SpringCloud實現權限管理(網關+jwt版)

更新時間：2025年10月31日 09:37:04 作者：一介輸生

本文主要介紹了SpringCloud實現權限管理(網關+jwt版),文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧

首先要想一個問題：為什么微服務不能像普通的Spring Boot項目一樣鑒權？其實并不是不能，而是不適合。在微服務架構中使用 Spring Security + RBAC/JET 時，會面臨 "重復鑒權" 的核心痛點。下面從技術原理到解決方案完整解析這個問題。

問題本質：為什么會有重復鑒權？

傳統單體架構流程

所有權限校驗集中在一個應用內完成 • 用戶登錄后，Session或Token在單應用中全局有效

微服務架構下的流程

每個微服務都需要獨立完成：

解析Token
查詢數據庫驗證權限
構建SecurityContext

假設有3個服務鏈式調用：

客戶端 → 網關 → 服務A → 服務B → 服務C 每個服務都重復：查詢用戶數據（1次DB查詢）查詢權限數據（1次DB查詢） ??總查詢次數 = 3服務 × 2查詢 = 6次? • 在服務交叉的時候，導致 多次數據庫查詢 和 重復計算，使數據庫壓力倍增和網絡開銷疊加。

（1）創(chuàng)建 JWT 工具類

在util模塊下創(chuàng)建JWT 工具類

@Component
public class JwtTokenUtil {
    // 密鑰，用于簽名和驗證 JWT，應妥善保管
    @Value("${jwt.secret}")
    private String secret;
    // JWT 的過期時間，這里設置為 10 小時
    @Value("${jwt.expiration}")
    private Long expiration;

    // 根據用戶詳細信息生成 JWT
    public String generateToken(SysRoleNameUserId sysRoleNameUserId) {
        //自定義的聲明
        Map<String, Object> claims = new HashMap<>();
        //鑒權所需的權限角色
        claims.put("identities",sysRoleNameUserId.getRoleNames());
        return createToken(claims, String.valueOf(sysRoleNameUserId.getUserId()));
    }

    // 創(chuàng)建 JWT 的具體方法
    private String createToken(Map<String, Object> claims, String subject) {
        return Jwts.builder()
                .setClaims(claims)//自定義的聲明
                .setSubject(subject)//存的用戶id
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + expiration))
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();
    }

    //解析jwt
    public Claims extractAllClaims(String token) {
        return Jwts.parserBuilder()
                .setSigningKey(secret)
                .build()
                .parseClaimsJws(token)
                .getBody();
    }
}

JWT 的密鑰（jwt.secret）應通過配置中心（如 Nacos）或環(huán)境變量注入，避免硬編碼。這里選擇環(huán)境變量注入：在util模塊下的application.yml配置文件里面指定

jwt:
  secret: your-secret-key-here-must-be-at-least-256-bits-long
  expiration: 1000 * 60 * 60 * 10 # 10 hour

（2）創(chuàng)建JwtFilter

在gateway網關模塊創(chuàng)建JwtFilter過濾器來驗證并解析jwt，從而獲取權限信息

@Component
public class JwtFilter implements GlobalFilter, Ordered {

    @Resource
    private JwtTokenUtil jwtTokenUtil;

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        HttpHeaders headers = request.getHeaders();
        List<String> authHeader = headers.get("Authorization");
        if (authHeader != null && authHeader.get(0).startsWith("Bearer ")) {
            String token = authHeader.get(0).substring(7);
            // 驗證 JWT 并提取角色信息
            Claims claims = null;
            try{
                claims = jwtTokenUtil.extractAllClaims(token);
            }catch (IllegalArgumentException e) {
                //解析 JWT 時發(fā)生其他錯誤
                System.out.println("解析 token 時發(fā)生其他錯誤");
            } catch (ExpiredJwtException e) {
                //JWT 已過期
                System.out.println("token 已過期");
            }
            //取出權限角色列表
            Object identitiesObj = claims.get("identities");
            List<GrantedAuthority> authorities = new ArrayList<>();
            if (identitiesObj instanceof List<?>) {
                for (Object role : (List<?>) identitiesObj) {
                    if (role instanceof String) {
                        // 將字符串轉換為 SimpleGrantedAuthority
                        authorities.add(new SimpleGrantedAuthority((String) role));
                    }
                }
            }
            String userId = claims.getSubject();
            //將 Authentication 對象設置到 SecurityContextHolder 中后，Spring Security 就能在后續(xù)的授權過程中使用這些權限信息了。
            Authentication authentication = new UsernamePasswordAuthenticationToken(userId, null, authorities);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
        return -1;
    }
}

（3）配置 Spring Security

在網關gateway模塊配置所有微服務整體的權限管理規(guī)則：

@Configuration
@EnableWebFluxSecurity
public class SecurityConfig {

    @Bean
    public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
        http.csrf().disable()// 關閉 CSRF（跨站請求偽造）防護。在無狀態(tài) API（如 JWT 場景）中，CSRF 防護不必要（通常依賴 Authorization 頭而非 Cookie）。 避免對 POST、PUT 等請求要求攜帶 CSRF Token。
                .authorizeExchange()
                .pathMatchers("/api/product/**").permitAll()
                .pathMatchers("/admin/**").permitAll()
                .anyExchange().authenticated();
        return http.build();
    }
}

如果各個微服務還需要獨自的更細粒度的權限控制，只需要在單個微服務模塊中單獨配置一個Spring Security就行了。

到此這篇關于SpringCloud實現權限管理(網關+jwt版)的文章就介紹到這了,更多相關SpringCloud 權限管理內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

Java報錯：java.lang.UnsatisfiedLinkError問題的解決辦法
在Java開發(fā)中,java.lang.UnsatisfiedLinkError是一種與本地方法調用相關的常見異常,本文將詳細分析這一異常的背景、可能的原因、錯誤代碼示例、正確代碼示例,以及編寫代碼時需要注意的事項,需要的朋友可以參考下
2024-09-09
SpringBoot 多數據源及事務解決方案小結
本文主要介紹了多數據源管理的解決方案(應用層事務,而非XA二段提交保證),以及對多個庫同時操作的事務管理,具有一定的參考價值,感興趣的可以了解一下
2024-06-06
Java將文件上傳到ftp服務器
這篇文章主要為大家詳細介紹了Java將文件上傳到ftp服務器，文中示例代碼介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2022-06-06
java中struts2實現文件上傳下載功能
這篇文章主要介紹了java中struts2實現文件上傳下載功能的方法,以實例形式分析了struts2文件上傳下載功能的實現技巧與相關問題,具有一定的參考借鑒價值,需要的朋友可以參考下
2016-05-05
java @Data布爾值boolean的坑及解決
本文介紹了在使用Spring框架時,遇到的一個屬性命名規(guī)則問題,在Spring框架中,如果類的屬性名稱第一個字母小寫,第二個字母大寫,那么在調用set方法時,Spring會將屬性的后面的字母轉換為小寫,這種情況下,如果下游消費端調用得到的返回json串
2024-10-10
Java實現Linux下雙守護進程
這篇文章主要介紹了Java實現Linux下雙守護進程的思路、原理以及具體實現方式，非常的詳細，希望對大家有所幫助
2014-10-10
Java設計模式之觀察者模式解析
這篇文章主要介紹了Java設計模式之觀察者模式解析,觀察者模式,又被稱為發(fā)布/訂閱模式,它定義了一種一對多的依賴關系,讓多個觀察者對象同時監(jiān)聽某一個主題對象,這個主題對象在狀態(tài)變化時,會通知所有的觀察者對象,使他們能夠自動更新自己,需要的朋友可以參考下
2023-09-09
Java Class 加密工具 ClassFinal詳解
ClassFinal 是一款 java class 文件安全加密工具，支持直接加密jar包或war包，無需修改任何項目代碼，兼容spring-framework；可避免源碼泄漏或字節(jié)碼被反編譯，這篇文章主要介紹了Java Class 加密工具 ClassFinal,需要的朋友可以參考下
2023-03-03
如何利用Java獲取當天的開始和結束時間
這篇文章主要介紹了如何使用Java?8的LocalDate和LocalDateTime類獲取指定日期的開始和結束時間,展示了如何通過這些類進行日期和時間的處理,從而簡化了日期時間操作,需要的朋友可以參考下
2025-02-02
Java線程隊列LinkedBlockingQueue的使用
本文主要介紹了Java線程隊列LinkedBlockingQueue的使用，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2023-06-06