Spring cloud微服务安全实战-6-2JWT认证之认证服务改造

Posted 青春是课桌下风干的鼻屎,是借了不还的直尺。

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring cloud微服务安全实战-6-2JWT认证之认证服务改造相关的知识,希望对你有一定的参考价值。

首先来解决认证的问题。

1.效率低,每次认证都要去认证服务器调一次服务。
2.传递用户身份,在请求头里面,
3.服务之间传递请求头比较麻烦。

jwt令牌。
spring提供了工具,帮你在微服务之间传递令牌。让你不用去写额外的代码

服务器端的改造

看一下认证服务器配置的这个类。这里有个tokenStore,就是令牌的存储器。现在用的是jdbc的TokenStore,令牌是存在数据库里的

我们new  一个jwtTokenStore它 需要一个参数jwtTokenEnhancer



需要set一个key就是签名的键。jwt本身不是加密的,谁都可以看到令牌里的信息,它用来保证安全的方式就这个签名。你需要用一个key对这个token进行签名。然后使用token的人用相同的key去验证签名,如果那个签名证明是这个key签出去的。那么就说明token里面的内容没被改过。没被改过,我就认为它是安全的。 




接收token的人需要这个key来验证签名,所以我们要把这个key当做一个服务暴露出去。 这样使用这个token的人才能通过这个服务拿到 这个key来验证签名。

这样spring Security就会往外暴露一个服务,然后只有经过认证的请求才能访问服务拿到这个TokenKey.就是这个字符串,然后拿到这个字符串去验签名

运行认证服务器测试

看一下jwt到底是个什么样子,然后再往下走。

直接访问认证服务器



把token复制出来。


order对应数据库内可以访问的resoure_ids




jti可以认为是令牌的id
client_id这个令牌是发给哪个应用的。这里可以看到是发给admin这个应用的

只是防串改,并不信息保密。所以不建议往jwt里面放一些和自己业务 相关的信息。可能会导致你的信息泄露。

这里我们用了简单的串做为key,生产的时候不要这么去做。因为一旦泄露,发出去的token就危险了。

key做安全措施

之前我们生成的key用来做https的证书,

现在拿这个证书来做签名的key。复制到认证中心项目里。




KeyStoreKeyFactory需要一个resource,resource就是我们的证书,

还需要证书的密码

这里配置了证书密码

这里我们就直接写死了。

证书在根目录下面。

给公私钥起的名字就叫做jojo。拿出来作为加密用的私钥就 可以了。

启动测试


重新发请求。




公私钥都粘上才能验内容到底是不是被篡改过。这样token的安全程度就会高一些。
jwt只是防串改,并不能加密里面的信息,信息谁都能看见。

结束

 

以上是关于Spring cloud微服务安全实战-6-2JWT认证之认证服务改造的主要内容,如果未能解决你的问题,请参考以下文章

Spring cloud微服务安全实战-7-1章节概述

Spring Cloud微服务安全实战_6-1_微服务之间的通讯安全之概述

Spring cloud微服务安全实战-4-4 OAuth2协议与微服务安全

Spring cloud微服务安全实战-6-1本章概述

Spring cloud微服务安全实战-4-8Zuul网关安全开发

Spring Cloud微服务安全实战_4-10_用spring-cloud-zuul-ratelimit做限流