这是我参与11月更文挑战的第25天,活动详情查看:2021最后一次更文挑战
前情回顾
上篇文章,我们讲到了为什么要选择JWT来实现统一认证授权,其优点更符合初期项目的形成,同样可以通过双token来增强用户的体验度种种,而这些纸上谈兵式的谈论过去,迎来的就是如何去实现这些。
本篇文章就是告诉大家如何在SpringCloud项目中使用JWT实现统一授权。
使用JWT来加密解密
在集成到SpringCloud项目中之前,我们要先做一些JWT技术的调研,但是要调研到什么程度才能做到集成的基本要素呢?
如果你问我,我会告诉你,最起码也要将JWT的token加密、解密弄清楚,或者是调试成功,才能去进行集成至SpringCloud中。
准备工作
首先我们要先提供一个密钥,通过此密钥来进行加解密。
JWT加密
直接贴代码:
String key = Base64.getEncoder().encodeToString("zhegekeysuibianshejijiuxingkannixinqing".getBytes(Charsets.UTF_8));
//用户信息
Map<String,String> map = new HashMap<>();
map.put("userId","zhangsan");
//加密
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
byte[] apiKeySecretBytes = Base64.getDecoder().decode(key);
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
JwtBuilder builder = Jwts.builder().signWith(signingKey);
map.forEach(builder::claim);
//输出token
System.out.println(builder.compact());
复制代码
根据上述代码,我们会生成如下图的一大串token。
JWT解密
解密的话,其实就是将token解析出相应的用户信息。
Claims claims = Jwts.parserBuilder().setSigningKey(Base64.getDecoder().decode(JwtUtil.key)).build()
.parseClaimsJws(token).getBody();
System.out.println(claims.get("userId"));
复制代码
可以得到下图:
将JWT集成到Gateway中
登录认证
我们在Controller层书写一个LoginController.java类,在其中书写一个获取token的api接口。
@RestController
public class LoginController {
@PostMapping("/token")
public R<AuthInfo> token(@RequestParam(required = false) String account,
@RequestParam(required = false) String password) {
Map<String,String> map = new HashMap<>(16);
map.put("account", account);
map.put("password", password);
String token = JwtUtil.createJwt(map);
if (userInfo == null || userInfo.getUser() == null || userInfo.getUser().getId() == null) {
return R.fail();
}
return R.success(token);
}
}
复制代码
编写过滤器验证token
既然搞定了登录获取token的api接口,我们就要将所有访问的URL链接进行过滤器中进行过滤。
所以接下来我们来书写一个认证过滤器。
public class AuthFilter implements GlobalFilter, Ordered {
@Override
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
String path = exchange.getRequest().getURI().getPath();
ServerHttpResponse resp = exchange.getResponse();
String headerToken = exchange.getRequest().getHeaders().getFirst("auth");
if (StringUtils.isBlank(headerToken)) {
return unAuth(resp, "缺失令牌,鉴权失败");
}
Claims claims = JwtUtil.parseJWT(headerToken);
if (claims == null) {
return unAuth(resp, "请求未授权");
}
return chain.filter(exchange);
}
@Override
public int getOrder() {
return -99;
}
}
复制代码
总结
Gateway中集成统一认证授权,是微服务网关中必然要集成的功能之一,重要性不言而喻,希望大家可以有所重视。