权限管理规约 第十一课

前端的阶梯
147 阅读3分钟

1、概述

本次课程主要介绍的内容如下:

  1. JWT
  2. 用户角色管理
  3. 搭建授权中心
  4. 登录功能相关

文章里面涉及到了相关的理念,明白了这些理念,就能在项目中使用。总体来说有一定的价值。

2、JWT

2.1 什么是JWT

Json web token (JWT), 是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于JSON的开放标准(RFC7519).定义了⼀种简洁的,⾃包含的⽅法⽤于通信双⽅之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使⽤HMAC算法或者是RSA的公私秘钥对进⾏签名。

组成如下: image.png

  • Header头部

头部包含了两部分,token 类型和采⽤的加密算法,它会使⽤ Base64 编码组成 JWT 结构的第⼀部分。 注:Base64是⼀种编码,也就是说,它是可以被翻译回原来的样⼦来的。它并不是⼀种加密过程。

  • Payload负载

这部分就是我们存放信息的地⽅了,你可以把⽤户 ID 等信息放在这⾥,JWT 规范⾥⾯对这部分有进⾏了⽐较详细的介绍,常⽤的由 iss(签发者),exp(过期时间),sub(⾯向的⽤户),aud(接收⽅),iat(签发时间)。同样的,它会使⽤ Base64 编码组成 JWT 结构的第⼆部分。

  • Signature签名

前⾯两部分都是使⽤ Base64 进⾏编码的,即前端可以解开知道⾥⾯的信息。Signature 需要使⽤编码后的 header 和 payload 以及我们提供的⼀个密钥,然后使⽤ header 中指定的签名算法(HS256)进⾏签名。签名的作⽤是保证 JWT 没有被篡改过。三个部分通过 . 连接在⼀起就是我们的 JWT 了,它可能⻓这个样⼦,⻓度貌似和你的加密算法和私钥有关系。

  • 签名的⽬的

最后⼀步签名的过程,实际上是对头部以及负载内容进⾏签名,防⽌内容被窜改。如果有⼈对头部以及负载的内容解码之后进⾏修改,再进⾏编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不⼀样的。如果要对新的头部和负载进⾏签名,在不知道服务器加密时⽤的密钥的话,得出来的签名也是不⼀样的。

官网Demo截图.

image.png

2.2 为什么使⽤JWT

  • 传统token认证

image.png

  • JWT认证

image.png

传统的授权模式性能低下,每次都需要请求授权服务校验令牌合法性,我们可以利⽤公钥私 钥完成对令牌的加密,如果加密解密成功,则表示令牌合法,如果加密解密失败,则表示令牌⽆效不合法,合法则允许访问资源服务器的资源,解密失败,则不允许访问资源服务器资源。

2.3 如何使⽤JWT

image.png

image.png

image.png

  • ⽣成私钥公钥

image.png

具体的请阅读keytool的使用说明

3、⽤户⻆⾊管理

3.1 RBAC模型

系统管理⼯程完成了对于rbac数据的管理,RBAC(基于⻆⾊的权限控制 role base access control)是⼀种设计模式,是⽤来设计和管理权限相关数据的⼀种模型。

image.png

4、搭建授权中⼼

4.1 配置类

配置JwtConfig,创建TokenStore配置使⽤公钥验证令牌。

@Configuration

public class JwtConfig {

public static final String public_cert = "public.key";

@Autowired

private JwtAccessTokenConverter jwtAccessTokenConverter;

@Bean

@Qualifier("tokenStore")

public TokenStore tokenStore() {

return new JwtTokenStore(jwtAccessTokenConverter);

}

@Bean

protected JwtAccessTokenConverter jwtAccessTokenConverter() {

JwtAccessTokenConverter converter = new JwtAccessTokenConverter();

Resource resource = new ClassPathResource(public_cert);

String publicKey;

try {

publicKey = new

String(FileCopyUtils.copyToByteArray(resource.getInputStream()));

}catch (IOException e) {

throw new RuntimeException(e);

}

// 设置校验公钥

converter.setVerifierKey(publicKey);

// 设置证书签名密码,否则报错

converter.setSigningKey("kaikeba");

return converter;

}

}
avatar
文章
阅读
粉丝