SpringCloud中Gateway實(shí)現(xiàn)鑒權(quán)的方法

更新時(shí)間：2021年11月30日 16:48:21 作者：蛋黃派有搞頭

本文主要介紹了SpringCloud中Gateway實(shí)現(xiàn)鑒權(quán)的方法，文中通過示例代碼介紹的非常詳細(xì)，具有一定的參考價(jià)值，感興趣的小伙伴們可以參考一下

一、JWT 實(shí)現(xiàn)微服務(wù)鑒權(quán)

JWT一般用于實(shí)現(xiàn)單點(diǎn)登錄。單點(diǎn)登錄：如騰訊下的游戲有很多，包括lol，飛車等，在qq游戲?qū)?zhàn)平臺(tái)上登錄一次，然后這些不同的平臺(tái)都可以直接登陸進(jìn)去了，這就是單點(diǎn)登錄的使用場(chǎng)景。JWT就是實(shí)現(xiàn)單點(diǎn)登錄的一種技術(shù)，其他的還有oath2等。

1 什么是微服務(wù)鑒權(quán)

我們之前已經(jīng)搭建過了網(wǎng)關(guān)，使用網(wǎng)關(guān)在網(wǎng)關(guān)系統(tǒng)中比較適合進(jìn)行權(quán)限校驗(yàn)。

在這里插入圖片描述

那么我們可以采用JWT的方式來實(shí)現(xiàn)鑒權(quán)校驗(yàn)。

2.代碼實(shí)現(xiàn)

思路分析

在這里插入圖片描述

1. 用戶進(jìn)入網(wǎng)關(guān)開始登陸，網(wǎng)關(guān)過濾器進(jìn)行判斷，如果是登錄，則路由到后臺(tái)管理微服務(wù)進(jìn)行登錄
2. 用戶登錄成功，后臺(tái)管理微服務(wù)簽發(fā)JWT TOKEN信息返回給用戶
3. 用戶再次進(jìn)入網(wǎng)關(guān)開始訪問，網(wǎng)關(guān)過濾器接收用戶攜帶的TOKEN
4. 網(wǎng)關(guān)過濾器解析TOKEN ，判斷是否有權(quán)限，如果有，則放行，如果沒有則返回未認(rèn)證錯(cuò)誤

簽發(fā)token

（1）創(chuàng)建類： JwtUtil

package com.mye.nacosprovider.jwt;
 
import com.alibaba.fastjson.JSON;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Component;
 
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;
import java.util.Date;


import java.util.*;

@Component
public class JwtUtil {
 
    //加密 解密時(shí)的密鑰 用來生成key
    public static final String JWT_KEY = "IT1995";
    
    /**
     * 生成加密后的秘鑰 secretKey
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

 
    public static String createJWT(String id, String subject, long ttlMillis){
 
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; //指定簽名的時(shí)候使用的簽名算法，也就是header那部分，jjwt已經(jīng)將這部分內(nèi)容封裝好了。
        long nowMillis = System.currentTimeMillis();//生成JWT的時(shí)間
        Date now = new Date(nowMillis);
        SecretKey key = generalKey();//生成簽名的時(shí)候使用的秘鑰secret,這個(gè)方法本地封裝了的，一般可以從本地配置文件中讀取，切記這個(gè)秘鑰不能外露哦。它就是你服務(wù)端的私鑰，在任何場(chǎng)景都不應(yīng)該流露出去。一旦客戶端得知這個(gè)secret, 那就意味著客戶端是可以自我簽發(fā)jwt了。
        JwtBuilder builder = Jwts.builder() //這里其實(shí)就是new一個(gè)JwtBuilder，設(shè)置jwt的body
//                .setClaims(claims)            //如果有私有聲明，一定要先設(shè)置這個(gè)自己創(chuàng)建的私有的聲明，這個(gè)是給builder的claim賦值，一旦寫在標(biāo)準(zhǔn)的聲明賦值之后，就是覆蓋了那些標(biāo)準(zhǔn)的聲明的
                .setId(id)                    //設(shè)置jti(JWT ID)：是JWT的唯一標(biāo)識(shí)，根據(jù)業(yè)務(wù)需要，這個(gè)可以設(shè)置為一個(gè)不重復(fù)的值，主要用來作為一次性token,從而回避重放攻擊。
                .setIssuedAt(now)            //iat: jwt的簽發(fā)時(shí)間
                .setSubject(subject)        //sub(Subject)：代表這個(gè)JWT的主體，即它的所有人，這個(gè)是一個(gè)json格式的字符串，可以存放什么userid，roldid之類的，作為什么用戶的唯一標(biāo)志。
                .signWith(signatureAlgorithm, key);//設(shè)置簽名使用的簽名算法和簽名使用的秘鑰
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp);        //設(shè)置過期時(shí)間
        }
        return builder.compact();            //就開始?jí)嚎s為xxxxxxxxxxxxxx.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx這樣的jwt
    }
 
    public static Claims parseJWT(String jwt){

        SecretKey key = generalKey();  //簽名秘鑰，和生成的簽名的秘鑰一模一樣
        Claims claims = Jwts.parser()  //得到DefaultJwtParser
                .setSigningKey(key)         //設(shè)置簽名的秘鑰
                .parseClaimsJws(jwt).getBody();//設(shè)置需要解析的jwt
        return claims;
    }
 
    public static void main(String[] args){
 
        Map<String, Object> user = new HashMap<>();
        user.put("username", "it1995");
        user.put("password", "123456");
        String jwt = createJWT(UUID.randomUUID().toString(), JSON.toJSONString(user), 3600 * 24);
 
        System.out.println("加密后：" + jwt);
 
        //解密
        Claims claims = parseJWT(jwt);
        System.out.println("解密后：" + claims.getSubject());
    }
}

(2)修改login方法,用戶登錄成功則簽發(fā)TOKEN

@PostMapping("/login")
    public String login(@RequestBody User user){
        //在redis中根據(jù)用戶名查找密碼
        String password = redisTemplate.opsForValue().get(user.getUsername());
        System.out.println(password);
        boolean checkResult = BCrypt.checkpw(user.getPassword(), password);
        if (checkResult){
            Map<String, String> info = new HashMap<>();
            info.put("username", user.getUsername());
            String token = JwtUtil.createJWT(UUID.randomUUID().toString(), user.getUsername(), 3600L*1000);
            info.put("token",token);
            return JSONUtil.toJsonStr(info);
        }else {
            return "登錄失敗";
        }
    }

(3) 測(cè)試

在這里插入圖片描述

網(wǎng)關(guān)過濾器驗(yàn)證token

（1）網(wǎng)關(guān)模塊添加依賴

<!--鑒權(quán)-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

（2）創(chuàng)建JWTUtil類

package com.mye.nacosprovider.jwt;
 
import com.alibaba.fastjson.JSON;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.stereotype.Component;
 
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;
import java.util.Date;


import java.util.*;

@Component
public class JwtUtil {
 
    //加密 解密時(shí)的密鑰 用來生成key
    public static final String JWT_KEY = "IT1995";
    
    /**
     * 生成加密后的秘鑰 secretKey
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

 
    public static String createJWT(String id, String subject, long ttlMillis){
 
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; //指定簽名的時(shí)候使用的簽名算法，也就是header那部分，jjwt已經(jīng)將這部分內(nèi)容封裝好了。
        long nowMillis = System.currentTimeMillis();//生成JWT的時(shí)間
        Date now = new Date(nowMillis);
        SecretKey key = generalKey();//生成簽名的時(shí)候使用的秘鑰secret,這個(gè)方法本地封裝了的，一般可以從本地配置文件中讀取，切記這個(gè)秘鑰不能外露哦。它就是你服務(wù)端的私鑰，在任何場(chǎng)景都不應(yīng)該流露出去。一旦客戶端得知這個(gè)secret, 那就意味著客戶端是可以自我簽發(fā)jwt了。
        JwtBuilder builder = Jwts.builder() //這里其實(shí)就是new一個(gè)JwtBuilder，設(shè)置jwt的body
//                .setClaims(claims)            //如果有私有聲明，一定要先設(shè)置這個(gè)自己創(chuàng)建的私有的聲明，這個(gè)是給builder的claim賦值，一旦寫在標(biāo)準(zhǔn)的聲明賦值之后，就是覆蓋了那些標(biāo)準(zhǔn)的聲明的
                .setId(id)                    //設(shè)置jti(JWT ID)：是JWT的唯一標(biāo)識(shí)，根據(jù)業(yè)務(wù)需要，這個(gè)可以設(shè)置為一個(gè)不重復(fù)的值，主要用來作為一次性token,從而回避重放攻擊。
                .setIssuedAt(now)            //iat: jwt的簽發(fā)時(shí)間
                .setSubject(subject)        //sub(Subject)：代表這個(gè)JWT的主體，即它的所有人，這個(gè)是一個(gè)json格式的字符串，可以存放什么userid，roldid之類的，作為什么用戶的唯一標(biāo)志。
                .signWith(signatureAlgorithm, key);//設(shè)置簽名使用的簽名算法和簽名使用的秘鑰
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp);        //設(shè)置過期時(shí)間
        }
        return builder.compact();            //就開始?jí)嚎s為xxxxxxxxxxxxxx.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx這樣的jwt
    }
 
    public static Claims parseJWT(String jwt){

        SecretKey key = generalKey();  //簽名秘鑰，和生成的簽名的秘鑰一模一樣
        Claims claims = Jwts.parser()  //得到DefaultJwtParser
                .setSigningKey(key)         //設(shè)置簽名的秘鑰
                .parseClaimsJws(jwt).getBody();//設(shè)置需要解析的jwt
        return claims;
    }
 
    public static void main(String[] args){
 
        Map<String, Object> user = new HashMap<>();
        user.put("username", "it1995");
        user.put("password", "123456");
        String jwt = createJWT(UUID.randomUUID().toString(), JSON.toJSONString(user), 3600 * 24);
 
        System.out.println("加密后：" + jwt);
 
        //解密
        Claims claims = parseJWT(jwt);
        System.out.println("解密后：" + claims.getSubject());
    }
}

（3）創(chuàng)建過濾器，用于token驗(yàn)證

/**
 * 鑒權(quán)過濾器 驗(yàn)證token
 */
@Component
public class AuthorizeFilter implements GlobalFilter, Ordered {
    private static final String AUTHORIZE_TOKEN = "token";

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
		//1. 獲取請(qǐng)求
        ServerHttpRequest request = exchange.getRequest();
        //2. 則獲取響應(yīng)
        ServerHttpResponse response = exchange.getResponse();
        //3. 如果是登錄請(qǐng)求則放行
        if (request.getURI().getPath().contains("/admin/login")) {
            return chain.filter(exchange);
        }
        //4. 獲取請(qǐng)求頭
        HttpHeaders headers = request.getHeaders();
        //5. 請(qǐng)求頭中獲取令牌
        String token = headers.getFirst(AUTHORIZE_TOKEN);

        //6. 判斷請(qǐng)求頭中是否有令牌
        if (StringUtils.isEmpty(token)) {
            //7. 響應(yīng)中放入返回的狀態(tài)嗎, 沒有權(quán)限訪問
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            //8. 返回
            return response.setComplete();
        }

        //9. 如果請(qǐng)求頭中有令牌則解析令牌
        try {
            JwtUtil.parseJWT(token);
        } catch (Exception e) {
            e.printStackTrace();
            //10. 解析jwt令牌出錯(cuò), 說明令牌過期或者偽造等不合法情況出現(xiàn)
            response.setStatusCode(HttpStatus.UNAUTHORIZED);
            //11. 返回
            return response.setComplete();
        }
        //12. 放行
        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        return 0;
    }
}

（4）測(cè)試：

首先進(jìn)行登錄測(cè)試

在這里插入圖片描述

在進(jìn)行鑒權(quán)測(cè)試

在這里插入圖片描述

到此這篇關(guān)于SpringCloud中Gateway實(shí)現(xiàn)鑒權(quán)的方法的文章就介紹到這了,更多相關(guān)SpringCloud Gateway鑒權(quán)內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: