微服务网关:spring cloud gateway实现jwt统一认证
java1234
共 6282字,需浏览 13分钟
· 2020-10-20
点击上方蓝色字体,选择“标星公众号”
优质文章,第一时间送达
作者 | 坚持坚持
来源 | urlify.cn/VjIZJ3
当你的项目中服务越来越多,每个服务都有自己的监听地址而又需要把这些服务提供给各式的客户端或第三方使用,那么需要把每个服务地址都暴露出来吗?如果某个服务有多个运行实例,如果进行负载均衡?用户认证和授权需要在每个服务上都做吗,能否统一做?要解决这些问题,就需要用到Api网关,Api网关提供Api请求转发服务并可与Eureka结合实现路由转发和负载均衡,同时利用AOP特性可以实现微服务用户统一认证和授权。目前比较流行的Api网关有Zuul、springcloud gateway以及支持dotnetcore的ocelot。本文使用的是springcloud。
一,搭建springcloud gateway
1,新建一个springboot项目,引入eureka-client和stater-gateway
org.springframework.cloud
spring-cloud-starter-gateway
org.springframework.cloud
spring-cloud-starter-netflix-eureka-client
org.springframework.boot
spring-boot-starter-test
test
org.junit.vintage
junit-vintage-engine
2,项目配置文件:Application.yml
server:
port: 8020
spring:
application:
name: gateway-server
cloud:
gateway:
discovery:
locator:
enabled: true //启用网关服务发关
lower-case-service-id: true //支持小写字母的服务名称(注册到eureka的服务)
ek:
username: eureka
password: 123456
eureka-url: 127.0.0.1
eureka-port: 8765
eureka:
client:
service-url:
defaultZone:
http://${ek.username}:${ek.password}@${ek.eureka-url}:${ek.eureka-port}/eureka //Eureka注册地址
instance:
prefer-ip-address: true //启用优先IP地址注册
instance-id: ${spring.application.name}@${spring.cloud.client.ip-address}@${server.port} //本网关注册到Eureka的实例id
3,启用项目注册到Eureka,并通过网关访问Api
验证Api
二,DotnetCore JWT证书颁布服务
1,新建一个web api项目,Nuget添加:System.IdentityModel.Tokens.Jwt、Microsoft.IdentityModel.Tokens两个包。配置文件添加jwt配置信息。
appsetting.json 注意:Key用于jwt的签名,长度不能少于16位。可用openssl生成一个32位的密钥。
"Identity": {
"Jwt": {
"Key": "1234567890123456",
"Domain": "kingsun.mico"
}
}
使用IOptions读取配置信息并写入依赖
Startup.cs
public void ConfigureServices(IServiceCollection services)
{
services.Configure(Configuration.GetSection("Identity"));
services.AddControllers();
}
2,新建一个名为Token的Api控制器并创建接口GetToken
[Route("api/[controller]")]
[ApiController]
public class TokenController : ControllerBase
{
JwtConfig config;
public TokenController(IOptions< JwtConfig > config)
{
this.config = config.Value;
}
public class GetTokenRequest
{
[Required]
public string Name { get; set; }
[Required]
public string Password { get; set; }
}
public class GetTokenRespone
{
public int Code { get; set; }
public string Msg { get; set; }
public string Data { get; set; }
}
[HttpPost("GetToken")]
public object GetToken([FromBody] GetTokenRequest data)
{
GetTokenRespone respone = new GetTokenRespone()
{
Code = 0
};
if (!ModelState.IsValid)
{
respone.Msg = "用户名或密码不能为空";
return respone;
}
//验证密码逻辑
//....
//jwt中payload键值对内容
List claims = new List()
{
//用户名
new Claim("name",data.Name)
};
var key = new SymmetricSecurityKey(System.Text.Encoding.UTF8.GetBytes(config.Jwt.Key));
var creds = new SigningCredentials(key,SecurityAlgorithms.HmacSha256);
var token = new JwtSecurityToken(
issuer: "liujb", audience: config.Jwt.Domain, claims: claims, signingCredentials: creds, expires:DateTime.Now.AddDays(1),notBefore:DateTime.Now
);
respone.Code = 1;
respone.Msg = "请求成功";
respone.Data = new JwtSecurityTokenHandler().WriteToken(token);
return respone;
}
}
3,获取jwt令牌
可拿此令牌验证后内容如下:
4,将此服务注册到Eureka后用api网关转发服务获取token:http://localhost:8020/eureka-identity/api/token/gettoken
{
"code": 1,
"msg": "请求成功",
"data": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoibGl1amIiLCJuYmYiOiIxNjAyODE3NjY1MjMwIiwiZXhwIjoiMTYwMjkwNDA2NTIzMCIsImlzcyI6ImxpdWpiIiwiYXVkIjoia2luZ3N1bi5taWNvIn0.5pIrNumEEy280-sCWp4d0K05Skc2Ptn1sK732Rw-L-A"
}
三,在api网关统一做接口认证
1,在第一步建立的网关项目中maven加入java-jwt依赖
com.auth0
java-jwt
3.11.0
配置文件加入jwt密钥:jwt.key=1234567890123456。值与第二步的中密钥一致。
2,在该项目新建一个全局过滤器。
@Component
public class JwtFilter implements GlobalFilter, Ordered {
@Value("${jwt.key}")
public String jwtKey;
Logger logger=null;
public JwtFilter(){
logger= LoggerFactory.getLogger("JwtFilter");
}
@Override
public Mono filter(ServerWebExchange exchange, GatewayFilterChain chain) {
String requestUrl=exchange.getRequest().getPath().toString();
ServerHttpResponse response = exchange.getResponse();
/*过滤掉获取token的接口*/
if(requestUrl.toLowerCase().equals("/eureka-identity/api/token/gettoken")){
return chain.filter(exchange);
}
//获取token
String token=exchange.getRequest().getHeaders().getFirst("Authorization");
//没有token返回未认证
if(token==null||token==""){
response.setStatusCode(HttpStatus.UNAUTHORIZED);
return response.setComplete();
}
try{
this.getJwtByToken(token,jwtKey,null);
return chain.filter(exchange);
}
catch(Exception ex){
logger.error(ex.getMessage());
response.setStatusCode(HttpStatus.UNAUTHORIZED);
return response.setComplete();
}
}
@Override
public int getOrder() {
return 0;
}
private DecodedJWT getJwtByToken(String token, String key, Map claims) throws Exception{
Algorithm algorithm = Algorithm.HMAC256(key);
Verification verifier= JWT.require(algorithm)
.withIssuer("liujb");
if(claims!=null){
claims.forEach((mapKey,mapValue)->{
verifier.withClaim(mapKey,mapValue);
});}
JWTVerifier ver= verifier.build();
DecodedJWT jwt=ver.verify(token);
return jwt;
}
}
这里只做了简单的认证,以此基础进行深化,如根据不同的服务名称要求不同的claim。
3,测试
加入Authorization关,值为之前获取的jwt token
如果token不对或没有token都将返回401状态值
粉丝福利:108本java从入门到大神精选电子书领取
???
?长按上方锋哥微信二维码 2 秒 备注「1234」即可获取资料以及 可以进入java1234官方微信群
感谢点赞支持下哈 
评论
学一学 Spring Boot 3.x
在 Java 后端开发领域,功能强大的 Spring 开源框架不仅是首选,也是事实上的标准。但由于 Spring 存在配置烦琐、部署不易、依赖管理困难等问题,因此基于 Spring 的快速开发框架 Spring Boot 应运而生,它能大大简化 Spring 应用程序的配置和部署过程。2018 年,
小哈学Java
0
SpringBoot 实现图片防盗链功能
程序员的成长之路互联网/程序员/技术/资料共享 关注阅读本文大概需要 4 分钟。来自:blog.csdn.net/weixin_46157208/article/details/138051737前言出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地
程序员的成长之路
0
有意思!一个关于 Spring 历史的在线小游戏
发现 Spring One 的官网上有个好玩的彩蛋,分享给大家!进到Spring One的官网,可以看到右下角有个类似马里奥游戏中的金币图标。点击该金币之后,会打开一个新的页面,进入下面这样一个名为:The History Of Spring 的在线小游戏你可以使用上下左右的方向键来控制Spring
公众号程序猿DD
1
一站式解决方案:基于 Arthas 实现服务发现和权限控制
来源:juejin.cn/post/7281849496983994383👉 欢迎加入小哈的星球 ,你将获得: 专属的项目实战 / Java 学习路线 / 一对一提问 / 学习打卡 / 赠书福利全栈前后端分离博客项目 2.0 版本完结啦, 演示链接
小哈学Java
0
用 Shader 实现旗帜飘扬动画效果
我觉得对于刚入门 3D 编程的朋友来说,如果能够完成代码创建模型数据->创建材质->编写Shader动画这一系列,想必会有满满的成就感。今天就用 Cocos Creator 的 utils.MeshUtils.createMesh 接口,带大家感受一下这个流程。这个流程不仅可以用于新手学
COCOS
2
SpringBoot+Minio实现上传凭证、分片上传、秒传和断点续传
关注我们,设为星标,每天7:40不见不散,架构路上与您共享回复架构师获取资源大家好,我是你们的朋友架构君,一个会写代码吟诗的架构师。Spring Boot整合Minio后,前端的文件上传有两种方式:1、文件上传到后端,由后端保存到Minio这种方式好处是完全由后端集中管理,可以很好的做到、身份验证、
Java架构师社区
0
Higress 或许是目前最好的云原生网关?
Higress 是基于阿里内部的 Envoy Gateway 实践沉淀、以开源 Istio + Envoy 为核心构建的云原生 API 网关,实现了流量网关 + 微服务网关 + 安全网关三合一的高集成能力,深度集成 Dubbo、Nacos、Sentinel 等微服务技术栈,能够帮助用户极大的降低网关
k8s技术圈
18
超越原生,散点图实现华夫饼图
之前我们介绍过了如何使用新卡片图实现华夫饼图。参考:超越原生,PowerBI 华夫饼图实现但是利用卡片图实现的华夫饼图有一些缺点,形状之间的大小跟间距不太好把握,而且有时形状大一点的话显示就会不正常,需要做出二次调整。今天给大家介绍一种原生视觉对象生成华夫饼图的更佳方案,既简单又美观。上图是利用散点
PowerBI战友联盟
2