摘要

---

Spring Cloud Security 為構建安全的SpringBoot應用提供了一系列解決方案，結合Oauth2還可以實現更多功能，比如使用JWT令牌存儲信息，刷新令牌功能，本文將對其結合JWT使用進行詳細介紹。

JWT簡介

---

JWT是JSON WEB TOKEN的縮寫，它是基于 RFC 7519 標準定義的一種可以安全傳輸的的JSON對象，由于使用了數字簽名，所以是可信任和安全的。

JWT的組成

• JWT token的格式：header.payload.signature；
• header中用于存放簽名的生成算法；

{"alg": "HS256","typ": "JWT" }

• payload中用于存放數據，比如過期時間、用戶名、用戶所擁有的權限等；

{"exp": 1572682831,"user_name": "macro","authorities": ["admin"],"jti": "c1a0645a-28b5-4468-b4c7-9623131853af","client_id": "admin","scope": ["all"] }

• signature為以header和payload生成的簽名，一旦header和payload被篡改，驗證將失敗。

JWT實例

• 這是一個JWT的字符串：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1NzI2ODI4MzEsInVzZXJfbmFtZSI6Im1hY3JvIiwiYXV0aG9yaXRpZXMiOlsiYWRtaW4iXSwianRpIjoiYzFhMDY0NWEtMjhiNS00NDY4LWI0YzctOTYyMzEzMTg1M2FmIiwiY2xpZW50X2lkIjoiYWRtaW4iLCJzY29wZSI6WyJhbGwiXX0.x4i6sRN49R6JSjd5hd1Fr2DdEMBsYdC4KB6Uw1huXPg

• 可以在該網站上獲得解析結果：https://jwt.io/
  

創建oauth2-jwt-server模塊

---

該模塊只是對oauth2-server模塊的擴展，直接復制過來擴展下下即可。

oauth2中存儲令牌的方式

---

在上一節中我們都是把令牌存儲在內存中的，這樣如果部署多個服務，就會導致無法使用令牌的問題。 Spring Cloud Security中有兩種存儲令牌的方式可用于解決該問題，一種是使用Redis來存儲，另一種是使用JWT來存儲。

使用Redis存儲令牌

• 在pom.xml中添加Redis相關依賴：

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId> </dependency>

• 在application.yml中添加redis相關配置：

spring:redis: #redis相關配置password: 123456 #有密碼時設置

• 添加在Redis中存儲令牌的配置：

/*** 使用redis存儲token的配置* Created by macro on 2019/10/8.*/ @Configuration public class RedisTokenStoreConfig {@Autowiredprivate RedisConnectionFactory redisConnectionFactory;@Beanpublic TokenStore redisTokenStore (){return new RedisTokenStore(redisConnectionFactory);} }

• 在認證服務器配置中指定令牌的存儲策略為Redis：

/*** 認證服務器配置* Created by macro on 2019/9/30.*/ @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {@Autowiredprivate PasswordEncoder passwordEncoder;@Autowiredprivate AuthenticationManager authenticationManager;@Autowiredprivate UserService userService;@Autowired@Qualifier("redisTokenStore")private TokenStore tokenStore;/*** 使用密碼模式需要配置*/@Overridepublic void configure(AuthorizationServerEndpointsConfigurer endpoints) {endpoints.authenticationManager(authenticationManager).userDetailsService(userService).tokenStore(tokenStore);//配置令牌存儲策略}//省略代碼... }

• 運行項目后使用密碼模式來獲取令牌，訪問如下地址：http://localhost:9401/oauth/token
  
• 進行獲取令牌操作，可以發現令牌已經被存儲到Redis中
  

使用JWT存儲令牌

• 添加使用JWT存儲令牌的配置：

/*** 使用Jwt存儲token的配置* Created by macro on 2019/10/8.*/ @Configuration public class JwtTokenStoreConfig {@Beanpublic TokenStore jwtTokenStore() {return new JwtTokenStore(jwtAccessTokenConverter());}@Beanpublic JwtAccessTokenConverter jwtAccessTokenConverter() {JwtAccessTokenConverter accessTokenConverter = new JwtAccessTokenConverter();accessTokenConverter.setSigningKey("test_key");//配置JWT使用的秘鑰return accessTokenConverter;} }

• 在認證服務器配置中指定令牌的存儲策略為JWT：

/*** 認證服務器配置* Created by macro on 2019/9/30.*/ @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {@Autowiredprivate PasswordEncoder passwordEncoder;@Autowiredprivate AuthenticationManager authenticationManager;@Autowiredprivate UserService userService;@Autowired@Qualifier("jwtTokenStore")private TokenStore tokenStore;@Autowiredprivate JwtAccessTokenConverter jwtAccessTokenConverter;@Autowiredprivate JwtTokenEnhancer jwtTokenEnhancer;/*** 使用密碼模式需要配置*/@Overridepublic void configure(AuthorizationServerEndpointsConfigurer endpoints) {endpoints.authenticationManager(authenticationManager).userDetailsService(userService).tokenStore(tokenStore) //配置令牌存儲策略.accessTokenConverter(jwtAccessTokenConverter);}//省略代碼... }

• 運行項目后使用密碼模式來獲取令牌，訪問如下地址：http://localhost:9401/oauth/token
  
• 發現獲取到的令牌已經變成了JWT令牌，將access_token拿到https://jwt.io/ 網站上去解析下可以獲得其中內容。

{"exp": 1572682831,"user_name": "macro","authorities": ["admin"],"jti": "c1a0645a-28b5-4468-b4c7-9623131853af","client_id": "admin","scope": ["all"] }

擴展JWT中存儲的內容

---

有時候我們需要擴展JWT中存儲的內容，這里我們在JWT中擴展一個key為enhance，value為 enhance info 的數據。

• 繼承TokenEnhancer實現一個JWT內容增強器：

/*** Jwt內容增強器* Created by macro on 2019/10/8.*/ public class JwtTokenEnhancer implements TokenEnhancer {@Overridepublic OAuth2AccessToken enhance(OAuth2AccessToken accessToken, OAuth2Authentication authentication) {Map<String, Object> info = new HashMap<>();info.put("enhance", "enhance info");((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(info);return accessToken;} }

• 創建一個JwtTokenEnhancer實例：

/*** 使用Jwt存儲token的配置* Created by macro on 2019/10/8.*/ @Configuration public class JwtTokenStoreConfig {//省略代碼...@Beanpublic JwtTokenEnhancer jwtTokenEnhancer() {return new JwtTokenEnhancer();} }

• 在認證服務器配置中配置JWT的內容增強器：

/*** 認證服務器配置* Created by macro on 2019/9/30.*/ @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {@Autowiredprivate PasswordEncoder passwordEncoder;@Autowiredprivate AuthenticationManager authenticationManager;@Autowiredprivate UserService userService;@Autowired@Qualifier("jwtTokenStore")private TokenStore tokenStore;@Autowiredprivate JwtAccessTokenConverter jwtAccessTokenConverter;@Autowiredprivate JwtTokenEnhancer jwtTokenEnhancer;/*** 使用密碼模式需要配置*/@Overridepublic void configure(AuthorizationServerEndpointsConfigurer endpoints) {TokenEnhancerChain enhancerChain = new TokenEnhancerChain();List<TokenEnhancer> delegates = new ArrayList<>();delegates.add(jwtTokenEnhancer); //配置JWT的內容增強器delegates.add(jwtAccessTokenConverter);enhancerChain.setTokenEnhancers(delegates);endpoints.authenticationManager(authenticationManager).userDetailsService(userService).tokenStore(tokenStore) //配置令牌存儲策略.accessTokenConverter(jwtAccessTokenConverter).tokenEnhancer(enhancerChain);}//省略代碼... }

• 運行項目后使用密碼模式來獲取令牌，之后對令牌進行解析，發現已經包含擴展的內容。

{"user_name": "macro","scope": ["all"],"exp": 1572683821,"authorities": ["admin"],"jti": "1ed1b0d8-f4ea-45a7-8375-211001a51a9e","client_id": "admin","enhance": "enhance info" }

Java中解析JWT中的內容

---

如果我們需要獲取JWT中的信息，可以使用一個叫jjwt的工具包。

• 在pom.xml中添加相關依賴：

<dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt</artifactId><version>0.9.0</version> </dependency>

• 修改UserController類，使用jjwt工具類來解析Authorization頭中存儲的JWT內容。

/*** Created by macro on 2019/9/30.*/ @RestController @RequestMapping("/user") public class UserController {@GetMapping("/getCurrentUser")public Object getCurrentUser(Authentication authentication, HttpServletRequest request) {String header = request.getHeader("Authorization");String token = StrUtil.subAfter(header, "bearer ", false);return Jwts.parser().setSigningKey("test_key".getBytes(StandardCharsets.UTF_8)).parseClaimsJws(token).getBody();}}

• 將令牌放入Authorization頭中，訪問如下地址獲取信息：
  http://localhost:9401/user/getCurrentUser
  

刷新令牌

---

在Spring Cloud Security 中使用oauth2時，如果令牌失效了，可以使用刷新令牌通過refresh_token的授權模式再次獲取access_token。

• 只需修改認證服務器的配置，添加refresh_token的授權模式即可。

/*** 認證服務器配置* Created by macro on 2019/9/30.*/ @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {@Overridepublic void configure(ClientDetailsServiceConfigurer clients) throws Exception {clients.inMemory().withClient("admin").secret(passwordEncoder.encode("admin123456")).accessTokenValiditySeconds(3600).refreshTokenValiditySeconds(864000).redirectUris("http://www.baidu.com").autoApprove(true) //自動授權配置.scopes("all").authorizedGrantTypes("authorization_code","password","refresh_token"); //添加授權模式} }

• 使用刷新令牌模式來獲取新的令牌，訪問如下地址：http://localhost:9401/oauth/token
  

使用到的模塊

---

springcloud-learning └── oauth2-jwt-server -- 使用jwt的oauth2認證測試服務

總結

以上是生活随笔為你收集整理的Spring Cloud Security：Oauth2结合JWT使用的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。