JSON Web Token在登陆中的使用过程
更新时间:2025年04月02日 10:57:15 作者:Xwzzz_
这篇文章主要介绍了JSON Web Token在登陆中的使用过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用环境间安全地传递声明。它的主要用途是身份验证和信息交换。
在微服务架构中,JWT 作为认证机制非常常见,特别是与 API 网关结合使用时。
JWT 介绍
JWT 是由三部分组成的:
- Header(头部):通常包含签名的算法信息(例如 HMAC SHA256 或 RSA)。
- Payload(负载):包含声明(Claims)。声明可以是关于实体(通常是用户)的信息,或者元数据。JWT 的负载部分是 base64 编码的。
- Signature(签名):签名是用来验证 JWT 数据是否被篡改的。它通过将 header 和 payload 使用私钥加密生成,确保 JWT 的数据安全性和完整性。
微服务架构中的 JWT 使用
在微服务架构中,多个微服务通常会通过 HTTP 请求进行交互。如果没有合适的认证机制,用户的身份验证信息可能会在多个服务之间重复验证,这不但增加了冗余,也降低了安全性。
JWT 在这种情况下非常有用,因为它能在用户登录时生成一个有效的 token,该 token 可以在不同的服务之间传递,而不需要每个服务都进行用户认证。
结合微服务网关的 JWT 验证
微服务网关(如 Spring Cloud Gateway 或 Nginx)在微服务架构中起到了流量管理、路由、负载均衡等作用。
JWT 与微服务网关结合时,网关通常扮演验证用户身份的角色。
具体的流程如下:
流程示例
- 用户登录:用户通过用户名和密码登录。后端服务会验证这些凭证,如果验证成功,则生成一个 JWT token 返回给前端。
- 前端保存 JWT:前端将 JWT 保存在客户端(如 localStorage 或 sessionStorage),并在后续的 API 请求中将其添加到 HTTP 请求的 Authorization 头中。
- 微服务网关验证 JWT:用户在每次请求时会将 JWT 发送到微服务网关。网关会验证 JWT 的有效性、签名、过期时间等。如果 JWT 合法,则网关将请求转发给目标微服务。
- 微服务接收请求:微服务通过网关接收到请求时,已经可以信任这个用户的身份,无需再进行身份验证。微服务可以从 JWT 的 Payload 中提取用户信息来处理请求。
1. 用户登录,生成 JWT
public class JwtUtil {
private static final String SECRET_KEY = "secret"; // 用于加密的秘钥
// 生成 JWT
public static String createJWT(String userName) {
return Jwts.builder()
.setSubject(userName)
.setIssuedAt(new Date()) // 设置发放时间
.setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 设置过期时间,1小时
.signWith(SignatureAlgorithm.HS256, SECRET_KEY) // 使用 HMAC-SHA256 加密
.compact();
}
// 解析 JWT
public static Claims parseJWT(String jwt) {
return Jwts.parser()
.setSigningKey(SECRET_KEY)
.parseClaimsJws(jwt)
.getBody();
}
}2. 自定义过滤器来实现 JWT 的验证
@Component
public class JwtAuthenticationFilter implements GatewayFilter, Ordered {
private static final String AUTHORIZATION_HEADER = "Authorization";
@Override
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
String token = exchange.getRequest().getHeaders().getFirst(AUTHORIZATION_HEADER);
if (token == null || !token.startsWith("Bearer ")) {
return Mono.error(new RuntimeException("Unauthorized"));
}
try {
String jwt = token.substring(7); // 去掉 "Bearer " 前缀
Claims claims = JwtUtil.parseJWT(jwt); // 解析 JWT
// 可以根据解析的 claims 来做进一步的验证或设置安全上下文
exchange.getRequest().mutate()
.header("User", claims.getSubject()) // 在请求头中设置用户信息
.build();
} catch (Exception e) {
return Mono.error(new RuntimeException("Invalid token"));
}
return chain.filter(exchange); // 继续处理请求
}
@Override
public int getOrder() {
return -1; // 优先级,越小越优先
}
}3. 微服务中使用 JWT 数据
微服务从网关接收到请求时,可以直接从请求头中读取用户信息:
@RestController
@RequestMapping("/user")
public class UserController {
@GetMapping("/info")
public String getUserInfo(@RequestHeader("User") String userName) {
// 使用 userName 获取用户信息
return "Hello, " + userName;
}
}总结
通过将 JWT 和微服务网关结合使用,可以实现分布式系统中的统一身份验证。用户登录时通过 JWT 获取认证信息,网关负责验证 JWT 的有效性和用户身份,然后将请求转发到对应的微服务。微服务无需再验证用户身份,只需要从 JWT 中提取必要的用户信息进行业务处理。
这种方式有效地减少了重复认证的开销,同时提高了系统的安全性和可扩展性。
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
这篇文章主要介绍了Spring Boot 应用如何提高服务吞吐量,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-07-07
这篇文章主要介绍了Java面向对象编程(封装/继承/多态)实例解析的相关内容,具有一定参考价值,需要的朋友可以了解下。2017-10-10
本篇文章主要介绍了Java Web项目中编写定时任务的实现,具有一定的参考价值,有兴趣的可以了解一下。2017-01-01
这篇文章主要介绍了Java序列化中子类、父类构造函数问题,结合实例形式分析了java父类与子类构造函数中序列化接口调用相关操作技巧与使用注意事项,需要的朋友可以参考下2019-09-09
这篇文章主要介绍了Java使用fill()数组填充的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2021-01-01
UDP是与TCP相对应的协议,UDP适用于一次只传送少量数据、对可靠性要求不高的应用环境。正因为UDP协议没有连接的过程,所以它的通信效率高;但也正因为如此,它的可靠性不如TCP协议高,本文给大家介绍java实现基于UDP协议的聊天小程序操作,感兴趣的朋友一起看看吧2021-10-10
这篇文章主要介绍了浅谈java的守护线程与非守护线程,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-10-10
这篇文章主要为大家详细介绍了Java实现无头双向链表的基本操作,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2022-01-01
这篇文章主要介绍了Java如何从内存解析的角度理解“数组名实质是一个地址”,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习吧2022-09-09
mybaties plus selectMaps和selectList的区别说明
这篇文章主要介绍了mybaties plus selectMaps和selectList的区别说明,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-12-12
最新评论