JSON Web Token在登陆中的使用过程

2025-04-02 15:50
文章标签 使用 json web 过程 token 登陆

本文主要是介绍JSON Web Token在登陆中的使用过程,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

《JSONWebToken在登陆中的使用过程》:本文主要介绍JSONWebToken在登陆中的使用过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教...

JWT(jsON Web Token)是一种开放标准(RFC 7519),用于在网络应用环境间安全地传递声明。它的主要用途是身份验证和信息交换。

在微服务架构中,JWT 作为认证机制非常常见,特别是与 API 网关结合使用时。

JWT 介绍

JWT 是由三部分组成的:

  • Header(头部):通常包含签名的算法信息(例如 HMAC SHA256 或 RSA)。
  • Payload(负载):包含声明(Claims)。声明可以是关于实体(通常是用户)的信息,或者元数据。JWT 的负载部分是 base64 编码的。
  • Signature(签名):签名是用来验证 JWT 数据是否被篡改的。它通过将 header 和 payload 使用私钥加密生成,确保 JWT 的数据安全性和完整性。

微服务架构中的 JWT 使用

在微服务架构中,多个微服务通常会通过 HTTP 请求进行交互。如果没有合适的认证机制,用户的身份验证信息可能会在多个服务之间重复验证,这不但增加了冗余,也降低了安全性。

JWT 在这种情况下非常有用,因为它能在用户登录时生成一个有效的 token,该 token 可以在不同的服务之间传递,而不需要每个服务都进行用户认证。

结合微服务网关的 JWT 验证

微服务网关(如 Spring Cloud Gateway 或 Nginx)在微服务架构中起到了流量管理、路由、负载均衡等作用。

JWT 与微服务网关结合时,网关通常扮演验证用户身份的角色。

具体的流程如下:

流程示例

  1. 用户登录:用户通过用户名和密码登录。后端服务会验证这些凭证,如果验证成功,则生成一个 JWT token 返回给前端。
  2. 前端保存 JWT:前端将 JWT 保存在客户端(如 localStorage 或 sessionStorage),并在后续的 API 请求中将其添加到 HTTP 请求的 Authorization 头中。
  3. 微服务网关验证 JWT:用户在每次请求时会将 JWT 发送到微服务网关。网关会验证 JWT 的有效性、签名、过期时间等。如果 JWT 合法,则网关将请求转发给目标微服务。
  4. 微服务接收请求:微服务通过网关接收到请求时,已经可以信任这个用户的身份,无需再进行身份验证。微服务可以从 JWT 的 Payload 中提取用户信息来处理请求。

1. 用户登录,生成 JWT

public class JwtUtil {

    private static final String SECRET_KEY = "secret";  // 用于加密的秘钥

    // 生成 JWT
    public static String createJWT(String userName) {
        return Jwts.builder()
                .setSubject(userName)
                .setIssuedAt(new Date())  // 设置发放时间
                .setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 设置过期时间,1小时
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)  // 使用 HMAC-SHA256 加密
                .compact();
    }

    // 解析 JWT
    public static Claims parseJWT(String jwt) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(jwt)
                .getBody();
    }
}

2. 自定义过滤器来实现 JWT 的验证

@Component
public class JwtAuthenticationFilter implements GatewayFilter, Ordered {

    private static final String AUTHORIZATION_HEADER = "Authorization";
    
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        String token = exchange.getRequest().getHeaders().getFirst(AUTHORIZATION_HEADER);

        if (token == null || !token.startsWith("Bearer ")) {
            return Mono.error(new RuntimeException("Unauthorized"));
        }

        try {
            String jwt = token.substring(7);  // 去掉 "Bearer " 前缀
            Claims claims = JwtUtil.parseJWT(jwt);  // 解析 JWT
            // 可以根据解析的 claims 来做进一步的验证或设置安全上下文
            exchange.gehttp://www.chinasem.cntRequest().mutate()
                    .header("User", claims.getSubject())  // 在请求头中设置用户信息
                    .build();
        } catch (Exception e) {
            return Mono.error(new RuntimeException("Invalid token"));
        }

        return chain.filter(exchange);  // 继续处理请求
    }

    @Override
    public int getOrder() {
        return -1;  // 优先级,越小越优先
    }
}

3. 微服务中使用 JWT 数据

微服务从网关接收到请求时,可以直接从请求头中读取用户信息:

@RestController
@RequestMapping("/user")
public class UserController {

    @GetMapping("/infowww.chinasem.cn")
    public String getUserInfo(@RequestHeader("User") String userName) {
        // 使用 userName 获取用户信息
        return "HellChina编程o, " + userName;
 javascript   }
}

总结

通过将 JWT 和微服务网关结合使用,可以实现分布式系统中的统一身份验证。用户登录时通过 JWT 获取认证信息,网关负责验证 JWT 的有效性和用户身份,然后将请求转发到对应的微服务。微服务无需再验证用户身份,只需要从 JWT 中提取必要的用户信息进行业务处理。

这种方式有效地减少了重复认证的开销,同时提高了系统的安全性和可扩展性。

以上为个人经验,希望能给大家一个参考,也希望大家多多支持编程China编程(www.chinasem.cn)。

这篇关于JSON Web Token在登陆中的使用过程的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1154059

相关文章

python设置环境变量路径实现过程

《python设置环境变量路径实现过程》本文介绍设置Python路径的多种方法:临时设置(Windows用`set`,Linux/macOS用`export`)、永久设置(系统属性或shell配置文件... 目录设置python路径的方法临时设置环境变量(适用于当前会话)永久设置环境变量(Windows系统

python运用requests模拟浏览器发送请求过程

《python运用requests模拟浏览器发送请求过程》模拟浏览器请求可选用requests处理静态内容,selenium应对动态页面,playwright支持高级自动化,设置代理和超时参数,根据需... 目录使用requests库模拟浏览器请求使用selenium自动化浏览器操作使用playwright

python使用try函数详解

《python使用try函数详解》Pythontry语句用于异常处理,支持捕获特定/多种异常、else/final子句确保资源释放,结合with语句自动清理,可自定义异常及嵌套结构,灵活应对错误场景... 目录try 函数的基本语法捕获特定异常捕获多个异常使用 else 子句使用 finally 子句捕获所

Mysql中设计数据表的过程解析

《Mysql中设计数据表的过程解析》数据库约束通过NOTNULL、UNIQUE、DEFAULT、主键和外键等规则保障数据完整性,自动校验数据,减少人工错误,提升数据一致性和业务逻辑严谨性,本文介绍My... 目录1.引言2.NOT NULL——制定某列不可以存储NULL值2.UNIQUE——保证某一列的每一

解密SQL查询语句执行的过程

《解密SQL查询语句执行的过程》文章讲解了SQL语句的执行流程,涵盖解析、优化、执行三个核心阶段,并介绍执行计划查看方法EXPLAIN,同时提出性能优化技巧如合理使用索引、避免SELECT*、JOIN... 目录1. SQL语句的基本结构2. SQL语句的执行过程3. SQL语句的执行计划4. 常见的性能优

C++11右值引用与Lambda表达式的使用

《C++11右值引用与Lambda表达式的使用》C++11引入右值引用,实现移动语义提升性能,支持资源转移与完美转发;同时引入Lambda表达式,简化匿名函数定义,通过捕获列表和参数列表灵活处理变量... 目录C++11新特性右值引用和移动语义左值 / 右值常见的左值和右值移动语义移动构造函数移动复制运算符

Python对接支付宝支付之使用AliPay实现的详细操作指南

《Python对接支付宝支付之使用AliPay实现的详细操作指南》支付宝没有提供PythonSDK,但是强大的github就有提供python-alipay-sdk,封装里很多复杂操作,使用这个我们就... 目录一、引言二、准备工作2.1 支付宝开放平台入驻与应用创建2.2 密钥生成与配置2.3 安装ali

C#中lock关键字的使用小结

《C#中lock关键字的使用小结》在C#中,lock关键字用于确保当一个线程位于给定实例的代码块中时,其他线程无法访问同一实例的该代码块,下面就来介绍一下lock关键字的使用... 目录使用方式工作原理注意事项示例代码为什么不能lock值类型在C#中,lock关键字用于确保当一个线程位于给定实例的代码块中时

MySQL 强制使用特定索引的操作

《MySQL强制使用特定索引的操作》MySQL可通过FORCEINDEX、USEINDEX等语法强制查询使用特定索引,但优化器可能不采纳,需结合EXPLAIN分析执行计划,避免性能下降,注意版本差异... 目录1. 使用FORCE INDEX语法2. 使用USE INDEX语法3. 使用IGNORE IND

C# $字符串插值的使用

《C#$字符串插值的使用》本文介绍了C#中的字符串插值功能,详细介绍了使用$符号的实现方式,文中通过示例代码介绍的非常详细,需要的朋友们下面随着小编来一起学习学习吧... 目录$ 字符使用方式创建内插字符串包含不同的数据类型控制内插表达式的格式控制内插表达式的对齐方式内插表达式中使用转义序列内插表达式中使用