什么是JWT?为什么选择JWT?如何在Spring Cloud Security集成使用?

最新推荐文章于 2026-04-08 15:11:15 发布
原创 最新推荐文章于 2026-04-08 15:11:15 发布 · 7.5k 阅读 · 3
标签
#权限 #JWT
本文介绍JWT的概念及其在Spring Cloud Security中的集成方法。详细讲述了JWT的特点、选择JWT的原因,以及如何在授权服务器和资源服务器中使用JWT。此外,还提供了具体的代码实现。

什么是JWT?

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,详情可以参考什么是 JWT -- JSON WEB TOKEN。其特点如下:

  1. 具体时效性,包含失效时间。
  2. 具有安全性,基于密钥机制的签发和验证机制。

为什么选择JWT?

基于oauth2协议认证过程中,以密码类型认证方式为例,包括认证和授权两个步骤。分别如下:

  1. 客户端通过客户端用户名和密码,密码授权方式,以及用户名和密码,向授权服务器认证,如果有效则返回token(访问令牌)。
  2. 客户端携带token(访问令牌)访问资源服务器,资源服务器验证token,如果有效则返回受保护的资源。 

一般在资源服务验证token时,需要通过token向授权服务器调用认证服务,并且,需要通过token向授权服务器获取用户信息。在服务的相互调用过程中,会频繁地调用授权服务器,如果使用JWT有如下几个优势:

  1. 由于JWT具有时效性,如果token失效则直接校验失败
  2. 在资源服务可以基于密钥对token进行校验,而无需调用授权服务器的认证服务,避免频繁调用认证服务器
  3. 在JWT中携带非敏感的认证信息,同样避免了频繁调用授权服务器获取用户相关信息,方便了在服务之间传递

如何在Spring Cloud Security集成使用?

授权服务器生成JWT

  • 授权服务器生成token的流程分析如下:

通过向授权服务TokenEndpoint的/oauth/token POST 请求生成访问令牌。TokenEndpoint部分源码如下:

@RequestMapping(value = "/oauth/token", method=RequestMethod.POST)
	public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam
	Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {

		if (!(principal instanceof Authentication)) {
			throw new InsufficientAuthenticationException(
					"There is no client authentication. Try adding an appropriate authentication filter.");
		}
        // 通过客户端id获取客户端信息
		String clientId = getClientId(principal);
		ClientDetails authenticatedClient = getClientDetailsService().loadClientByClientId(clientId);

		TokenRequest tokenRequest = getOAuth2RequestFactory().createTokenRequest(parameters, authenticatedClient);
        
        // 省略授权模式校验
        ... ...
        // 生成token访问授权码

		OAuth2AccessToken token = getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);
		if (token == null) {
			throw new UnsupportedGrantTypeException("Unsupported grant type: " + tokenRequest.getGrantType());
		}

		return getResponse(token);

	}

根据源码可知,security通过TokenGranter生成OAuth2AccessToken,在一般的实现中会使用CompositeTokenGranter组合生成token。分析TokenGranter的公共类AbstractTokenGranter可知,TokenGranter通过调用AuthorizationServerTokenServices的createAccessToken方法生成token,AbstractTokenGranter源码如下:

// TokenGranter 公共实现类
public abstract class AbstractTokenGranter implements TokenGranter {

    // 生成OAuth2AccessToken 
    public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {

		if (!this.grantType.equals(grantType)) {
			return null;
		}
		
		String clientId = tokenRequest.getClientId();
		ClientDetails client = clientDetailsService.loadClientByClientId(clientId);
		validateGrantType(grantType, client);

		if (logger.isDebugEnabled()) {
			logger.debug("Getting access token for: " + clientId);
		}

		return getAccessToken(client, tokenRequest);

	}

    // 通过AuthorizationServerTokenServices 生成token
	protected OAuth2AccessToken getAccessToken(ClientDetails client, TokenRequest tokenRequest) {
		return tokenServices.createAccessToken(getOAuth2Authentication(client, tokenRequest));
	}

}

在security中默认的AuthorizationServerTokenServices实现类为DefaultTokenServices,在调用createAccessToken生成token时,会调用TokenEnhancer的enhance对OAuth2AccessToken进行包装。在实现JWT的TokenEnhancer实现类JwtAccessTokenConverter时,会按照JWT的规范生成OAuth2AccessToken,并且可以自定义TokenEnhancer在OAuth2AccessToken的additionalInformat

最低0.47元/天 解锁文章
CRM——验证码(JWT技术)、接口资源鉴权
DOVISSSS的博客
08-31 1578
验证码(JWT技术)、接口资源鉴权
Spring Cloud实战系列(十) - 单点登录JWTSpring Security OAuth 2.0
陌上轩客
02-11 1万+
前言 通过 JWT 配合 Spring Security OAuth2 使用的方式,可以避免 每次请求 都 远程调度 认证授权服务资源服务器 只需要从 授权服务器 验证一次,返回 JWT。返回的 JWT 包含了 用户 的所有信息,包括 权限信息。 正文 1. 什么是JWT JSON Web Token(JWT)是一种开放的标准(RFC 7519),JWT 定义了一种 紧凑 且 自包含 的标准,旨...
Spring Cloud Security 整合 JWT
ProChick's Blog
04-08 3380
Spring Cloud Security 整合 JWT 实现令牌存储一、基础概述二、利用Redis存储令牌三、利用JWT存储令牌四、扩展JWT的存储内容五、解析JWT存储的内容 一、基础概述 在Oauth2 + Spring Cloud Security的项目环境中, Spring Cloud Security 默认把访问令牌保存在内存中。而在分布式环境中,我们可以利用JWT或Redis存储令牌信息,以便于多个服务使用JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标
JWT究竟是什么?
最新发布
2403_86825863的博客
04-08 431
JWT(JSON Web Token)是一种无状态认证机制,由Header、Payload和Signature三部分组成,通过数字签名确保信息安全性。它适用于微服务架构和跨域场景,无需服务器存储会话状态,便于水平扩展。JWT包含用户信息,减少数据库查询,支持自定义声明。Go语言实现包括生成Token、解析验证及中间件使用。优点是无状态、跨服务、标准化,但存在令牌较大、无法撤销等缺点。最佳实践包括使用安全算法、设置合理过期时间、避免存储敏感信息等。JWT为现代应用提供了高效安全的认证方案。
授权系统源码_spring security oauth2源码解析
weixin_39853523的博客
12-03 969
当你掌握某个技术,每次再重新去研究的时候都会有不一样的感悟。随的时间的推移每个人的能力都有不一样的提高,这时候再去回头看就会有更清晰的感觉。本文主要就是对spring security oauth2的源码进行解读,希望能帮助到大家同时自已也做一下学习记录。https://projects.spring.io/spring-security-oauth/docs/oauth2.html要对...
springsecurity+OAuth2.0-第12章:分布式认证授权案例-uaa认证服务配置2
健康平安的活着的专栏
08-29 6183
一 认证服务器配置 1.1 综述EnableAuthorizationServer EnableAuthorizationServer可以用 @EnableAuthorizationServer 注解并继承AuthorizationServerConfifigurerAdapter来配置OAuth2.0 授权服务器。 AuthorizationServerConfifigurerAdapter要求配置以下几个类,这几个类是由Spring创建的独立的配置对象,它们 会被Spring传入Authoriz
Spring Cloud Security:Oauth2结合JWT使用
smart_an的专栏
04-18 1598
JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。
Spring Cloud Security
来啊 快活啊
08-27 1万+
发博词Spring Cloud Security一共有两个starter: org.springframework.cloud spring-cloud-starter-oauth2 org.s
Spring Cloud入门-Oauth2授权之JWT集成(Hoxton版本)
2501_90253123的博客
01-18 1186
创建oauth2-jwt-server模块该模块只是对oauth2-server模块的扩展,直接复制过来扩展下下即可。oauth2中存储令牌的方式在上一节中我们都是把令牌存储在内存中的,这样如果部署多个服务,就会导致无法使用令牌的问题。SpringCloudSecurity中有两种存储令牌的方式可用于解决该问题,一种是使用Redis来存储,另一种是使用JWT来存储。
构建现代微服务安全体系:Spring SecurityJWTSpring Cloud Gateway 实践
阿羊ing努力提供更好的Java日记〜
02-12 2536
本文将基于提供的代码示例,详细介绍如何在一个Java微服务项目中使用Spring SecurityJWTSpring Cloud Gateway来构建一个高效且安全的微服务体系,并整合性能优化措施。
Spring Cloud Security实现单点登录(JWT+RSA)
鱼获飞的博客
01-22 3180
JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范, 可实现无状态、分布式的Web应用授权;官网:https://jwt.io JWT包含三部分数据: –Header:头部,通常头部有两部分信息: 声明类型,这里是JWT 加密算法,自定义 我们会对头部进行base64加密(可解密),得到第一部分数据 –Payload:载荷,就是有效数据,一般包含下面信息: ...
springcloud 2021 系列」Spring Cloud Gateway + OAuth2 + JWT 实现统一认证与鉴权
郎涯技术
02-15 1万+
通过认证服务进行统一认证,然后通过网关来统一校验认证和鉴权。 将采用 Nacos 作为注册中心,Gateway 作为网关,使用 nimbus-jose-jwt JWT 库操作 JWT 令牌 理论介绍 Spring Security 是强大的且容易定制的,基于 Spring 开发的实现认证登录与资源授权的应用安全框架 SpringSecurity 的核心功能: Authentication:身份认证,用户登陆的验证(解决你是谁的问题) Authorization:访问授权,授权系统资源的访问权限(解
SpringCloud gateway+Spring Security + JWT实现登录和用户权限校验
yuan__once的博客
09-24 1万+
使用SpringCloud gateway与Spring Security以及JWT,在前后端分离情况下的用户统一认证授权
使用Spring Security 资源服务器来保护Spring Cloud服务
2401_89317793的博客
01-15 818
Spring Security的jose规范依赖。我将根据该类库来实现自定义的JWT解码器。/*** 基于Nimbus的jwt解码器,并增加了一些自定义校验策略*/@Bean// 从classpath路径读取cer公钥证书来配置解码器上面的解码器基于我们的公钥证书,同时我还自定义了一些校验策略。不得不说Nimbus的jwt类库比jjwt要好用的多。接下来配置资源服务器。
Spring Cloud实现权限管理(网关+jwt版)
2201_75435513的博客
04-17 2373
JWT 的密钥(jwt.secret)应通过配置中心(如 Nacos)或环境变量注入,避免硬编码。如果各个微服务还需要独自的更细粒度的权限控制,只需要在单个微服务模块中单独配置一个Spring Security就行了。在gateway网关模块创建JwtFilter过滤器来验证并解析jwt,从而获取权限信息。客户端 → 网关 → 服务A → 服务B → 服务C。​​总查询次数 = 3服务 × 2查询 = 6次​。查询用户数据(1次DB查询)查询权限数据(1次DB查询)• 在服务交叉的时候,导致。
Spring Cloud 之 Gateway、Spring Security、Oauth2 的整合
XiaoY的专栏
12-24 8208
目录1)learn-shop-public-auth(认证中心)1、生成JKS2、添加pom.xml中主要依赖3、添加主要类3.1 目录结构及主要类说明3.2 WebSecurityConfig3.4 JwtTokenEnhancer3.5 CustomUserDetailsService4、添加公钥访问地址5、添加配置文件2)learn-cloud-gateway(资源中心)1、目录结构2、AuthorizationManager3、ResourceServerConfig4、配置文件 源码地址:看这里,
Spring Boot集成Spring Cloud Security进行安全增强
技术研究中心
08-31 1059
Spring Cloud SecuritySpring Boot应用提供了一套完整的安全解决方案,支持OAuth2、JWT等多种认证和授权机制。同时,Spring Security的测试支持也简化了安全性集成测试的过程。Spring Cloud SecuritySpring Security的扩展,它提供了对Spring Cloud体系中的服务认证和授权的支持,包括OAuth2、JWT等。Spring Security提供了测试支持,可以简化安全性集成测试的编写。在Spring Boot项目的。
Spring Cloud Gateway+Spring Security OAuth2+JWT(一)
热门推荐
a294634473的博客
09-17 3万+
Spring Cloud Gateway+Spring Security OAuth2+JWT(一)前言授权服务 OAuth2+JWTpom授权服务器配置自定义用户jwt 前言 捣鼓了一段时间的Spring cloud,想把公司的的基于用户和权限体系的基础框架也融入到Spring cloud中。查阅了一些相关资料,打算采用Spring Cloud Gateway+Spring Security O...
SpringBoot项目Spring Security与OAuth2各组件版本、关系、选择与迁移指南
qq_34158633的博客
12-31 2037
Spring生态系统中,Spring Security和OAuth2是两个紧密相连的领域,它们共同为现代应用程序提供安全认证和授权机制。随着技术的不断发展,Spring团队也在不断更新和完善这些组件。本文将为您梳理Spring Security和OAuth2相关组件的逻辑关系,介绍它们的功能,并提供一些迁移建议。通过本文的介绍,希望您对Spring Security和OAuth2相关组件有了更清晰的认识。在选择使用这些组件时,请务必考虑项目的实际需求和未来发展方向。已经过期,不建议在新项目中使用
Spring Cloud 完整整合 Security + Oauth2 + jwt实现权限认证
qq_41935756的博客
09-06 8897
OAuth2是一个开放的标准,协议。即允许用户让第三方应用访问某一个网站上存储的用户私密资源(照片,头像等)。这个过程中无需将用户名和密码提供给第三方应用。在互联网中,我们最常见的OAuth2的应用就是各种第三方通过QQ授权,微信授权,微博授权等登录了。   OAuth2协议一共支持4中不同的授权模式。OAuth2的重要参数 ①response_type code:表示要求返回授权码。token:表示直接返回令牌 ②client_id 客户端身份标识 ③client_secret 客户端密钥 ④redire
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值