Spring Cloud系列-Zuul網關集成JWT身份驗證

来源:https://www.cnblogs.com/lookup/archive/2019/12/07/zuul-jwt.html

前言 這兩三年項目中一直在使用比較流行的spring cloud框架,也算有一定積累,打算有時間就整理一些乾貨與大家分享。 本次分享zuul網關集成jwt身份驗證 業務背景 項目開發少不了身份認證,jwt作為當下比較流行的身份認證方式之一主要的特點是無狀態,把信息放在客戶端,伺服器端不需要保存ses ...


前言

這兩三年項目中一直在使用比較流行的spring cloud框架,也算有一定積累,打算有時間就整理一些乾貨與大家分享。
本次分享zuul網關集成jwt身份驗證

業務背景

項目開發少不了身份認證,jwt作為當下比較流行的身份認證方式之一主要的特點是無狀態,把信息放在客戶端,伺服器端不需要保存session,適合分散式系統使用。
把jwt集成在網關的好處是業務工程不需要關心身份驗證,專註業務邏輯(網關可驗證token後,把解析出來的身份信息如userId,放在請求頭傳遞給業務工程)。
順便分享下如何自定義Zuul攔截器

代碼詳解

一、JwtUtil

為了方便,先封裝好JwtUtil,主要包含兩個方法,創建token和解析(並驗證)token
這裡引用了第三方的包jjwt,簡單好用,maven依賴如下

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

jwtUtil封裝如下

@Component
public class JwtUtil {

    /**
     * 簽名用的密鑰
     */
    private static final String SIGNING_KEY = "78sebr72umyz33i9876gc31urjgyfhgj";

    /**
     * 用戶登錄成功後生成Jwt
     * 使用Hs256演算法
     *
     * @param exp jwt過期時間
     * @param claims 保存在Payload(有效載荷)中的內容
     * @return token字元串
     */
    public String createJWT(Date exp, Map<String, Object> claims) {
        //指定簽名的時候使用的簽名演算法
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        //生成JWT的時間
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);

        //創建一個JwtBuilder,設置jwt的body
        JwtBuilder builder = Jwts.builder()
                //保存在Payload(有效載荷)中的內容
                .setClaims(claims)
                //iat: jwt的簽發時間
                .setIssuedAt(now)
                //設置過期時間
                .setExpiration(exp)
                //設置簽名使用的簽名演算法和簽名使用的秘鑰
                .signWith(signatureAlgorithm, SIGNING_KEY);

        return builder.compact();
    }

    /**
     * 解析token,獲取到Payload(有效載荷)中的內容,包括驗證簽名,判斷是否過期
     *
     * @param token
     * @return
     */
    public Claims parseJWT(String token) {
        //得到DefaultJwtParser
        Claims claims = Jwts.parser()
                //設置簽名的秘鑰
                .setSigningKey(SIGNING_KEY)
                //設置需要解析的token
                .parseClaimsJws(token).getBody();
        return claims;
    }

}

二、自定義攔截器說明

繼承自ZuulFilter,並註冊到spring容器即可實現自定義攔截器,實現身份認證、參數校驗、參數傳遞等功能

@Component
public class CustomFilter extends ZuulFilter {

    /**
     * filterType:過濾器類型
     * <p>
     * pre:路由之前
     * routing:路由之時
     * post: 路由之後
     * error:發送錯誤調用
     *
     * @return
     */
    @Override
    public String filterType() {
        return FilterConstants.PRE_TYPE;
//        return FilterConstants.POST_TYPE;
    }

    /**
     * filterOrder:過濾的順序 序號配置可參照 https://blog.csdn.net/u010963948/article/details/100146656
     *
     * @return
     */
    @Override
    public int filterOrder() {
        return 0;
    }

    /**
     * shouldFilter:判斷是否要執行過濾
     *
     * @return true表示需要過濾,將對該請求執行run方法
     */
    @Override
    public boolean shouldFilter() {
        return true;
    }

    /**
     * run:具體過濾的業務邏輯,可做身份驗證,校驗參數等等
     *
     * @return
     */
    @Override
    public Object run() throws ZuulException {
        //獲取請求上下文對象
        RequestContext ctx = RequestContext.getCurrentContext();
        //獲取request對象
        HttpServletRequest request = ctx.getRequest();
        //獲取response對象
        HttpServletResponse response = ctx.getResponse();
        //添加請求頭,傳遞到業務服務
        ctx.addZuulRequestHeader("xxx", "xxx");
        //添加響應頭,返回給前端
        ctx.addZuulResponseHeader("xxx", "xxx");
        return null;
    }
}

三、LoginAddJwtPostFilter,攔截登錄方法,登錄成功時創建token,返回給前端

要點:

  1. 攔截類型是FilterConstants.POST_TYPE,在路由方法響應之後攔截
  2. 判斷請求的uri是否是登錄介面(與配置文件中設置的登錄uri是否匹配),需要在配置文件配置登錄介面地址
  3. 判斷登錄方法返回成功,創建token,並添加到 response body或response header,返回給前端
@Component
@Slf4j
public class LoginAddJwtPostFilter extends ZuulFilter {

    @Autowired
    ObjectMapper objectMapper;

    @Autowired
    JwtUtil jwtUtil;

    @Autowired
    DataFilterConfig dataFilterConfig;

    /**
     * pre:路由之前
     * routing:路由之時
     * post: 路由之後
     * error:發送錯誤調用
     *
     * @return
     */
    @Override
    public String filterType() {
        return FilterConstants.POST_TYPE;
    }

    /**
     * filterOrder:過濾的順序
     *
     * @return
     */
    @Override
    public int filterOrder() {
        return FilterConstants.SEND_RESPONSE_FILTER_ORDER - 2;
    }

    /**
     * shouldFilter:這裡可以寫邏輯判斷,是否要過濾
     *
     * @return
     */
    @Override
    public boolean shouldFilter() {
        //路徑與配置的相匹配,則執行過濾
        RequestContext ctx = RequestContext.getCurrentContext();
        for (String pathPattern : dataFilterConfig.getUserLoginPath()) {
            if (PathUtil.isPathMatch(pathPattern, ctx.getRequest().getRequestURI())) {
                return true;
            }
        }
        return false;
    }

    /**
     * 執行過濾器邏輯,登錄成功時給響應內容增加token
     *
     * @return
     */
    @Override
    public Object run() {
        RequestContext ctx = RequestContext.getCurrentContext();
        try {
            InputStream stream = ctx.getResponseDataStream();
            String body = StreamUtils.copyToString(stream, StandardCharsets.UTF_8);
            Result<HashMap<String, Object>> result = objectMapper.readValue(body, new TypeReference<Result<HashMap<String, Object>>>() {
            });
            //result.getCode() == 0 表示登錄成功
            if (result.getCode() == 0) {
                HashMap<String, Object> jwtClaims = new HashMap<String, Object>() {{
                    put("userId", result.getData().get("userId"));
                }};
                Date expDate = DateTime.now().plusDays(7).toDate(); //過期時間 7 天
                String token = jwtUtil.createJWT(expDate, jwtClaims);
                //body json增加token
                result.getData().put("token", token);
                //序列化body json,設置到響應body中
                body = objectMapper.writeValueAsString(result);
                ctx.setResponseBody(body);

                //響應頭設置token
                ctx.addZuulResponseHeader("token", token);
            }
        } catch (Exception e) {
            e.printStackTrace();
        }

        return null;
    }
}

四、JwtAuthPreFilter,攔截業務介面,驗證token

要點:

  1. 攔截類型是FilterConstants.PRE_TYPE,在調用業務介面之前攔截
  2. 判斷請求的uri是否是需要身份驗證的介面(與配置文件中設置的uri是否匹配),需要在配置文件配置業務介面地址
  3. 判斷token驗證是否通過,通過則路由,不通過返回錯誤提示
@Component
@Slf4j
public class JwtAuthPreFilter extends ZuulFilter {
    @Autowired
    ObjectMapper objectMapper;

    @Autowired
    JwtUtil jwtUtil;

    @Autowired
    DataFilterConfig dataFilterConfig;

    /**
     * pre:路由之前
     * routing:路由之時
     * post: 路由之後
     * error:發送錯誤調用
     *
     * @return
     */
    @Override
    public String filterType() {
        return FilterConstants.PRE_TYPE;
    }

    /**
     * filterOrder:過濾的順序 序號配置可參照 https://blog.csdn.net/u010963948/article/details/100146656
     *
     * @return
     */
    @Override
    public int filterOrder() {
        return 2;
    }

    /**
     * shouldFilter:邏輯是否要過濾
     *
     * @return
     */
    @Override
    public boolean shouldFilter() {
        //路徑與配置的相匹配,則執行過濾
        RequestContext ctx = RequestContext.getCurrentContext();
        for (String pathPattern : dataFilterConfig.getAuthPath()) {
            if (PathUtil.isPathMatch(pathPattern, ctx.getRequest().getRequestURI())) {
                return true;
            }
        }
        return false;
    }

    /**
     * 執行過濾器邏輯,驗證token
     *
     * @return
     */
    @Override
    public Object run() {
        RequestContext ctx = RequestContext.getCurrentContext();
        HttpServletRequest request = ctx.getRequest();
        String token = request.getHeader("token");
        Claims claims;
        try {
            //解析沒有異常則表示token驗證通過,如有必要可根據自身需求增加驗證邏輯
            claims = jwtUtil.parseJWT(token);
            log.info("token : {} 驗證通過", token);
            //對請求進行路由
            ctx.setSendZuulResponse(true);
            //請求頭加入userId,傳給業務服務
            ctx.addZuulRequestHeader("userId", claims.get("userId").toString());
        } catch (ExpiredJwtException expiredJwtEx) {
            log.error("token : {} 過期", token );
            //不對請求進行路由
            ctx.setSendZuulResponse(false);
            responseError(ctx, -402, "token expired");
        } catch (Exception ex) {
            log.error("token : {} 驗證失敗" , token );
            //不對請求進行路由
            ctx.setSendZuulResponse(false);
            responseError(ctx, -401, "invalid token");
        }
        return null;
    }

    /**
     * 將異常信息響應給前端
     */
    private void responseError(RequestContext ctx, int code, String message) {
        HttpServletResponse response = ctx.getResponse();
        Result errResult = new Result();
        errResult.setCode(code);
        errResult.setMessage(message);
        ctx.setResponseBody(toJsonString(errResult));
        response.setCharacterEncoding(StandardCharsets.UTF_8.name());
        response.setContentType("application/json;charset=utf-8");
    }

    private String toJsonString(Object o) {
        try {
            return objectMapper.writeValueAsString(o);
        } catch (JsonProcessingException e) {
            log.error("json序列化失敗", e);
            return null;
        }
    }
}

五、配置文件和路徑匹配

在配置文件application.yml中配置登錄介面路徑 和 業務介面(需要身份驗證的介面)路徑,可配置多個,可使用通配符(基於Ant path匹配)

data-filter:
  auth-path: #需要驗證token的請求地址,可設置多個,會觸發JwtAuthPreFilter
    - /business/data/**
    - /business/report/**
  user-login-path: #登錄請求地址,可設置多個,會觸發LoginAddJwtPostFilter
    - /business/login/**

PathUtil,封裝路徑匹配方法,用於判斷請求的介面是否是需要攔截的介面

public class PathUtil {

    private static AntPathMatcher matcher = new AntPathMatcher();

    public static boolean isPathMatch(String pattern, String path) {
        return matcher.match(pattern, path);
    }
}

請求測試

一、測試登錄介面

請求登錄介面 http://localhost:8040/business/login/loginByPassword

看到響應body和header里都有了token:eyJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1NzYzMTA3MDgsInVzZXJJZCI6IjEwMDEiLCJpYXQiOjE1NzU3MDU5MDl9.06MmrKGs5MK3nW5m6EaQTkkBviXQccPG33Nx1aF5zFw

把token的第二段 eyJleHAiOjE1NzYzMTA3MDgsInVzZXJJZCI6IjEwMDEiLCJpYXQiOjE1NzU3MDU5MDl9 使用base64解碼
可以看到明文{"exp":1576310708,"userId":"1001","iat":1575705909}
包含了過期時間、用戶id、簽發時間

二、測試業務介面

請求業務介面 http://localhost:8040/business/data/getData 請求頭不傳token或傳錯誤的token

可以看到返回了錯誤信息
{
"code": -401,
"message": "invalid token",
"data": null
}

請求業務介面 http://localhost:8040/business/data/getData 傳入正確的token

可以看到返回了業務數據,說明已經請求到了業務介面,驗證成功

源代碼

最後,分享下源代碼 https://gitee.com/tzjzcy/carson-cloud 有幫助的話記得給個star哦


您的分享是我們最大的動力!

更多相關文章
  • 大家好,歡迎來到樂位元組小樂的Java技術分享園地。這次給大家分享的是Tomcat 一. 什麼是 Tomcat Tomcat 是一個符合 JavaEE WEB 標準的最小的 WEB 容器,所有的 JSP 程式一定要有 WEB 容器的支持才能運行,而且在給定的 WEB 容器裡面都會支持事務處理操作。 T ...
  • 利用JavaFX設計一個井字棋游戲,其中包括了能夠與玩家對戰的AI。AI的實現相比五子棋來說要簡單得多,可以保證AI在後手情況下絕對不會輸,具體實現如下: /* * To change this license header, choose License Headers in Project Pr ...
  • 說在前面 我覺得沒有什麼錯誤是調試器無法解決的,如果沒有,那我再說一遍,如果有,那當我沒說 一、拋出異常 可以通過 raise 語句拋出異常,使程式在我們已經知道的缺陷處停下,併進入到 except 語句 raise句法: raise關鍵字 調用的異常函數名 ValueError (這個函數必須是異 ...
  • 一.賦值即定義 1.運行以下代碼會出現報錯 2.使用global關鍵字解決以上報錯 3.不推薦使用global global總結 x+=1這種是特殊形式產生的錯誤的原因?先引用後賦值,而python動態語言是賦值才算定義,才能被引用。解決辦法,在這條語句前增加x=0之類的賦值語句,或者使用globa ...
  • 作者:陳皓 (@左耳朵耗子) | 編輯:玲玲 來源:https://dwz.cn/YELpxqyC 對,你沒看錯,本文就是教你怎麼寫出讓同事無法維護的代碼。 一、程式命名 1、容易輸入的變數名。比如:Fred,asdf 2、單字母的變數名。比如:a,b,c, x,y,z(如果不夠用,可以考慮a1,a ...
  • 1 開發需要環境 工欲善其事,必先利其器。在正式開發之前我們檢查好需要安裝的拓展,不要開發中發現這些問題,打斷思路影響我們的開發效率。 安裝 swoole 拓展包 安裝 redis 拓展包 安裝 laravel5.5 版本以上 如果你還不會用swoole就out了 2 Laravel 生成命令行 p ...
  • 投資機構或電商企業等積累的客戶交易數據繁雜。需要根據用戶的以往消費記錄分析出不同用戶群體的特征與價值,再針對不同群體提供不同的營銷策略。 用戶分析指標 根據美國資料庫營銷研究所Arthur Hughes的研究,客戶資料庫中有三個神奇的要素,這三個要素構成了數據分析最好的指標 R-最近一次消費(Rec ...
  • 前言本文的文字及圖片來源於網路,僅供學習、交流使用,不具有任何商業用途,版權歸原作者所有,如有問題請及時聯繫我們以作處理。作者:bihl 直接上代碼,哈哈!! from urllib import request import os from user_agents import ua_list i ...
一周排行
  • 1. 泛型Generic 1.1 引入泛型:延遲聲明 泛型方法聲明時,並未寫死類型,在調用的時候再指定類型。 延遲聲明:推遲一切可以推遲的。 1.2 如何聲明和使用泛型 泛型方法:方法名稱後面加上尖括弧,裡面是類型參數 類型參數實際上就是一個類型T聲明,方法就可以用這個類型T了。 如下所示: pub ...
  • 本筆記摘抄自:https://www.cnblogs.com/PatrickLiu/p/7903617.html,記錄一下學習過程以備後續查用。 一、引言 今天我們要講行為型設計模式的第三個模式--迭代器模式,先從名字上來看。迭代是遍歷的意思,迭代器可以理解為是遍歷某某的工具,遍歷什麼呢?在軟 件設 ...
  • 本筆記摘抄自:https://www.cnblogs.com/PatrickLiu/p/7928521.html,記錄一下學習過程以備後續查用。 一、引言 今天我們要講行為型設計模式的第四個模式--觀察者模式,先從名字上來看。觀察者模式可以理解為既然有“觀察者”,那肯定就有“被觀察者”了。“觀察者” ...
  • 先看核心代碼: public List<DataEntity> SearchShopSalesReport(DateTimeOffset? dateFrom, DateTimeOffset? dateTo,string groupBy) { var query = data.DataEntity / ...
  • 首先新建一個項目,名稱叫Caliburn.Micro.ActionConvertions 然後刪掉MainWindow.xaml 然後去app.xaml刪掉StartupUri這行代碼 其次,安裝Caliburn.Micro,Caliburn.Micro.Core,這兩個Nuget包,如下圖 然後新 ...
  • 一文帶你瞭解 C DLR 的世界 在很久之前,我寫了一片文章 "dynamic結合匿名類型 匿名對象傳參" ,裡面我以為DLR內部是用反射實現的。因為那時候是心中想當然的認為只有反射能夠在運行時解析對象的成員信息並調用成員方法。後來也是因為其他的事一直都沒有回過頭來把這一節知識給補上,正所謂亡羊補牢 ...
  • ​ 在C#8.0中,針對介面引入了一項新特性,就是可以指定預設實現,方便對已有實現進行擴展,也對面向Android和Swift的Api進行互操作提供了可能性。下麵我們來看看該特性的具體規則與實現。 一、主要應用場景: 在不破壞影響已有實現的情況下,可以添加新成員。這解決了在第三方已經大量使用了的介面 ...
  • 前言 通常在應用程式開發到正式上線,在這個過程中我們會分為多個階段,通常會有 開發、測試、以及正式環境等。每個環境的參數配置我們會使用不同的參數,因此呢,在ASP.NET Core中就提供了相關的環境API,方便我們更好的去做這些事情。 環境 ASP.NET Core使用ASPNETCORE_ENV ...
  • 擱置了幾天,工作忙的一塌糊塗,今天終於抽空來繼續看看MVC的知識。先來看看MVC的路由是如何處理的。以下為替代的路由: app.UseEndpoints(endpoints => { endpoints.MapControllerRoute( name: "default", pattern: "{ ...
  • 多用www.bing.com國際版解決代碼報錯 代碼運行的時候,報異常,國內的搜索引擎一搜, 浮誇的廣告太多,解決方案准確性不足, 盜版又很嚴重(導致一錯皆錯),方案未及時更新等詬病。 www.bing.com國際版可以關聯到: (1). 外國官網,可以獲得官方的解決方案。 (2). stackov ...
x