Spring Cloud OAuth2和JWT保护微服务

1、采用Spring Security AOuth2和JWT的方式，避免每次请求都需要远程调度 Uaa服务。采用Spring Security OAuth2和JWT的方式，Uaa服务只验证一 次，返回JWT。返回的JWT包含了用户的所有信息，包括权限信息。什么是JWT？JSON Web Token（JWT）是一种开放的标准（RFC 7519），JWT 定义了一种 紧凑且自包含的标准，该标准旨在将各个主体的信息包装为JSON对象。主体 信息是通过数字签名进行加密和验证的。常使用HMAC算法或RSA （公钥/ 私钥的非对称性加密）算法对JWT进行签名，安全性很高。JWT特点：紧凑型：数据体积小，可通过

2、POST请求参数或HTTP请求头发送。自包含：JWT包含了主体的所有信息，避免了每个请求都需要向Uaa服务验 证身份，降低了服务器的负载。2.JWT的结构JWT结构：Header （头）Payload （有效载荷）Signature （签名）因此，JWT的通常格式是：xxxxx.yyyyy.zzzzz（1）HeaderHeader通常是由两部分组成：令牌的类型（即JWT）和使用的算法类型，如HMAC、SHA256 和 RSA。例如：将Header用Base64编码作为JWT的第一部分。Payload这是JWT的第二部分，包含了用户的一些信息和Claim (声明、权利)。有3 类型的Claim:

3、保留、公开和私人。“，name: John Doe,5将Payload用Base64编码作为JWT的第一部分。Signature要创建签名部分，需要将Base64编码后的Header、Payload和秘钥进行签 名，一个典型的格式如下：HMACSHA256(base64UrlEncode(header) + . +base64UrlEncode(payload),L3.如何使用JWT认证流程图如下，客户端获取JWT后，以后每次请求都不需要再通过Uaa服务 来判断该请求的用户以及该用户的权限。在微服务中，可以利用JWT实现单点 登录。4.案例工程架构三个工程：. eureka-server:注册

4、服务中心，端口 8761。这里不再演示搭建。. auth-service：负责授权，授权需要用户提供客户端的clientId和password， 以及授权用户的username和password。这些信息准备无误之后， auth-service返回JWT，该JWT包含了用户的基本信息和权限点信息，并 通过RSA加密。.user-service:作为资源服务，它的资源以及被保护起来了，需要相应的权限 才能访问。user-service服务得到用户请求的JWT后，先通过公钥解密JWT， 得到该JWT对应的用户的信息和用户的权限信息，再判断该用户是否有权限 访问该资源。工程架构图: 3 浏览器L登录

5、4返回用户信息+tohr&nEu rekaServer2.信息确认无误返回TokenAuth-Service-W.荻取丁口足。User-service5.构建 auth-service 工程1.新建Spring Boot工程，取名为auth-service，其完整pom.xml文件为.4.0.0org.springframework.bootspring-boot-starter-parent1.5.3.RELEASE com.exampleauth-service0.0.1-SNAPSHOTauth-serviceDemo project for Spring Boot1.8Dalston.

6、SR1org.springframework.cloudspring-cloud-starter-eurekaorg.springframework.bootspring-boot-starter-weborg.springframework.securityspring-security-jwtorg.springframework.security.oauthspring-security-oauth2org.springframework.bootspring-boot-starter-data-jpamysqlmysql-connector-javaorg.springframewor

7、k.bootspring-boot-starter-testtestorg.springframework.cloudspring-cloud-dependencies$spring-cloud.versionpomimportorg.springframework.bootspring-boot-maven-pluginorg.apache.maven.pluginsmaven-resources-pluginconfigurationcertjksspring:application:name: auth-servicedatasource:driver-class-name: com.m

8、ysql.jdbc.Driverurl:jdbc:mysql:/localhost:3306/spring-cloud-auth?useUnicode=true&characterEncoding=utf8&characterSetResults=utf8username: rootpassword: 123456jpa:hibernate:dd -auto: updateshow-sql: trueserver:port: 9999eureka:client:serviceUrl:defaultZon : HYPERLINK http:/localhost:8761/eureka/ http

9、:/localhost:8761/eureka/3.配置 Spring SecurityConfigurationEnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter OverrideBeanpublic AuthenticationManager authenticationManagerBean() throws Exception return super.authenticationManagerBean();Overrideprotected void configu

10、re(HttpSecurity http) throws Exception http.csrf().disable() /关闭 CSRF.exceptionHandling().authenticationEntryPoint(request, response,authException)-response sendError(HttpServletResponse.SC_UNAUTHORIZED).and().authorizeRequests().antMatchers(/*”).authenticated().and().httpBasic();AutowiredUserServic

11、eDetail userServiceDetai ;Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception aut.userDetailsService(userServiceDetail).passwordEncoder(new BCryptPasswordEncoder(); 密码加密UserServiceDetail.javaServicepublic class UserServiceDetail implements UserDetailsService Autowire

12、dprivate UserDao userRepository;Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException return userRepository.findByUsername(username);UserDao.javaRepositorypublic interface UserDao extends JpaRepository User findByUsername(String username);User对象和上一篇文章的内容一样，需

13、要实现UserDetails接口，Role对象需 要实现 GrantedAuthority 接口.Entitypublic class User implements UserDetails, Serializable IdGeneratedValue(strategy = GenerationType.IDENTITY)private Long id;Column(nullable = false, unique = true)private String username;Columnprivate String password;ManyToMany(cascade = CascadeT

14、ype.ALL, fetch = FetchType.EAGER)JoinTable(name = user_role, joinColumns = JoinColumn(name = user_id, referencedColumnName = id),inverseJoinColumns= JoinColumn(name = role_id, referencedColumnName = id)private List authorities;public User() public Long getId() return id;public void setId(Long id) th

15、is.id = id;Overridepublic Collection getAuthorities() return authorities;public void setAuthorities(List authorities) this.authorities = authorities;IOverridepublic String getUsername() 5public void setUsername(String username) this.username = username;Overridepublic String getPassword() return pass

16、word;public void setPassword(String password) this.password = password;Overridepublic boolean isAccountNonExpired() return true;IOverridepublic boolean isAccountNonLocked() 5 fOverridepublic boolean isCredentialsNonExpired() return true;Overridepublic boolean isEnabled() ,public class Role implement

17、s GrantedAuthority IdGeneratedValue(strategy = GenerationType.IDENTITY) private Long id;Column(nullable = false) private String name;public Long getId() public void setId(Long id) 广 id=id;Overridepublic String getAuthority() I name;public void setName(String name) Overridepublic String toString() :m

18、4.配置 Authorization Server在OAuth2Config这个类中配置Authorizationserver，其代码如下：ConfigurationEnableAuthorizationServerpublic class OAuth2Config extends AuthorizationServerConfigurerAdapter Overridepublic void configure(ClientDetailsServiceConfigurer clients) throws Exception client .inMemory() 将客户端的信息存储在内存中.w

19、ithClient(user-service) /创建了一个 Client 为 user-service的客户端.secret(123456).scopes(service) 客户端的域.authorizedGrantTypes(refresh_token, password) /配置 类验证类型为 refresh_token和password.accessTokenValiditySeconds(12*300); /5min 过期Overridepublic void configure(AuthorizationServerEndpointsConfigurer endpoints) th

20、rows Exception endpoints.tokenStore(tokenStore().tokenEnhancer(jwtTokenEnhancer().au thenticationManager(authenticationManager);AutowiredQualifier(authenticationManagerBean)private AuthenticationManager authenticationManager;Beanpublic TokenStore tokenStore() return new JwtTokenStore(jwtTokenEnhance

21、r();Beanprotected JwtAccessTokenConverter jwtTokenEnhancer() /注意此处需要相应的jks文件KeyStoreKeyFactorykeyStoreKeyFactory = new KeyStoreKeyFactory(new ClassPathResource(fzp-jwt.jks), fzp123”.toCharArray();JwtAccessTokenConverterconverter = new JwtAccessTokenConverter。； converte.setKeyPair(keyStoreKeyFactory.

22、getKeyPair(fzp-jwt);return converter;5.生成jks文件配置JwtTokenStore时需要使用jks文件作为Token加密的秘钥。jks文件需要Java keytool工具，保证Java环境变量没问题，打开计算机终端， 输入命令：keytool -genkeypair -alias fzp-jwt -validity 3650 -keyalg RSA -dname CN=jwt,OU=jtw,O=jwt,L=zurich,S=zurich,C=CH -keypass fzp123 -keystore fzp-jwt.jks -storepass fzp12

23、3解释，-alias选项为别名，-keypass和-storepass为密码选项，-validity为配 置jks文件过期时间（单位：天）。获取的jks文件作为私钥，只允许Uaa服务持有，并用作加密JWT。也就是 把生成的jks文件放到auth-service工程的resource目录下。那么 user-service这样的资源服务，是如何解密JWT的呢？这时就需要使用jks 文件的公钥。获取jks文件的公钥命令如下：keytool -list -rfc -keystore fzp-jwt.jks I openssl x509 -inform pem -pubkey这个命令要求你的计算机上安装

24、了 openSSL （下载地址），然后手动把安装的 openssl.exe所在目录配置到环境变量。输入密码fzp123后，显示的信息很多，我们只提取PUBLIC KEY，即如下所示：-BEGIN PUBLIC KEY-MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAlCFiWbZXIb5kwE aHjW+/7J4b+KzXZffRl5RJ9rAMgfRXHqGG8RM2Dlf95JwTXzerY6igUq7FVgFjnPbexVt3 vKKyjdy2gBuOaXqaYJEZSfuKCNN/WbOF8e7ny4fLMFilbhpzoqkSHiR+nAHLk

25、Y ctOnOKMPK1SwmvkNMn3aTEJHhxGh1RlWbMAAQ+QLI2D7zCzQ7Uh3F+Kw0pd 2gBYd8W+DKTn1Tprugdykirr6u0p66yK5f1T9O+LEaJa8FjtLF66siBdGRaNYMExNi21lJk i5dD3ViVBIVKi9ZaTsK9Sxa3dOX1aE5Zd5A9cPsBIZ12spYgemfj6DjOw6lk7jkG 9QIDAQAB END PUBLIC KEY新建一个public.cert文件，将上面的公钥信息复制到public.cert文件中并保 存。并将文件放到user-service等资源服务的resour

26、ces目录下。到目前为止， Uaa服务已经搭建完毕。需要注意的是，Maven在项目编译时，可能会将jks文件编译，导致jks文件 乱码，最后不可用。需要在工程的pom文件中添加以下内容：org.apache.maven.pluginsmaven-resources-pluginconfigurationcertjks/configuration最后，别忘了在启动类注解EnableEurekaClient开启服务注册.SpringBootApplicationEnableEurekaClientpublic class AuthServiceApplication public static v

27、oid main(String args) SpringApplicatio.run(AuthServiceApplication.class, args);6.构建user-service资源服务1.新建Spring Boot工程，取名为user-service，其完整pom.xml文件：4.0.0org.springframework.boot spring-boot-starter-parent1.5.3.RELEASE com.exampleuser-service0.0.1-SNAPSHOTuser-serviceDemo project for Spring Boot1.8Dals

28、ton.SR1org.springframework.cloudspring-cloud-starter-eurekaorg.springframework.bootspring-boot-starter-weborg.springframework.security.oauthspring-security-oauth2org.springframework.bootspring-boot-starter-data-jpamysqlmysql-connector-javaorg.springframework.cloudspring-cloud-starter-hystrixorg.spri

29、ngframework.cloudspring-cloud-starter-feignorg.springframework.bootspring-boot-starter-testtestorg.springframework.cloudspring-cloud-dependencies$spring-cloud.versionpom importorg.springframework.bootspring-boot-maven-plugin配置文件 application.yml在工程的配置文件application.yml中，配置程序名为user-service，端口号为 9090,另外

30、，需要配置 feign.hystrix.enable 为 true，即开启 Feign 的 Hystrix功能。完整的配置代码如下：server:port: 9090eureka:client:service-url:defaultZon : HYPERLINK http:/localhost:8761/eureka/ http:/localhost:8761/eureka/spring:application:name: user-servicedatasource:driver-class-name: com.mysql.jdbc.Driverurl:jdbc:mysql:/localho

31、st:3306/spring-cloud-auth?useUnicode=true&characterEncoding=utf8&characterSetResults=utf8username: rootpassword: 123456jpa:hibernate:dd -auto: updateshow-sql: truefeign:hystrix:enabled: true配置 Resource Server在配置Resource Server之前，需要注入JwtTokenStore类型的Bean。Configurationpublic class JwtConfig AutowiredJ

32、wtAccessTokenConverter jwtAccessTokenConverte ;BeanQualifier(tokenStore)public TokenStore tokenStore() return new JwtTokenStore(jwtAccessTokenConverter);Beanprotected JwtAccessTokenConverter jwtTokenEnhancer() /用作JWT转换器JwtAccessTokenConverter converter= new JwtAccessTokenConverter。；Resource resource

33、= new ClassPathResource(public.cert);String publicKey;try publicKey= newString(FileCopyUtils.copyToByteArray(resource.getInputStream(); catch (IOException e) throw new RuntimeException(e);555_设置公钥然后配置 Resource ServerConfigurationEnableResourceServer /开启 Resource Server 功能public class ResourceServerC

34、onfig extends ResourceServerConfigurerAdapterAutowiredTokenStore tokenStore;Overridepublic void configure(HttpSecurity http) throws Exception http.csrf().disable().authorizeRequests().antMatchers(/user/login”,”/user/register).permitAll().antMatchers(/*”).authenticated();Overridepublic void configure

35、(ResourceServerSecurityConfigurer resources) throws Exception resource.tokenStore(tokenStore);新建一个配置类GlobalMethodSecurityConfig，在此类中通过EnableGlobalMethodSecurity(prePostEnabled = true)注解开启方法级别的安 全验证。ConfigurationEnableGlobalMethodSecurity(prePostEnabled = true)public class GlobalMethodSecurityConfig

36、编写用户注册接口拷贝 auth-service 工程的 User.java、Role.java 和 UserDao.java 到本工程。在Service层的UserService写一个插入用户的方法，代码如下Servicepublic class UserServiceDetail Autowiredprivate UserDao userRepository;public User insertUser(String username,String password)User use=new User();use.setUsername(username);use.setPassword(B

37、PwdEncoderUtil.BCryptPassword(password);return userRepository.save(user);BPwdEncoderUtil 工具类public class BPwdEncoderUtil private static final BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();public static String BCryptPassword(String password) return encoder.encode(password);public static

38、 boolean matches(CharSequence rawPassword, String encodedPassword)在 Web层，在Controller中与一个注册的API接口 “/user/regist代码如 下RestControllerRequestMapping(/user)public class UserController AutowiredUserServiceDetail userServiceDetai ;伊ostMapping(/register)public User postUser(RequestParam(username) String user

39、name , RequestParam(password) String password)参数判断，省略return userServiceDetail.insertUser(username,password);编写用户登录接口在Service层，在UserServiceDetail中添加一个login （登录）方法，代码如 下：Servicepublic class UserServiceDetail Autowiredprivate AuthServiceClient client;public UserLoginDTO login(String username, String pa

40、ssword)User use=userRepository.findByUsername(username);if (null = user) throw new UserLoginException(error username);if(!BPwdEncoderUtil.matches(password,user.getPassword() throw new UserLoginException(error password);/ 获取 tokenJWT jw=client.getToken(BasicdXNlci1zZXJ2aWNlOjEyMzQ1Ng=,password,userna

41、me,password);/获得用户菜单if(jwt=null)throw new UserLoginException(error internal);UserLoginDTO userLoginDT=new UserLoginDTO();userLoginDT.setJwt(jwt);userLoginDT.setUser(user);return userLoginDTO;AuthServiceClient 通过向 auth-service 服务远程调用“/oauth/token” API接口， 获取 JWT。在/oauth/token API 接口，获取JWT。在“/oauth/tok

42、en”API 接口 中需要在请求头传入Authorization信息，并需要传请求参数认证类型 grant_type、用户名 username 和密码 password，代码如下：FeignClient(value = auth-service,fallback =AuthServiceHystrix.class )public interface AuthServiceClient 伊ostMapping(value = /oauth/token)JWT getToken(RequestHeader(value = Authorization) String authorization, R

43、equestParam(grant_type) String typeRequestParam(username) String username, RequestParam(password) String password);其中，AuthServiceHystrix 为 AuthServiceClient 的熔断器，代码如下:Componentpublic class AuthServiceHystrix implements AuthServiceClient Overridepublic JWT getToken(String authorization, String type,

44、String username,String password) return null;JWT 为一个 JavaBean，它包含了 access_token、token_type 和 refresh_token等信息，代码如下： public class JWT private String access_token;private String token_type:private String refresh_token;private int expires_in;private String scope;private String jti;/getter setterUserLog

45、inDTO包含了一个User和一个JWT对象，用于返回数据的实体： public class UserLoginDTO private JWT jwt;private User user;/setter getter登录异常类 UserLoginExceptionpublic class UserLoginException extends RuntimeExceptionpublic UserLoginException(String message) super(message);统一异常处理ControllerAdviceResponseBodypublic class Exceptio

46、nHandle ExceptionHandler(UserLoginException.class)public ResponseEntity handleException(Exception e) return new ResponseEntity(e.getMessage(), HttpStatus.OK);在 web 层的 UserController 类补充一个登录的 API 接口 “/user/login”.PostMapping(/login) public UserLoginDTO login(RequestParam(username) String username , R

47、equestParam(password) String password)参数判断，省略return userServiceDetail.login(username,password);为了测试权限，再补充一个/foo接口，该接口需要“ROLE_ADMIN”权限.RequestMapping(value = /foo, method = RequestMethod.GET)PreAuthorize(hasAuthority(ROLE_ADMIN)public String getFoo() return im foo, + UUID.randomUUID().toString();最后，在

48、启动类注解开启Feign：SpringBootApplicationEnableFeignClientsEnableEurekaClientpublic class UserServiceApplication public static void main(String args) SpringApplicatio.run(UserServiceApplication.class, args);7.启动工程，开始测试经过千辛万苦，终于搭建了一个Demo工程，现在开始依次启动eureka-server、auth-service和user-service工程。这里我们使用PostMan测试编写的

49、接口。1.注册用户post | z-c31 ho r:9 ogo/use registe r+ Iqc 1 host; 9090/user regi 5te rPOSTloca I he st:9C ? 3/u ser/r eg i ste -SlaliJg： 200-OKAiJthi-oriatinn Headers Body Pre-request Seri pt TestsKEYVALUEusernamema rkpji Esward123456KeyValueraie farm-data x-www-ferm-ur encoded raw binaryDESCIDeacBody Coo

50、kies Headers ?) Test ResultsPretty Raw Preview JSON R,it1,: 19,usernane:marK,Jpa5 5WDrdr,:SZdSlCEztrzDXoUi0.u4Qi.t2S4eDt37hcbFslSqV5Oe3nwdFj5LiKNW,Jautharities:lljenabledt-,accauntNbnLocIced: zr JSj匚redentiDlsrnorExijired:二acciJiintNnExpired: t192.登录获取Tokenp(mt lacaIhost:9ogo/user/register poet Iaca

51、Ihoc:909Cvuser/lgin+ Iqc ml host; 9090/user/logiriPOST 、I c ca I h c st:9D5 0 /u ser/l ogi nParamsAlJth-arizationheadersBody Pre-request ScriptTestsroie farm-datax-www-fcrm-Li - encod edrawbinaryKEYVALUEuernmema-password123456KeyValueBody Cookies Headers Test ResultsPretty Raw Previ-ew JSON m:2- jwt

52、: tn*E“_zcikEn: eyJhbGziCiilSUzIlFliZiInft5L&ZpXVCJ9.eyj 1 eHA iOj E UBc 2WM)XJ/ Irfl/zZXJ -FbmFt Z 516 Mil cms i L C J qdG kdDil 1Hz J kZ j e3MCa2YTdi LTQ5I -vCAtk ICzv08 a2uh iarfrl6 XkLOwn JHRXLwS-vE4OTfm r6iCu cna_FK -ZSQrDll- ;5G；-ln 2 5 _E 5s Nft -QHn EIECIC i sC SO 3 uE匚 uyX_ dytJtif二郭 RH S-jiiDjElNTAyMErHCiDY5l：nVEZXbinFtZSIbImltiLnsiLtlqsGkiCi： jYniQKinlzliNK22TE7L_Ql 叫h心Fk阳J? ,