传统的登录系统中,每个站点都实现了自己的专用登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。例如:
这样的系统,我们又称之为多点登陆系统。应用起来相对繁琐(每次访问资源服务都需要重新登陆认证和授权)。与此同时,系统代码的重复也比较高。由此单点登陆系统诞生。
单点登录,英文是 single sign on(缩写为 sso)。即多个站点共用一台认证授权服务器,用户在其中任何一个站点登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互。例如:
基于资源服务工程添加单点登陆认证和授权服务,工程结构定义如下:
<dependency> <groupid>org.springframework.boot</groupid> <artifactid>spring-boot-starter-web</artifactid> </dependency> <dependency> <groupid>org.springframework.cloud</groupid> <artifactid>spring-cloud-starter-oauth2</artifactid> </dependency> <dependency> <groupid>com.alibaba.cloud</groupid> <artifactid>spring-cloud-starter-alibaba-nacos-discovery</artifactid> </dependency> <dependency> <groupid>com.alibaba.cloud</groupid> <artifactid>spring-cloud-starter-alibaba-nacos-config</artifactid> </dependency>在sca-auth工程中创建bootstrap.yml文件,例如:
rver: port: 8071spring: application: name: sca-auth cloud: nacos: discovery: rver-addr: localhost:8848 config: rver-addr: localhost:8848package com.jt;import org.springframework.boot.springapplication;import org.springframework.boot.autoconfigure.springbootapplication;@springbootapplicationpublic class resourceauthapplication { public static void main(string[] args) { springapplication.run(resourceauthapplication.class, args); }}项目启动时,系统会默认生成一个登陆密码,例如:
其中,默认用户名为ur,密码为系统启动时,在控制台呈现的密码。执行登陆测试,登陆成功进入如下界面(因为没有定义登陆页面,所以会出现404):
我们的单点登录系统最终会按照如下结构进行设计和实现,例如:
我们在实现登录时,会在ui工程中,定义登录页面(login.html),然后在页面中输入自己的登陆账号,登陆密码,将请求提交给网关,然后网关将请求转发到auth工程,登陆成功和失败要返回json数据,在这个章节我们会按这个业务逐步进行实现
修改curityconfig配置类,添加登录成功或失败的处理逻辑,例如:
package com.jt.auth.config;import com.fasterxml.jackson.databind.objectmapper;import org.springframework.context.annotation.bean;import org.springframework.context.annotation.configuration;import org.springframework.curity.config.annotation.web.builders.httpcurity;import org.springframework.curity.config.annotation.web.configuration.webcurityconfigureradapter;import org.springframework.curity.crypto.bcrypt.bcryptpasswordencoder;import org.springframework.curity.web.authentication.authenticationfailurehandler;import org.springframework.curity.web.authentication.authenticationsuccesshandler;import javax.rvlet.http.httprvletrespon;import java.io.ioexception;import java.io.printwriter;import java.util.hashmap;import java.util.map;@configurationpublic class curityconfig extends webcurityconfigureradapter { /**初始化密码加密对象*/ @bean public bcryptpasswordencoder passwordencoder(){ return new bcryptpasswordencoder(); } /**在这个方法中定义登录规则 * 1)对所有请求放行(当前工程只做认证) * 2)登录成功信息的返回 * 3)登录失败信息的返回 * */ @override protected void configure(httpcurity http) throws exception { //关闭跨域工具 http.csrf().disable(); //放行所有请求 http.authorizerequests().anyrequest().permitall(); //登录成功与失败的处理 http.formlogin() .successhandler(successhandler()) .failurehandler(failurehandler()); } @bean public authenticationsuccesshandler successhandler(){// return new authenticationsuccesshandler() {// @override// public void onauthenticationsuccess(httprvletrequest httprvletrequest, httprvletrespon httprvletrespon, authentication authentication) throws ioexception, rvletexception {//// }// } return (request,respon,authentication) ->{ //1.构建map对象,封装响应数据 map<string,object> map=new hashmap<>(); map.put("state",200); map.put("message","login ok")湖南高考分数; //2.将map对象写到客户端 writejsontoclient(respon,map); }; } @bean public authenticationfailurehandler failurehandler(){ return (request,respon, e)-> { //1.构建map对象,封装响应数据 map<string,object> map=new hashmap<>(); map.put("state",500); map.put("message","login failure"); //2.将map对象写到客户端 writejsontoclient(respon,map); }; } private void writejsontoclient(httprvletrespon respon, object object) throws ioexception { //1.将对象转换为json //将对象转换为json有3种方案: //1)google的gson-->tojson (需要自己找依赖) //2)阿里的fastjson-->json (spring-cloud-starter-alibaba-ntinel) //3)springboot web自带的jackson-->writevalueasstring (spring-boot-starter-web) //我们这里借助springboot工程中自带的jackson //jackson中有一个对象类型为objectmapper,它内部提供了将对象转换为json的方法 //例如: string jsonstr=new objectmapper().writevalueasstring(object); //3.将json字符串写到客户端 printwriter writer = respon.getwriter(); writer.println(jsonstr); writer.flush(); }}在spring curity应用中底层会借助urdetailrvice对象获取数据库信息,并进行封装,最后返回给认证管理器,完成认证操作,例如:
package com.jt.auth.rvice;import org.springframework.beans.factory.annotation.autowired;import org.springframework.curity.core.grantedauthority;import org.springframework.curity.core.authority.authorityutils;import org.springframework.curity.core.urdetails.ur;import org.springframework.curity.core.urdetails.urdetails;import org.springframework.curity.core.urdetails.urdetailsrvice;import org.springframework.curity.core.urdetails.urnamenotfoundexception;import org.springframework.curity.crypto.bcrypt.bcryptpasswordencoder;import org.springframework.stereotype.rvice;import java.util.list;/** * 登录时用户信息的获取和封装会在此对象进行实现, * 在页面上点击登录按钮时,会调用这个对象的loadurbyurname方法, * 页面上输入的用户名会传给这个方法的参数 */@rvicepublic class urdetailsrviceimpl implements urdetailsrvice { @autowired private bcryptpasswordencoder passwordencoder; //urdetails用户封装用户信息(认证和权限信息) @override public urdetails loadurbyurname(string urname) throws urnamenotfoundexception { //1.基于用户名查询用户信息(用户名,用户状态,密码,....) //urinfo urinfo=urmapper.lecturbyurname(urname); string encodedpassword=passwordencoder.encode("123456"); //2.查询用户权限信息(后面会访问数据库) //这里先给几个假数据 list<grantedauthority> authorities = authorityutils.createauthoritylist(//这里的权限信息先这么写,后面讲 竹荪种植 "sys:res:create", "sys:res:retrieve"); //3.对用户信息进行封装 return new ur(urname,encodedpassword,authorities); }}在网关配置文件中添加登录路由配置,例如
- id: router02 uri: lb://sca-auth #lb表示负载均衡,底层默认使用ribbon实现 predicates: #定义请求规则(请求需要按照此规则设计) - path=/auth/login/** #请求路径设计 filters: - stripprefix=1 #转发之前去掉path中第一层路径启动sca-gateway,sca-auth服务,然后基于postman访问网关,执行登录测试,例如:
在sca-resource-ui工程的static目录中定义登陆页面,例如:
<!doctype html><html lang="en"><head> <!-- required meta tags --> <meta chart="utf-8"> <meta name="viewport" content="width=device-width, initial-scale=1"> <!-- bootstrap css --> <link href="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/css/bootstrap.min.css" rel="stylesheet" integrity="sha384-evstqn3/azprg1anm3qdgpjlim9nao0yz1ztcqtwfspd3yd65vohhpuucomlasjc" crossorigin="anonymous"> <title>login</title></head><body><div class="container"id="app"> <h3>plea login</h3> <form> <div class="mb-3"> <label for="urnameid" class="form-label">urname</label> <input type="text" v-model="urname" class="form-control" id="urnameid" aria-describedby="emailhelp"> </div> <div class="mb-3"> <label for="passwordid" class="form-label">password</label> <input type="password" v-model="password" class="form-control" id="passwordid"> </div> <button type="button" @click="dologin()" class="btn btn-primary">submit</button> </form></div><script src="https://cdn.jsdelivr.net/npm/bootstrap@5.0.2/dist/js/bootstrap.bundle.min.js" integrity="sha384-mrcw6zmfylzcla8nl+ntuvf0sa7msxsp1uyjomp4yleunsfap+jcxn/twtiaxvxm" crossorigin="anonymous"></script><script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"></script><script src="https://unpkg.com/axios/dist/axios.min.js"></script><script> var vm=new vue({ el:"#app",//定义监控点,vue底层会基于此监控点在内存中构建dom树 data:{ //此对象中定义页面上要操作的数据 urname:"", password:"" }, methods: {//此位置定义所有业务事件处理函数 dologin() { //1.定义url let url = "http://localhost:9000/auth/login" //2.定义参数 let params = new urlarchparams() params.append('urname',this.urname); params.append('password',this.password); //3.发送异步请求 axios.post(url, params).then((respon) => { debugger let result=respon.data; console.log(result); if (result.state == 200) { alert("login ok"); } el { alert(result.message); } }) } } });</script></body></html>启动sca-resource-ui服务后,进入登陆页面,输入用户名jack,密码123456进行登陆测试。
本次我们借助jwt(json web token-是一种json格式)方式将用户相关信息进行组织和加密,并作为响应令牌(token),从服务端响应到客户端,客户端接收到这个jwt令牌之后,将其保存在客户端(例如localstorage),然后携带令牌访问资源服务器,资源服务器获取并解析令牌的合法性,基于解析结果判定是否允许用户访问资源.
package com.jt.auth.config;import org.springframework.context.annotation.bean;import org.springframework.context.annotation.configuration;import org.springframework.curity.oauth2.provider.token.tokenstore;import org.springframework.curity.oauth2.provider.token.store.jwtaccesstokenconverter;import org.springframework.curity.oauth2.provider.token.store.jwttokenstore;@configurationpublic class tokenconfig { //定义签名key,在执行令牌签名需要这个key,可以自己指定. private string signing_key = "auth"; //定义令牌生成策略. @bean public tokenstore tokenstore() { return new jwttokenstore(jwtaccesstokenconverter()); } //定义jwt转换器,负责生成jwt令牌,解析令牌内容 @bean public jwtaccesstokenconverter jwtaccesstokenconverter(){ jwtaccesstokenconverter converter=new jwtaccesstokenconverter(); //设置加密/解密口令 converter.tsigningkey(signing_key); return converter; }}第一步:在curityconfig中添加如下方法(创建认证管理器对象,后面授权服务器会用到):
@bean public authenticationmanager authenticationmanagerbean() throws exception { return super.authenticationmanagerbean(); }第二步:所有零件准备好了开始拼装最后的主体部分,这个主体部分就是授权服务器的核心配置
package com.jt.auth.config;import lombok.allargsconstructor;import org.springframework.context.annotation.bean;import org.springframework.context.annotation.configuration;import org.springframework.http.httpmethod;import org.springframework.curity.authentication.authenticationmanager;import org.springframework.curity.core.urdetails.urdetailsrvice;import org.springframework.curity.crypto.password.passwordencoder;import org.springframework.curity.oauth2.config.annotation.configurers.clientdetailsrviceconfigurer;import org.springframework.curity.oauth2.config.annotation.web.configuration.authorizationrverconfigureradapter;import org.springframework.curity.oauth2.config.annotation.web.configuration.enableauthorizationrver;import org.springframework.curity.oauth2.config.annotation.web.configurers.authorizationrverendpointsconfigurer;import org.springframework.curity.oauth2.config.annotation.web.configurers.authorizationrvercurityconfigurer;import org.springframework.curity.oauth2.provider.token.authorizationrvertokenrvices;import org.springframework.curity.oauth2.provider.token.defaulttokenrvices;import org.springframework.curity.oauth2.provider.token.tokenenhancerchain;import org.springframework.curity.oauth2.provider.token.tokenstore;import org.springframework.curity.oauth2.provider.token.store.jwtaccesstokenconverter;import java.util.arrays;/** * 完成所有配置的组装,在这个配置类中完成认证授权,jwt令牌签发等配置操作 * 1)springcurity (安全认证和授权) * 2)tokenconfig * 3)oauth2(暂时不说) */@allargsconstructor@configuration@enableauthorizationrver //开启认证和授权服务public class oauth2config extends authorizationrverconfigureradapter { //此对象负责完成认证管理 private authenticationmanager authenticationmanager; //tokenstore负责完成令牌创建,信息读取 private tokenstore tokenstore; //jwt令牌转换器(基于用户信息构建令牌,解析令牌) private jwtaccesstokenconverter jwtaccesstokenconverter; //密码加密匹配器对象 private passwordencoder passwordencoder; //负责获取用户信息信息 private urdetailsrvice urdetailsrvice; //设置认证端点的配置(/oauth/token),客户端通过这个路径获取jwt令牌 @override public void configure(authorizationrverendpointsconfigurer endpoints) throws exception { endpoints //配置认证管理器 .authenticationmanager(authenticationmanager) //验证用户的方法获得用户详情 .urdetailsrvice(urdetailsrvice) //要求提交认证使用post请求方式,提高安全性 .allowedtokenendpointrequestmethods(httpmethod.post,httpmethod.get) //要配置令牌的生成,由于令牌生成比较复杂,下面有方法实现 .tokenrvices(tokenrvice());//这个不配置,默认令牌为uuid.randomuuid().tostring() } //定义令牌生成策略 @bean public authorizationrvertokenrvices tokenrvice(){ //这个方法的目标就是获得一个令牌生成器 defaulttokenrvices rvices=new defaulttokenrvices(); //支持令牌刷新策略(令牌有过期时间) rvices.tsupportrefreshtoken(true); //设置令牌生成策略(tokenstore在tokenconfig配置了,本次我们应用jwt-定义了一种令牌格式) rvices.ttokenstore(tokenstore); //设置令牌增强(允许设置令牌生成策略,默认是非jwt方式,现在设置为jwt方式,并在令牌payload部分允许添加扩展数据,例如用户权限信息) tokenenhancerchain chain=new tokenenhancerchain(); chain.ttokenenhancers(arrays.aslist(jwtaccesstokenconverter)); rvices.ttokenenhancer(chain); //设置令牌有效期 rvices.taccesstokenvalidityconds(3600);//1小时 //刷新令牌应用场景:一般在用户登录系统后,令牌快过期时,系统自动帮助用户刷新令牌,提高用户的体验感 对联图片 rvices.trefreshtokenvalidityconds(3600*72);//3天 return rvices; } //设置客户端详情类似于用户详情 @override public void configure(clientdetailsrviceconfigurer clients) throws exception { clients.inmemory() //客户端id (客户端访问时需要这个id) .withclient("gateway-client") //客户端秘钥(客户端访问时需要携带这个密钥) .cret(passwordencoder.encode("123456")) //设置权限 .scopes("all")//all只是个名字而已和写abc效果相同 //允许客户端进行的操作 这里的认证方式表示密码方式,里面的字符串千万不能写错 .authorizedgranttypes("password","refresh_token"); } // 认证成功后的安全约束配置,对指定资源的访问放行,我们登录时需要访问/oauth/token,需要对这样的url进行放行 @override public void configure(authorizationrvercurityconfigurer curity) throws exception { //认证通过后,允许客户端进行哪些操作 curity //公开oauth/token_key端点 .tokenkeyaccess("permitall()") //公开oauth/check_token端点 .checktokenaccess("permitall()") //允许提交请求进行认证(申请令牌) .allowformauthenticationforclients(); }} - id: router02 uri: lb://sca-auth predicates: #- path=/auth/login/** #没要令牌之前,以前是这样配置 - path=/auth/oauth/** #微服务架构下,需要令牌,现在要这样配置 filters: - stripprefix=1第一步:启动服务
依次启动sca-auth服务,sca-resource-gateway服务。
第二步:检测sca-auth服务控制台的endpoints信息,例如:
第三步:打开postman进行登陆访问测试
登陆成功会在控制台显示令牌信息,例如:{ "access_token": "eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyjlehaioje2mjk5otg0njasinvzzxjfbmftzsi6imphy2silcjhdxrob3jpdgllcyi6wyjzexm6cmvzomnyzwf0zsisinn5czpyzxm6cmv0cmlldmuixswianrpijoiywq3zdk1odytmjuwys00m2m4lwi0odytnjiyyjjmy2uzmdniiiwiy2xpzw50x2lkijoiz2f0zxdhes1jbgllbnqilcjzy29wzsi6wyjhbgwixx0.-zcmxwh0pz3gtkdktpr4fknfb1v23w-e501y7tzmlg4", "token_type": "bearer", "refresh_token": "eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyj1c2vyx25hbwuioijqywnriiwic2nvcguiolsiywxsil0simf0asi6imfkn2q5ntg2lti1mgetndnjoc1indg2ltyymmiyzmnlmzazyiisimv4cci6mtyzmdi1nda2mcwiyxv0ag9yaxrpzxmiolsic3lzonjlczpjcmvhdguilcjzexm6cmvzonjldhjpzxzlil0simp0asi6ijiyotdjmtg2lwm4mdktndzizi1inmmxlwfiywexy2exzjq1ziisimnsawvudf9pzci6imdhdgv3yxkty2xpzw50in0.1bf5iazrotffju31qv3rwavetfc1nhwu1z_dsgcnsx0", "expires_in": 3599, "scope": "all", "jti": "ad7d9586-250a-43c8-b486-622b2fce303b"}登陆成功以后,将token存储到localstorage中,修改登录页面的dologin方法,例如
dologin() { //1.定义url let url = "http://localhost:9000/auth/oauth/token" //2.定义参数 let params = new urlarchparams() params.append('urname',this.urname); params.append('password',this.password); params.append("client_id","gateway-client"); params.append("client_cret","123456"); params.append("grant_type","password"); //3.发送异步请求 axios.post(url, params).then((respon) => { alert("login ok"); let result=respon.data; localstorage.titem("accesstoken",result.access_token); location.href="/fileupload.html"; }).catch((error)=>{ console.log(error); }) 雅思培训机构比较 }打开资源服务的pom.xml文件,添加oauth2依赖。
<dependency> <groupid>org.springframework.cloud</groupid> <artifactid>spring-cloud-starter-oauth2</artifactid></dependency>package com.jt.auth.config;import org.springframework.context.annotation.bean;import org.springframework.context.annotation.configuration;import org.springframework.curity.oauth2.provider.token.tokenstore;import org.springframework.curity.oauth2.provider.token.store.jwtaccesstokenconverter;import org.springframework.curity.oauth2.provider.token.store.jwttokenstore;/** * 创建jwt令牌配置类,基于这个类实现令牌对象的创建和解析. * jwt令牌的构成有三部分构成: * 1)header (头部信息:令牌类型,签名算法) * 2)payload (数据信息-用户信息,权限信息,令牌失效时间,...) * 3)signature (签名信息-对header和payload部分进行加密签名) */@configurationpublic class tokenconfig { //定义令牌签发口令(暗号),这个口令自己定义即可 //在对header和payload部分进行签名时,需要的一个口令 private string signing_key= "auth"; //初始化令牌生成策略(默认生成策略 uuid) //这里我们采用jwt方式生成令牌 @bean public tokenstore tokenstore(){ return new jwttokenstore(jwtaccesstokenconverter()); } //构建jwt令牌转换器对象,基于此对象创建令牌,解析令牌 @bean public jwtaccesstokenconverter jwtaccesstokenconverter(){ jwtaccesstokenconverter converter=new jwtaccesstokenconverter(); converter.tsigningkey(signing_key); return converter; }}package com.jt.resource.config;import com.fasterxml.jackson.databind.objectmapper;import org.springframework.beans.factory.annotation.autowired;import org.springframework.context.annotation.configuration;import org.springframework.curity.config.annotation.method.configuration.enableglobalmethodcurity;import org.springframework.curity.config.annotation.web.builders.httpcurity;import org.springframework.curity.oauth2.config.annotation.web.configuration.enableresourcerver;import org.springframework.curity.oauth2.config.annotation.web.configuration.resourcerverconfigureradapter;import org.springframework.curity.oauth2.config.annotation.web.configurers.resourcervercurityconfigurer;import org.springframework.curity.oauth2.provider.token.tokenstore;import org.springframework.curity.web.access.accessdeniedhandler;import javax.rvlet.http.httprvletrespon;import java.io.printwriter;import java.util.hashmap;import java.util.map;@configuration@enableresourcerver@enableglobalmethodcurity(prepostenabled = true)public class resourcerverconfig extends resourcerverconfigureradapter { @autowired private tokenstore tokenstore; /** * token服务配置 */ @override public void configure(resourcervercurityconfigurer resources) throws exception { resources.tokenstore(tokenstore); } /** * 路由安全认证配置 */ @override public void configure(httpcurity http) throws exception { http.csrf().disable(); http.exceptionhandling() .accessdeniedhandler(accessdeniedhandler()); http.authorizerequests().anyrequest().permitall(); } //没有权限时执行此处理器方法 public accessdeniedhandler accessdeniedhandler() { return (request, respon, e) -> { map<string, object> map = new hashmap<>(); map.put("state", httprvletrespon.sc_forbidden);//sc_forbidden的值是403 map.put("message", "没有访问权限,请联系管理员"); //1设置响应数据的编码 respon.tcharacterencoding("utf-8"); //2告诉浏览器响应数据的内容类型以及编码 respon.tcontenttype("application/json;chart=utf-8"); //3获取输出流对象 printwriter out=respon.getwriter(); //4 输出数据 string result= new objectmapper().writevalueasstring(map); out.println(result); out.flush(); }; }}package com.jt.resource.config;import com.fasterxml.jackson.databind.objectmapper;import org.springframework.beans.factory.annotation.autowired;import org.springframework.context.annotation.configuration;import org.springframework.curity.config.annotation.method.configuration.enableglobalmethodcurity;import org.springframework.curity.config.annotation.web.builders.httpcurity;import org.springframework.curity.oauth2.config.annotation.web.configuration.enableresourcerver;import org.springframework.curity.oauth2.config.annotation.web.configuration.resourcerverconfigureradapter;import org.springframework.curity.oauth2.config.annotation.web.configurers.resourcervercurityconfigurer;import org.springframework.curity.oauth2.provider.token.tokenstore;import org.springframework.curity.web.access.accessdeniedhandler;import javax.rvlet.http.httprvletrespon;import java.io.printwriter;import java.util.hashmap;import java.util.map;@configuration@enableresourcerver@enableglobalmethodcurity(prepostenabled = true)public class resourcerverconfig extends resourcerverconfigureradapter { @autowired private tokenstore tokenstore; /** * token服务配置 */ @override public void configure(resourcervercurityconfigurer resources) throws exception { resources.tokenstore(tokenstore); } /** * 路由安全认证配置 */ @override public void configure(httpcurity http) throws exception { http.csrf().disable(); http.exceptionhandling() .accessdeniedhandler(ac广东最好的大专cessdeniedhandler()); http.authorizerequests().anyrequest().permitall(); } //没有权限时执行此处理器方法 public accessdeniedhandler accessdeniedhandler() { return (request, respon, e) -> { map<string, object> map = new hashmap<>(); map.put("state", httprvletrespon.sc_forbidden);//sc_forbidden的值是403 map.put("message", "没有访问权限,请联系管理员"); //1设置响应数据的编码 respon.tcharacterencoding("utf-8"); //2告诉浏览器响应数据的内容类型以及编码 respon.tcontenttype("application/json;chart=utf-8"); //3获取输出流对象 printwriter out=respon.getwriter(); //4 输出数据 string result= new objectmapper().writevalueasstring(map); out.println(result); out.flush(); }; }}在controller的上传方法上添加 @preauthorize(“hasauthority(‘sys:res:create’)”)注解,用于告诉底层框架方法此方法需要具备的权限,例如
@preauthorize("hasauthority('sys:res:create')") @postmapping("/upload/") public string uploadfile(multipartfile uploadfile) throws ioexception { ... }设置请求头(header),要携带令牌并指定请求的内容类型,例如
设置请求体(body),设置form-data,key要求为file类型,参数名与你服务端controller文件上传方法的参数名相同,值为你选择的文件,例如
上传成功会显示你访问文件需要的路径,假如没有权限会提示你没有访问权限。
function upload(file){ //定义一个表单 let form=new formdata(); //将图片添加到表单中 form.append("uploadfile",file); let url="http://localhost:9000/sca/resource/upload/"; //异步提交方式1 axios.post(url,form,{headers:{"authorization":"bearer "+localstorage.getitem("accesstoken")}}) .then(function (respon){ let result=respon.data; if(result.state==403){ alert(result.message); return; } alert("upload ok"); }) }企业中数据是最重要的资源,对于这些数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.我们通常会通过软件技术对这样业务进行具体的设计和实现.早期没有统一的标准,每个系统都有自己独立的设计实现,但是对于这个业务又是一个共性,后续市场上就基于共性做了具体的落地实现,例如spring curity,apache shiro,jwt,oauth2等技术诞生了.
spring curity 是一个企业级安全框架,由spring官方推出,它对软件系统中的认证,授权,加密等功能进行封装,并在springboot技术推出以后,配置方面做了很大的简化.现在市场上分布式架构中的安全控制,正在逐步的转向spring curity。spring curity 在企业中实现认证和授权业务时,底层构建了大量的过滤器,如图所示:
其中:图中绿色部分为认证过滤器,黄色部分为授权过滤器。spring curity就是通过这些过滤器然后调用相关对象一起完成认证和授权操作.
jwt(json web token)是一个标准,采用数据自包含方式进行json格式数据设计,实现各方安全的信息传输,其官方网址为:https://jwt.io/。官方jwt规范定义,它构成有三部分,分别为header(头部),payload(负载),signature(签名),其格式如下:
xxxxx.yyyyy.zzzzzheader 部分是一个 json 对象,描述 jwt 的元数据,通常是下面的样子。
{ "alg": "hs256", "typ": "jwt"}上面代码中,alg属性表示签名的算法(algorithm),默认是 hmac sha256(简写hs256);typ属性表示这个令牌(token)的类型(type),jwt 令牌统一写为jwt。最后,将这个 json 对象使用 ba64url 算法(详见后文)转成字符串。
payload部分
payload 部分也是一个 json 对象,用来存放实际需要传递的数据。jwt规范中规定了7个官方字段,供选用。
iss (issuer):签发人exp (expiration time):过期时间sub (subject):主题aud (audience):受众nbf (not before):生效时间iat (issued at):签发时间jti (jwt id):编号除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。{ "sub": "1234567890", "name": "john doe", "admin": true}注意,jwt 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
这个 json 对象也要使用 ba64url 算法转成字符串。
signature部分
signature 部分是对前两部分的签名,其目的是防止数据被篡改。
首先,需要指定一个密钥(cret)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 header 里面指定的签名算法(默认是 hmac sha256),按照下面的公式产生签名。
hmacsha256( ba64urlencode(header) + "." + ba64urlencode(payload), cret)算出签名以后,把 header、payload、signature 三个部分拼成一个字符串,每个部分之间用”点”(.)分隔,就可以返回给用户。
oauth2定义了一种认证授权协议,一种规范,此规范中定义了四种类型的角色:
1)资源有者(ur)
2)认证授权服务器(jt-auth)
3)资源服务器(jt-resource)
4)客户端应用(jt-ui)
同时,在这种协议中规定了认证授权时的几种模式:
1)密码模式 (基于用户名和密码进行认证)
2)授权码模式(就是我们说的三方认证:qq,微信,微博,。。。。)
3)…
…
本文发布于:2023-04-05 08:13:05,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/fanwen/zuowen/bf11874251b2064b28cdd3358d413929.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:单点登录框架有哪些(单点登录失败解决措施).doc
本文 PDF 下载地址:单点登录框架有哪些(单点登录失败解决措施).pdf
| 留言与评论(共有 0 条评论) |
