孤尽班第十一次课-用户系统实现JWT

孤尽班第十一次课-用户系统实现JWT 孤尽班第十一次课-用户系统实现JWT JWT

Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准（(RFC 7519).定义了⼀种简洁的，⾃包含的⽅法⽤于通信双⽅之间以JSON对象的形式安全的传递信息。因为数 字签名的存在，这些信息是可信的，JWT可以使⽤HMAC算法或者是RSA的公私秘钥对进⾏签名。
1.1 什么是JWT  
1.1.1 JWT组成   
	1.1.2 Header头部 
	头部包含了两部分，token 类型和 采用的加密算法 
	{ 
	 “alg”:"HS256",
	 "type":"JWT"
	}
	1.2.3 Payload负载
	这部分就是我们存放信息的地方了，你可以把用户ID 等 信息放到这里, jwt 规范里面对这部分有进行了比较详细的介绍,  常用的由iss（签发者）, exp(过期时间), sub(面向用户), aud(接收方), iat(签发时间)。

	"iss": "lion1ou JWT", 
	"iat": 1441593502, 
	"exp": 1441594722, 
	"aud": "www.example.com", 
	"sub": "lion1ou@163.com"

同样的，它会使⽤ base64 编码组成 JWT 结构的第⼆部分。
1.2.4 Signature签名
前⾯两部分都是使⽤ base64 进⾏编码的，即前端可以解开知道⾥⾯的信息。Signature 需要使⽤编码 后的 header 和 payload 以及我们提供的⼀个密钥，然后使⽤ header 中指定的签名算法（HS256）进 ⾏签名。签名的作⽤是保证 JWT 没有被篡改过。

签名的目的

最后一步签名的过程，实际上是对头部以及负载内容进行签名，防止内容被篡改。
如果有人对头部以及负载的内容解码之后进行修改，再进行编码，最后加上之前的签名组合成新的JWT的话，那么服务器端会判断出新的头部和负载形成的签名是不一样的。
如果要对新的头部和负载进行签名，在不知道服务器加密时用密钥的话，得出的签名也是不一样的。

为什么要用JWT

传统token 认证

资源服务器授权流程如上图，客户端先去授权服务器申请令牌，申请令牌后，携带令牌访问 资源服务器，资源服务器访问授权服务校验令牌的合法性，授权服务会返回校验结果，如果校验 成功会返回⽤户信息给资源服务器，资源服务器如果接收到的校验结果通过了，则返回资源给客 户端。传统授权⽅法的问题是⽤户每次请求资源服务，资源服务都需要携带令牌访问认证服务去校 验令牌的合法性，并根 据令牌获取⽤户的相关信息，性能低下。

JWT 认证

传统的授权模式性能低下，每次都需要请求授权服务校验令牌合法性，我们可以利⽤公钥私 钥完成对令牌的加密，如果加密解密成功，则表示令牌合法，如果加密解密失败，则表示令牌⽆ 效不合法，合法则允许访问资源服务器的资源，解密失败，则不允许访问资源服务器资源。

JWT 使用

1.2.1 公钥和私钥 
1. 授权中心和资源中心持有私钥和公钥 
2. 私钥颁发令牌
3. 公钥验证令牌 
1.2.2  生成私钥公钥 
我们采用JWT 私钥颁发令牌，公钥校验令牌，这里先使用keytool 工具生成公钥私钥证书 
4. ⽣成密钥证书 下边命令⽣成密钥证书，采⽤RSA 算法每个证书包含公钥和私钥
## Keytool 是⼀个java提供的证书管理⼯具 

JWT 测试

引⼊oauth2依赖构件

 
 
org.springframework.cloud 
spring-cloud-starter-oauth2

2 . kaikeba.jks
测试需要公钥和私钥，准备好
3. 测试代码

用户角色管理

2.1 RBAC模型
系统管理⼯程完成了对于rbac数据的管理 RBAC（基于⻆⾊的权限控制 role base access control）是⼀种设计模式，是⽤来设计和管 理权限相关数据的⼀种模型.

2.2 关键代码

1. UserController

搭建授权中心

2.1 搭建授权中⼼⼯程
1. pom.xml

  
 
t31-parent 
com.kaikeba 
1.0-SNAPSHOT 
 
4.0.0 
t31-auth-center
  
 
  org.springframework.boot 
  spring-boot-starter-actuator 
  
  
 org.springframework.boot 
 spring-boot-starter-test test 
  
  
 org.springframework.boot 
 spring-boot-starter-web 
  
  
 org.springframework.cloud 
 spring-cloud-starter-openfeign 
   
  
   com.alibaba.cloud
    spring-cloud-starter-alibaba-nacos- discovery
     
   
   
   
  com.alibaba.cloud 
  spring-cloud-starter-alibaba-nacos- config
     
    
   com.alibaba.cloud
   spring-cloud-starter-alibaba-sentinel 

 

 org.springframework.cloud 
 spring-cloud-starter-oauth2 
 
 
org.springframework.boot 
spring-boot-starter-jdbc 


 
mysql 
mysql-connector-java
5.1.46 
runtime 


 
com.kaikeba 
t31-admin-instance
 ${project.version}
 


 
 
	 
	org.apache.maven.plugins 
	maven-resources-plugin 
	 
	 
	jks 
	 
	 
	 
 

2. 配置

application.yml

spring: 
	application: 
		name: auth-center 
		profiles: 
			active: dev

2. bootstrap.yml

spring: 
	cloud: 
		nacos: 
			config: 
				server-addr: localhost:8848 
				file-extension: yaml 
				extension-configs[0]: 
					data-id: common.yaml 
					refresh: true 
				extension-configs[1]: 
					data-id: db.yaml 
					refresh: true 
					# 多个接⼝上的@FeignClient(“相同服务名”)会报错，overriding is disabled。 
					# 设置 为true ,即 允许 同名 
	main: 
		allow-bean-definition-overriding: true

拷⻉之前⽣成的密钥对⽂件kaikeba.jks

package com.kaikeba.t31.auth; 
import org.springframework.boot.SpringApplication; 
import org.springframework.boot.autoconfigure.SpringBootApplication; 
import org.springframework.boot.autoconfigure.jdbc.DataSourceAutoConfiguration; 
import org.springframework.cloud.client.circuitbreaker.EnableCircuitBreaker; 
import org.springframework.cloud.client.discovery.EnableDiscoveryClient; 
import org.springframework.cloud.openfeign.EnableFeignClients; 
import org.springframework.security.oauth2.config.annotation.web.configuration.En ableResourceServer; 

@SpringBootApplication 
@EnableDiscoveryClient 
@EnableFeignClients 
@EnableCircuitBreaker 
public class AuthApplication { 
	public static void main(String[] args) {
	 SpringApplication.run(AuthApplication.class, args); 
	 } 
}