class);            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(sysUser.getUsername(), sysUser.getPassword());            return authenticationManager.authenticate(authRequest);        }catch (Exception e){            try {                response.setContentType("application/json;charset=utf-8");                response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);                PrintWriter out = response.getWriter();                Map resultMap = new HashMap();                resultMap.put("code", HttpServletResponse.SC_UNAUTHORIZED);                resultMap.put("msg", "用户名或密码错误!");                out.write(new ObjectMapper().writeValueAsString(resultMap));                out.flush();                out.close();            }catch (Exception outEx){                outEx.printStackTrace();            }            throw new RuntimeException(e);        }    }    public void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {        UserPojo user = new UserPojo();        user.setUsername(authResult.getName());        user.setRoles((List<RolePojo>)authResult.getAuthorities());        String token = JwtUtils.generateTokenExpireInMinutes(user, prop.getPrivateKey(), 24 * 60);        response.addHeader("Authorization", "Bearer "+token);        try {            response.setContentType("application/json;charset=utf-8");            response.setStatus(HttpServletResponse.SC_OK);            PrintWriter out = response.getWriter();            Map resultMap = new HashMap();            resultMap.put("code", HttpServletResponse.SC_OK);            resultMap.put("msg", "认证通过!");            out.write(new ObjectMapper().writeValueAsString(resultMap));            out.flush();            out.close();        }catch (Exception outEx){            outEx.printStackTrace();        }    }}
自定义校验token的过滤器
package com.dpb.filter;import com.dpb.config.RsaKeyProperties;import com.dpb.domain.Payload;import com.dpb.domain.UserPojo;import com.dpb.utils.JwtUtils;import com.fasterxml.jackson.databind.ObjectMapper;import org.springframework.security.authentication.AuthenticationManager;import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;import org.springframework.security.core.context.SecurityContextHolder;import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;import javax.servlet.FilterChain;import javax.servlet.ServletException;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.io.IOException;import java.io.PrintWriter;import java.util.HashMap;import java.util.Map;/** * @program: springboot-54-security-jwt-demo * @description: * @author: 波波烤鸭 */public class TokenVerifyFilter  extends BasicAuthenticationFilter {    private RsaKeyProperties prop;    public TokenVerifyFilter(AuthenticationManager authenticationManager, RsaKeyProperties prop) {        super(authenticationManager);        this.prop = prop;    }    public void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {        String header = request.getHeader("Authorization");        if (header == null || !header.startsWith("Bearer ")) {            //如果携带错误的token,则给用户提示请登录!            chain.doFilter(request, response);            response.setContentType("application/json;charset=utf-8");            response.setStatus(HttpServletResponse.SC_FORBIDDEN);            PrintWriter out = response.getWriter();            Map resultMap = new HashMap();            resultMap.put("code", HttpServletResponse.SC_FORBIDDEN);            resultMap.put("msg", "请登录!");            out.write(new ObjectMapper().writeValueAsString(resultMap));            out.flush();            out.close();        } else {            //如果携带了正确格式的token要先得到token            String token = header.replace("Bearer ", "");            //验证tken是否正确            Payload<UserPojo> payload = JwtUtils.getInfoFromToken(token, prop.getPublicKey(), UserPojo.class);            UserPojo user = payload.getUserInfo();            if(user!=null){                UsernamePasswordAuthenticationToken authResult = new UsernamePasswordAuthenticationToken(user.getUsername(), null, user.getAuthorities());                SecurityContextHolder.getContext().setAuthentication(authResult);                chain.doFilter(request, response);            }        }    }}
编写SpringSecurity的配置类
package com.dpb.config;import com.dpb.filter.TokenLoginFilter;import com.dpb.filter.TokenVerifyFilter;import com.dpb.service.UserService;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.config.http.SessionCreationPolicy;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;/** * @program: springboot-54-security-jwt-demo * @description: * @author: 波波烤鸭 */@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(securedEnabled=true)public class WebSecurityConfig   extends WebSecurityConfigurerAdapter {    @Autowired    private UserService userService;    @Autowired    private RsaKeyProperties prop;    @Bean    public BCryptPasswordEncoder passwordEncoder(){        return new BCryptPasswordEncoder();    }    //指定认证对象的来源    public void configure(AuthenticationManagerBuilder auth) throws Exception {        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());    }    //SpringSecurity配置信息    public void configure(HttpSecurity http) throws Exception {        http.csrf()                .disable()                .authorizeRequests()                .antMatchers("/user/query").hasAnyRole("ADMIN")                .anyRequest()                .authenticated()                .and()                .addFilter(new TokenLoginFilter(super.authenticationManager(), prop))                .addFilter(new TokenVerifyFilter(super.authenticationManager(), prop))                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);    }}
启动服务测试
启动服务

img
通过Postman来访问测试

img

img
根据token信息我们访问其他资源

img
2.4资源系统创建
说明
资源服务可以有很多个,这里只拿产品服务为例,记住,资源服务中只能通过公钥验证认证。不能签发token!创建产品服务并导入jar包根据实际业务导包即可,咱们就暂时和认证服务一样了。
接下来我们再创建一个资源服务

img
导入相关的依赖
<dependencies>    <dependency>        <groupId>org.springframework.boot</groupId>        <artifactId>spring-boot-starter-web</artifactId>    </dependency>    <dependency>        <groupId>org.springframework.boot</groupId>        <artifactId>spring-boot-starter-security</artifactId>    </dependency>    <dependency>        <artifactId>security-jwt-common</artifactId>        <groupId>com.dpb</groupId>        <version>1.0-SNAPSHOT</version>    </dependency>    <dependency>        <groupId>mysql</groupId>        <artifactId>mysql-connector-java</artifactId>        <version>5.1.47</version>    </dependency>    <dependency>        <groupId>org.mybatis.spring.boot</groupId>        <artifactId>mybatis-spring-boot-starter</artifactId>        <version>2.1.0</version>    </dependency>    <dependency>        <groupId>com.alibaba</groupId>        <artifactId>druid</artifactId>        <version>1.1.10</version>    </dependency>    <dependency>        <groupId>org.springframework.boot</groupId>        <artifactId>spring-boot-configuration-processor</artifactId>        <optional>true</optional>    </dependency></dependencies>
编写产品服务配置文件
切记这里只能有公钥地址!
server:  port: 9002spring:  datasource:    driver-class-name: com.mysql.jdbc.Driver    url: jdbc:mysql://localhost:3306/srm    username: root    password: 123456    type: com.alibaba.druid.pool.DruidDataSourcemybatis:  type-aliases-package: com.dpb.domain  mapper-locations: classpath:mapper/*.xmllogging:  level:    com.dpb: debugrsa:  key:    pubKeyFile: c:\tools\auth_key\id_key_rsa.pub
编写读取公钥的配置类
package com.dpb.config;import com.dpb.utils.RsaUtils;import lombok.Data;import org.springframework.boot.context.properties.ConfigurationProperties;import javax.annotation.PostConstruct;import java.security.PrivateKey;import java.security.PublicKey;/** * @program: springboot-54-security-jwt-demo * @description: * @author: 波波烤鸭 */@Data@ConfigurationProperties(prefix = "rsa.key")public class RsaKeyProperties {    private String pubKeyFile;    private PublicKey publicKey;    /**     * 系统启动的时候触发     * @throws Exception     */    @PostConstruct    public void createRsaKey() throws Exception {        publicKey = RsaUtils.getPublicKey(pubKeyFile);    }}
编写启动类
package com.dpb;import com.dpb.config.RsaKeyProperties;import org.mybatis.spring.annotation.MapperScan;import org.springframework.boot.SpringApplication;import org.springframework.boot.autoconfigure.SpringBootApplication;import org.springframework.boot.context.properties.EnableConfigurationProperties;/** * @program: springboot-54-security-jwt-demo * @description: * @author: 波波烤鸭 */@SpringBootApplication@MapperScan("com.dpb.mapper")@EnableConfigurationProperties(RsaKeyProperties.class)public class App {    public static void main(String[] args) {        SpringApplication.run(App.class,args);    }}
复制认证服务中,用户对象,角色对象和校验认证的接口
复制认证服务中的相关内容即可
复制认证服务中SpringSecurity配置类做修改
package com.dpb.config;import com.dpb.filter.TokenVerifyFilter;import com.dpb.service.UserService;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.config.http.SessionCreationPolicy;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;/** * @program: springboot-54-security-jwt-demo * @description: * @author: 波波烤鸭 */@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(securedEnabled=true)public class WebSecurityConfig   extends WebSecurityConfigurerAdapter {    @Autowired    private UserService userService;    @Autowired    private RsaKeyProperties prop;    @Bean    public BCryptPasswordEncoder passwordEncoder(){        return new BCryptPasswordEncoder();    }    //指定认证对象的来源    public void configure(AuthenticationManagerBuilder auth) throws Exception {        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());    }    //SpringSecurity配置信息    public void configure(HttpSecurity http) throws Exception {        http.csrf()                .disable()                .authorizeRequests()                //.antMatchers("/user/query").hasAnyRole("USER")                .anyRequest()                .authenticated()                .and()                .addFilter(new TokenVerifyFilter(super.authenticationManager(), prop))                // 禁用掉session                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);    }}
去掉“增加自定义认证过滤器”即可!
编写产品处理器
package com.dpb.controller;import org.springframework.security.access.annotation.Secured;import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RestController;/** * @program: springboot-54-security-jwt-demo * @description: * @author: 波波烤鸭 */@RestController@RequestMapping("/user")public class UserController {    @RequestMapping("/query")    public String query(){        return "success";    }    @RequestMapping("/update")    public String update(){        return "update";    }}
测试

img
作者:波波烤鸭
来源:dpb-bobokaoya-sm.blog.csdn.net/article/details/103409430





回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2025-4-24 12:04 , Processed in 0.017726 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表