Spring Cloud系列-Zuul網關集成JWT身份驗證

来源:https://www.cnblogs.com/lookup/archive/2019/12/07/zuul-jwt.html

前言 這兩三年項目中一直在使用比較流行的spring cloud框架,也算有一定積累,打算有時間就整理一些乾貨與大家分享。 本次分享zuul網關集成jwt身份驗證 業務背景 項目開發少不了身份認證,jwt作為當下比較流行的身份認證方式之一主要的特點是無狀態,把信息放在客戶端,伺服器端不需要保存ses ...


前言

這兩三年項目中一直在使用比較流行的spring cloud框架,也算有一定積累,打算有時間就整理一些乾貨與大家分享。
本次分享zuul網關集成jwt身份驗證

業務背景

項目開發少不了身份認證,jwt作為當下比較流行的身份認證方式之一主要的特點是無狀態,把信息放在客戶端,伺服器端不需要保存session,適合分散式系統使用。
把jwt集成在網關的好處是業務工程不需要關心身份驗證,專註業務邏輯(網關可驗證token後,把解析出來的身份信息如userId,放在請求頭傳遞給業務工程)。
順便分享下如何自定義Zuul攔截器

代碼詳解

一、JwtUtil

為了方便,先封裝好JwtUtil,主要包含兩個方法,創建token和解析(並驗證)token
這裡引用了第三方的包jjwt,簡單好用,maven依賴如下

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

jwtUtil封裝如下

@Component
public class JwtUtil {

    /**
     * 簽名用的密鑰
     */
    private static final String SIGNING_KEY = "78sebr72umyz33i9876gc31urjgyfhgj";

    /**
     * 用戶登錄成功後生成Jwt
     * 使用Hs256演算法
     *
     * @param exp jwt過期時間
     * @param claims 保存在Payload(有效載荷)中的內容
     * @return token字元串
     */
    public String createJWT(Date exp, Map<String, Object> claims) {
        //指定簽名的時候使用的簽名演算法
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        //生成JWT的時間
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);

        //創建一個JwtBuilder,設置jwt的body
        JwtBuilder builder = Jwts.builder()
                //保存在Payload(有效載荷)中的內容
                .setClaims(claims)
                //iat: jwt的簽發時間
                .setIssuedAt(now)
                //設置過期時間
                .setExpiration(exp)
                //設置簽名使用的簽名演算法和簽名使用的秘鑰
                .signWith(signatureAlgorithm, SIGNING_KEY);

        return builder.compact();
    }

    /**
     * 解析token,獲取到Payload(有效載荷)中的內容,包括驗證簽名,判斷是否過期
     *
     * @param token
     * @return
     */
    public Claims parseJWT(String token) {
        //得到DefaultJwtParser
        Claims claims = Jwts.parser()
                //設置簽名的秘鑰
                .setSigningKey(SIGNING_KEY)
                //設置需要解析的token
                .parseClaimsJws(token).getBody();
        return claims;
    }

}

二、自定義攔截器說明

繼承自ZuulFilter,並註冊到spring容器即可實現自定義攔截器,實現身份認證、參數校驗、參數傳遞等功能

@Component
public class CustomFilter extends ZuulFilter {

    /**
     * filterType:過濾器類型
     * <p>
     * pre:路由之前
     * routing:路由之時
     * post: 路由之後
     * error:發送錯誤調用
     *
     * @return
     */
    @Override
    public String filterType() {
        return FilterConstants.PRE_TYPE;
//        return FilterConstants.POST_TYPE;
    }

    /**
     * filterOrder:過濾的順序 序號配置可參照 https://blog.csdn.net/u010963948/article/details/100146656
     *
     * @return
     */
    @Override
    public int filterOrder() {
        return 0;
    }

    /**
     * shouldFilter:判斷是否要執行過濾
     *
     * @return true表示需要過濾,將對該請求執行run方法
     */
    @Override
    public boolean shouldFilter() {
        return true;
    }

    /**
     * run:具體過濾的業務邏輯,可做身份驗證,校驗參數等等
     *
     * @return
     */
    @Override
    public Object run() throws ZuulException {
        //獲取請求上下文對象
        RequestContext ctx = RequestContext.getCurrentContext();
        //獲取request對象
        HttpServletRequest request = ctx.getRequest();
        //獲取response對象
        HttpServletResponse response = ctx.getResponse();
        //添加請求頭,傳遞到業務服務
        ctx.addZuulRequestHeader("xxx", "xxx");
        //添加響應頭,返回給前端
        ctx.addZuulResponseHeader("xxx", "xxx");
        return null;
    }
}

三、LoginAddJwtPostFilter,攔截登錄方法,登錄成功時創建token,返回給前端

要點:

  1. 攔截類型是FilterConstants.POST_TYPE,在路由方法響應之後攔截
  2. 判斷請求的uri是否是登錄介面(與配置文件中設置的登錄uri是否匹配),需要在配置文件配置登錄介面地址
  3. 判斷登錄方法返回成功,創建token,並添加到 response body或response header,返回給前端
@Component
@Slf4j
public class LoginAddJwtPostFilter extends ZuulFilter {

    @Autowired
    ObjectMapper objectMapper;

    @Autowired
    JwtUtil jwtUtil;

    @Autowired
    DataFilterConfig dataFilterConfig;

    /**
     * pre:路由之前
     * routing:路由之時
     * post: 路由之後
     * error:發送錯誤調用
     *
     * @return
     */
    @Override
    public String filterType() {
        return FilterConstants.POST_TYPE;
    }

    /**
     * filterOrder:過濾的順序
     *
     * @return
     */
    @Override
    public int filterOrder() {
        return FilterConstants.SEND_RESPONSE_FILTER_ORDER - 2;
    }

    /**
     * shouldFilter:這裡可以寫邏輯判斷,是否要過濾
     *
     * @return
     */
    @Override
    public boolean shouldFilter() {
        //路徑與配置的相匹配,則執行過濾
        RequestContext ctx = RequestContext.getCurrentContext();
        for (String pathPattern : dataFilterConfig.getUserLoginPath()) {
            if (PathUtil.isPathMatch(pathPattern, ctx.getRequest().getRequestURI())) {
                return true;
            }
        }
        return false;
    }

    /**
     * 執行過濾器邏輯,登錄成功時給響應內容增加token
     *
     * @return
     */
    @Override
    public Object run() {
        RequestContext ctx = RequestContext.getCurrentContext();
        try {
            InputStream stream = ctx.getResponseDataStream();
            String body = StreamUtils.copyToString(stream, StandardCharsets.UTF_8);
            Result<HashMap<String, Object>> result = objectMapper.readValue(body, new TypeReference<Result<HashMap<String, Object>>>() {
            });
            //result.getCode() == 0 表示登錄成功
            if (result.getCode() == 0) {
                HashMap<String, Object> jwtClaims = new HashMap<String, Object>() {{
                    put("userId", result.getData().get("userId"));
                }};
                Date expDate = DateTime.now().plusDays(7).toDate(); //過期時間 7 天
                String token = jwtUtil.createJWT(expDate, jwtClaims);
                //body json增加token
                result.getData().put("token", token);
                //序列化body json,設置到響應body中
                body = objectMapper.writeValueAsString(result);
                ctx.setResponseBody(body);

                //響應頭設置token
                ctx.addZuulResponseHeader("token", token);
            }
        } catch (Exception e) {
            e.printStackTrace();
        }

        return null;
    }
}

四、JwtAuthPreFilter,攔截業務介面,驗證token

要點:

  1. 攔截類型是FilterConstants.PRE_TYPE,在調用業務介面之前攔截
  2. 判斷請求的uri是否是需要身份驗證的介面(與配置文件中設置的uri是否匹配),需要在配置文件配置業務介面地址
  3. 判斷token驗證是否通過,通過則路由,不通過返回錯誤提示
@Component
@Slf4j
public class JwtAuthPreFilter extends ZuulFilter {
    @Autowired
    ObjectMapper objectMapper;

    @Autowired
    JwtUtil jwtUtil;

    @Autowired
    DataFilterConfig dataFilterConfig;

    /**
     * pre:路由之前
     * routing:路由之時
     * post: 路由之後
     * error:發送錯誤調用
     *
     * @return
     */
    @Override
    public String filterType() {
        return FilterConstants.PRE_TYPE;
    }

    /**
     * filterOrder:過濾的順序 序號配置可參照 https://blog.csdn.net/u010963948/article/details/100146656
     *
     * @return
     */
    @Override
    public int filterOrder() {
        return 2;
    }

    /**
     * shouldFilter:邏輯是否要過濾
     *
     * @return
     */
    @Override
    public boolean shouldFilter() {
        //路徑與配置的相匹配,則執行過濾
        RequestContext ctx = RequestContext.getCurrentContext();
        for (String pathPattern : dataFilterConfig.getAuthPath()) {
            if (PathUtil.isPathMatch(pathPattern, ctx.getRequest().getRequestURI())) {
                return true;
            }
        }
        return false;
    }

    /**
     * 執行過濾器邏輯,驗證token
     *
     * @return
     */
    @Override
    public Object run() {
        RequestContext ctx = RequestContext.getCurrentContext();
        HttpServletRequest request = ctx.getRequest();
        String token = request.getHeader("token");
        Claims claims;
        try {
            //解析沒有異常則表示token驗證通過,如有必要可根據自身需求增加驗證邏輯
            claims = jwtUtil.parseJWT(token);
            log.info("token : {} 驗證通過", token);
            //對請求進行路由
            ctx.setSendZuulResponse(true);
            //請求頭加入userId,傳給業務服務
            ctx.addZuulRequestHeader("userId", claims.get("userId").toString());
        } catch (ExpiredJwtException expiredJwtEx) {
            log.error("token : {} 過期", token );
            //不對請求進行路由
            ctx.setSendZuulResponse(false);
            responseError(ctx, -402, "token expired");
        } catch (Exception ex) {
            log.error("token : {} 驗證失敗" , token );
            //不對請求進行路由
            ctx.setSendZuulResponse(false);
            responseError(ctx, -401, "invalid token");
        }
        return null;
    }

    /**
     * 將異常信息響應給前端
     */
    private void responseError(RequestContext ctx, int code, String message) {
        HttpServletResponse response = ctx.getResponse();
        Result errResult = new Result();
        errResult.setCode(code);
        errResult.setMessage(message);
        ctx.setResponseBody(toJsonString(errResult));
        response.setCharacterEncoding(StandardCharsets.UTF_8.name());
        response.setContentType("application/json;charset=utf-8");
    }

    private String toJsonString(Object o) {
        try {
            return objectMapper.writeValueAsString(o);
        } catch (JsonProcessingException e) {
            log.error("json序列化失敗", e);
            return null;
        }
    }
}

五、配置文件和路徑匹配

在配置文件application.yml中配置登錄介面路徑 和 業務介面(需要身份驗證的介面)路徑,可配置多個,可使用通配符(基於Ant path匹配)

data-filter:
  auth-path: #需要驗證token的請求地址,可設置多個,會觸發JwtAuthPreFilter
    - /business/data/**
    - /business/report/**
  user-login-path: #登錄請求地址,可設置多個,會觸發LoginAddJwtPostFilter
    - /business/login/**

PathUtil,封裝路徑匹配方法,用於判斷請求的介面是否是需要攔截的介面

public class PathUtil {

    private static AntPathMatcher matcher = new AntPathMatcher();

    public static boolean isPathMatch(String pattern, String path) {
        return matcher.match(pattern, path);
    }
}

請求測試

一、測試登錄介面

請求登錄介面 http://localhost:8040/business/login/loginByPassword

看到響應body和header里都有了token:eyJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1NzYzMTA3MDgsInVzZXJJZCI6IjEwMDEiLCJpYXQiOjE1NzU3MDU5MDl9.06MmrKGs5MK3nW5m6EaQTkkBviXQccPG33Nx1aF5zFw

把token的第二段 eyJleHAiOjE1NzYzMTA3MDgsInVzZXJJZCI6IjEwMDEiLCJpYXQiOjE1NzU3MDU5MDl9 使用base64解碼
可以看到明文{"exp":1576310708,"userId":"1001","iat":1575705909}
包含了過期時間、用戶id、簽發時間

二、測試業務介面

請求業務介面 http://localhost:8040/business/data/getData 請求頭不傳token或傳錯誤的token

可以看到返回了錯誤信息
{
"code": -401,
"message": "invalid token",
"data": null
}

請求業務介面 http://localhost:8040/business/data/getData 傳入正確的token

可以看到返回了業務數據,說明已經請求到了業務介面,驗證成功

源代碼

最後,分享下源代碼 https://gitee.com/tzjzcy/carson-cloud 有幫助的話記得給個star哦


您的分享是我們最大的動力!

更多相關文章
  • 大家好,歡迎來到樂位元組小樂的Java技術分享園地。這次給大家分享的是Tomcat 一. 什麼是 Tomcat Tomcat 是一個符合 JavaEE WEB 標準的最小的 WEB 容器,所有的 JSP 程式一定要有 WEB 容器的支持才能運行,而且在給定的 WEB 容器裡面都會支持事務處理操作。 T ...
  • 利用JavaFX設計一個井字棋游戲,其中包括了能夠與玩家對戰的AI。AI的實現相比五子棋來說要簡單得多,可以保證AI在後手情況下絕對不會輸,具體實現如下: /* * To change this license header, choose License Headers in Project Pr ...
  • 說在前面 我覺得沒有什麼錯誤是調試器無法解決的,如果沒有,那我再說一遍,如果有,那當我沒說 一、拋出異常 可以通過 raise 語句拋出異常,使程式在我們已經知道的缺陷處停下,併進入到 except 語句 raise句法: raise關鍵字 調用的異常函數名 ValueError (這個函數必須是異 ...
  • 一.賦值即定義 1.運行以下代碼會出現報錯 2.使用global關鍵字解決以上報錯 3.不推薦使用global global總結 x+=1這種是特殊形式產生的錯誤的原因?先引用後賦值,而python動態語言是賦值才算定義,才能被引用。解決辦法,在這條語句前增加x=0之類的賦值語句,或者使用globa ...
  • 作者:陳皓 (@左耳朵耗子) | 編輯:玲玲 來源:https://dwz.cn/YELpxqyC 對,你沒看錯,本文就是教你怎麼寫出讓同事無法維護的代碼。 一、程式命名 1、容易輸入的變數名。比如:Fred,asdf 2、單字母的變數名。比如:a,b,c, x,y,z(如果不夠用,可以考慮a1,a ...
  • 1 開發需要環境 工欲善其事,必先利其器。在正式開發之前我們檢查好需要安裝的拓展,不要開發中發現這些問題,打斷思路影響我們的開發效率。 安裝 swoole 拓展包 安裝 redis 拓展包 安裝 laravel5.5 版本以上 如果你還不會用swoole就out了 2 Laravel 生成命令行 p ...
  • 投資機構或電商企業等積累的客戶交易數據繁雜。需要根據用戶的以往消費記錄分析出不同用戶群體的特征與價值,再針對不同群體提供不同的營銷策略。 用戶分析指標 根據美國資料庫營銷研究所Arthur Hughes的研究,客戶資料庫中有三個神奇的要素,這三個要素構成了數據分析最好的指標 R-最近一次消費(Rec ...
  • 前言本文的文字及圖片來源於網路,僅供學習、交流使用,不具有任何商業用途,版權歸原作者所有,如有問題請及時聯繫我們以作處理。作者:bihl 直接上代碼,哈哈!! from urllib import request import os from user_agents import ua_list i ...
一周排行
  • 比如要拆分“呵呵呵90909086676喝喝999”,下麵當type=0返回的是中文字元串“呵呵呵,喝喝”,type=1返回的是數字字元串“90909086676,999”, private string GetStrings(string str,int type=0) { IList<strin ...
  • Swagger一個優秀的Api介面文檔生成工具。Swagger可以可以動態生成Api介面文檔,有效的降低前後端人員關於Api介面的溝通成本,促進項目高效開發。 1、使用NuGet安裝最新的包:Swashbuckle.AspNetCore。 2、編輯項目文件(NetCoreTemplate.Web.c ...
  • 2020 年 7 月 30 日, 由.NET基金會和微軟 將舉辦一個線上和為期一天的活動,包括 微軟 .NET 團隊的演講者以及社區的演講者。本次線上大會 專註.NET框架構建微服務,演講者分享構建和部署雲原生應用程式的最佳實踐、模式、提示和技巧。有關更多信息和隨時瞭解情況:https://focu... ...
  • #abp框架Excel導出——基於vue #1.技術棧 ##1.1 前端採用vue,官方提供 UI套件用的是iview ##1.2 後臺是abp——aspnetboilerplate 即abp v1,https://github.com/aspnetboilerplate/aspnetboilerp ...
  • 前言 本文的文字及圖片來源於網路,僅供學習、交流使用,不具有任何商業用途,版權歸原作者所有,如有問題請及時聯繫我們以作處理。 作者:碧茂大數據 PS:如有需要Python學習資料的小伙伴可以加下方的群去找免費管理員領取 input()輸入 Python提供了 input() 內置函數從標準輸入讀入一 ...
  • 從12年到20年,python以肉眼可見的趨勢超過了java,成為了當今It界人人皆知的編程語言。 python為什麼這麼火? 網路編程語言搜索指數 適合初學者 Python具有語法簡單、語句清晰的特點,這就讓初學者在學習階段可以把精力集中在編程對象和思維方法上。 大佬都在用 Google,YouT ...
  • 在社會上存在一種普遍的對培訓機構的學生一種歧視的現象,具體表現在,比如:當你去公司面試的時候,一旦你說了你是培訓機構出來的,那麼基本上你就涼了,那麼你瞞著不說,然後又通過了面試成功入職,但是以後一旦在公司被髮現有培訓經歷,可能會面臨被降薪,甚至被辭退,培訓機構出來的學生,在用人單位眼裡就是能力低下的 ...
  • from typing import List# 這道題看了大佬寫的代碼,經過自己的理解寫出來了。# 從最外圍的四周找有沒有為O的,如果有的話就進入深搜函數,然後深搜遍歷# 判斷上下左右的位置是否為Oclass Solution: def solve(self, board: List[List[s ...
  • import requests; import re; import os; # 1.請求網頁 header = { "user-agent":'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, li ...
  • import requests; import re; import os; import parsel; 1.請求網頁 header = { "user-agent":'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537. ...