jwt+rsa鉴权中心,及cookie写入问题(遇到的坑)

无状态登陆原理

首先说一下有状态:

有状态服务,就是服务每次会话都会记录客户端的信息,从而识别客户端身份,更具用户身份进行请求得处理,比如tomcat中的session

缺点:

  1. 服务端保存大量数据,增加服务端压力
  2. 服务端保存用户状态,无法水平扩展,(比如其他机器上的服务不会知道别台机器上的session)
  3. 客户端请求依赖服务端,多次请求必须访问同一台服务器

无状态:

微服务集群中每个服务对外提供的都是restful风格的接口,二rest风格最重要的规范就是无状态。

  1. 服务端不保存任何客户端请求者信息
  2. 客户端每次请求必须具备自我描述信息,通过这些信息识别客户端身份

好处:

  1. 客户端不依赖服务端,任何多吃请求不需要访问同一台服务器
  2. 服务端的集群和状态对客户端透明
  3. 服务端可以迁移和伸缩
  4. 减小服务端存储压力

 

如何实现无状态

流程:

  1. 当客户端第一次登陆时,服务端对用户进行信息认证
  2. 认证通过将用户信息进行加密形成tocken,返回给客户端,作为登陆凭证
  3. 以后每次请求用户都携带认证的tocken
  4. 服务端对tocken解密,判断是否有效

安全性:tocken是识别客户端的唯一标识,如果加密不够严密,被人伪造就完了,采用jwt+RSA非对称加密

JWT

JWT 全程json web tocken,是json风格轻量级的授权和身份认证规范,可实现分布式,无状态的web应用授权

数据格式:

Header:头部。通常头部有俩部分信息

  1. 声明类型,这里是JWT
  2. 加密方式
  3. 我们会对头部进行base64编码得到第2部分信息

Paylod:荷载,就是有效数据,包含:

  1. 用户身份信息(使用base64编码,可解码,不要存放敏感信息)
  2. 注册声明:如tocken的签发时间,过期时间,签发人等

这里也会采用base64编码,得到第二部分信息

Signature签名:是整个数据的认证信息,一般根据前俩步数据,加上服务的密钥(secrt)(不要泄露,最好周期更换),通过加密算法生成能用于验证真个数据的完整性可靠性

eyJhbGciOiJSUzI1NiJ9.        头部

JpZCI6MjAsInVzZXJuYW1lIjoiamFjayIsImV4cCI6MTYyMjQ3NTExM30.  荷载

签名

R9XxhZurtZQDqHK9iHyVjErOiBa_PuQRnR4CaIj_3QJQJYJiyFlMMhKH   

ZfeVnqWUjsT6HXgQ6vmggqkQ_FzESDUh38Qp4dFbNeZTM4HIcf3BWh

pZqUxv6M3v_ppC7OSMH_QOJQNHM4aAAx5TTYsJppeWLl_Lir_GK_kFouxL90
 

JWT交互流程

  1. 用户登陆
  2. 服务的认证,通过后根据secret生成tocken
  3. 将生成的tocken返回给浏览器
  4. 每次请求携带tocken
  5. 服务端利用公钥解读jwt签名,判断签名有效后,从payload中获取信息
  6. 处理请求返回响应结果
  7. 因为JWT签发的tocken中已经包含了用户身份信息,并且每次请求都会携带,这样就无需保存用户的信息了

加密方式

对称加密:如AES

  • 基本原理:将密文分为N个组,然后使用密钥对各个组进行加密,形成各自的密文,最后把所有分组密文进行合并,形成最终密文
  • 优势:算法公开,计算量小,加密速度快,加密效率高
  • 缺点:双方都有同样的密钥,安全性不高

非对称加密:如RSA

  • 基本原理同时生成俩把密钥:私钥和公钥,私钥隐秘保存,公钥下发给信任的客户端

私钥加密:持有公钥或者私钥才能解密

公钥加密:持有私钥才能解密

优点:安全,男破解

缺点:算法比较耗时

不可逆加密

基本原理:加密过程中不使用密钥,输入明文后直接由系统加密处理为密文,这种加密方式是无法通过密文推算出明文的

 

 

理解:jwt解决了什么问题:私钥是用来签名的,输入用户名密码,鉴权通过后,使用私钥获取jwt签名,发给客户端,客户端后面访问时就携带jwt请求网关和微服务,网关和问服务使用公钥验证签名,正确就取出载荷里的用户信息。

没解决的问题:登陆时候用户名密码,还有登陆后的jwt在网络上都是明文传输了,如果被人监听就会泄露信息,这里就又要加密了。

加密办法和https

 

cookie问题

但我们通过postman访问时咳哟看到有返回的cookie信息,而通过门户网站访问却没有cookie信息,

原因是,我们通过门户网站访问的地址是nginx的地址,然后nginx做代理把请求给zuul网关处理(这时候域名是网关的地址),zuul网关又通过eureka注册中心来找到对应服务的地址(计算机名+端口+路径) ,然后域名就变成了对应服务的计算机名

解决:要把域名传递过去:

  1. nginx中配置:proxy_set_header Host $host;   #设置请求头Host我为请求的请求头host
  2. zuul网关中配置:add-host-header: true    #携带请求头信息,
  3. zuul网关配置:sensitive-headers: #覆盖敏感头信息,这里为空表示不过滤任何敏感头信息,让cookie可以正常写入

配置第三步的原因zuul的PreDecorationFilter过滤器把敏感头信息过滤了详细代如下

if (!route.isCustomSensitiveHeaders()) {
					this.proxyRequestHelper
							.addIgnoredHeaders(this.properties.getSensitiveHeaders().toArray(new String[0])); //忽略敏感头信息
				}
				else {
					this.proxyRequestHelper.addIgnoredHeaders(route.getSensitiveHeaders().toArray(new String[0]));
				}

忽略的头信息内容:可以看到把cookie忽略了

 

 

 

修改了spring cloud的版本后终于可以搞到cookie了。干。

遇到问题:超级坑壁的问题,全设置好了还是获取不到正确的域名,导致设置不上cookie。原因:Finchley.SR1版本会存在获取不到cookie值的bug,所以要spring-cloud-dependencies替换成Finchley.RELEASE版本。

参考

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

热门文章

暂无图片
编程学习 ·

exe4j详细使用教程(附下载安装链接)

一、exe4j介绍 ​ exe4j是一个帮助你集成Java应用程序到Windows操作环境的java可执行文件生成工具,无论这些应用是用于服务器,还是图形用户界面(GUI)或命令行的应用程序。如果你想在任务管理器中及Windows XP分组的用户友好任务栏…
暂无图片
编程学习 ·

AUTOSAR从入门到精通100讲(126)-浅谈车载充电系统通信方案

01 引言 本文深入研究车载充电系统策略,设计出一套基于电动汽车电池管理系统与车载充电机的CAN通信协议,可供电动汽车设计人员参考借鉴。 02 电动汽车充电系统通讯网络 电动汽车整车控制系统中采用的是CAN总线通信方式,由一个整车内部高速CAN网络、内部低速CAN网络和一个充电…
暂无图片
编程学习 ·

CMake(九):生成器表达式

当运行CMake时,开发人员倾向于认为它是一个简单的步骤,需要读取项目的CMakeLists.txt文件,并生成相关的特定于生成器的项目文件集(例如Visual Studio解决方案和项目文件,Xcode项目,Unix Makefiles或Ninja输入文件)。然…
暂无图片
编程学习 ·

47.第十章 网络协议和管理配置 -- 网络配置(八)

4.3.3 route 命令 路由表管理命令 路由表主要构成: Destination: 目标网络ID,表示可以到达的目标网络ID,0.0.0.0/0 表示所有未知网络,又称为默认路由,优先级最低Genmask:目标网络对应的netmaskIface: 到达对应网络,应该从当前主机哪个网卡发送出来Gateway: 到达非直连的网络,…
暂无图片
编程学习 ·

元宇宙技术基础

请看图: 1、通过AR、VR等交互技术提升游戏的沉浸感 回顾游戏的发展历程,沉浸感的提升一直是技术突破的主要方向。从《愤怒的小鸟》到CSGO,游戏建模方式从2D到3D的提升使游戏中的物体呈现立体感。玩家在游戏中可以只有切换视角,进而提升沉浸…
暂无图片
编程学习 ·

flink的伪分布式搭建

一 flink的伪分布式搭建 1.1 执行架构图 1.Flink程序需要提交给 Job Client2.Job Client将作业提交给 Job Manager3.Job Manager负责协调资源分配和作业执行。 资源分配完成后,任务将提交给相应的 Task Manage。4.Task Manager启动一个线程以开始执行。Task Manage…
暂无图片
编程学习 ·

十进制正整数与二进制字符串的转换(C++)

Function one: //十进制数字转成二进制字符串 string Binary(int x) {string s "";while(x){if(x % 2 0) s 0 s;else s 1 s;x / 2;}return s; } Function two: //二进制字符串变为十进制数字 int Decimal(string s) {int num 0, …
暂无图片
编程学习 ·

[含lw+源码等]微信小程序校园辩论管理平台+后台管理系统[包运行成功]Java毕业设计计算机毕设

项目功能简介: 《微信小程序校园辩论管理平台后台管理系统》该项目含有源码、论文等资料、配套开发软件、软件安装教程、项目发布教程等 本系统包含微信小程序做的辩论管理前台和Java做的后台管理系统: 微信小程序——辩论管理前台涉及技术:WXML 和 WXS…
暂无图片
编程学习 ·

树莓派驱动DHT11温湿度传感器

1,直接使用python库 代码如下 import RPi.GPIO as GPIO import dht11 import time import datetimeGPIO.setwarnings(True) GPIO.setmode(GPIO.BCM)instance dht11.DHT11(pin14)try:while True:result instance.read()if result.is_valid():print(ok)print(&quo…
暂无图片
编程学习 ·

ELK简介

ELK简介 ELK是三个开源软件的缩写,Elasticsearch、Logstash、Kibana。它们都是开源软件。不过现在还新增了一个 Beats,它是一个轻量级的日志收集处理工具(Agent),Beats 占用资源少,适合于在各个服务器上搜集日志后传输给 Logstas…
暂无图片
编程学习 ·

Linux 基础

通常大数据框架都部署在 Linux 服务器上,所以需要具备一定的 Linux 知识。Linux 书籍当中比较著名的是 《鸟哥私房菜》系列,这个系列很全面也很经典。但如果你希望能够快速地入门,这里推荐《Linux 就该这么学》,其网站上有免费的电…
暂无图片
编程学习 ·

Windows2022 无线网卡装不上驱动

想来 Windows2022 和 windows10/11 的驱动应该差不多通用的,但是死活装不上呢? 搜一下,有人提到 “默认安装时‘无线LAN服务’是关闭的,如果需要开启,只需要在“添加角色和功能”中,选择开启“无线LAN服务…
暂无图片
编程学习 ·

【嵌入式面试宝典】版本控制工具Git常用命令总结

目录 创建仓库 查看信息 版本回退 版本检出 远程库 Git 创建仓库 git initgit add <file> 可反复多次使用&#xff0c;添加多个文件git commit -m <message> 查看信息 git status 仓库当前的状态git diff 差异对比git log 历史记录&#xff0c;提交日志--pret…
暂无图片
编程学习 ·

用Postman生成测试报告

newman newman是一款基于nodejs开发的可以运行postman脚本的工具&#xff0c;使用Newman&#xff0c;可以直接从命令运行和测试postman集合。 安装nodejs 下载地址&#xff1a;https://nodejs.org/en/download/ 选择自己系统相对应的版本内容进行下载&#xff0c;然后傻瓜式安…
暂无图片
编程学习 ·

Java面向对象之多态、向上转型和向下转型

文章目录前言一、多态二、引用类型之间的转换Ⅰ.向上转型Ⅱ.向下转型总结前言 今天继续Java面向对象的学习&#xff0c;学习面向对象的第三大特征&#xff1a;多态&#xff0c;了解多态的意义&#xff0c;以及两种引用类型之间的转换&#xff1a;向上转型、向下转型。  希望能…