引入 Shiro + JWT ,提供权限认证服务。
设计
在现在实现的 API 网关中,当接收 HTTP 请求以后,开始调用对应的 RPC 接口前,其实还应该做一步权限验证。也就是当前调用的 HTTP 接口是否含有网关授予的 Token 信息,这个 Token 是否在有效期范围等控制,这样才能保证一个 HTTP 的调用和返回结果是安全可靠的。
关于网关中权限的校验会使用到 Shiro + JWT, 同时还要提供单独的 Handler 来处理 Netty 中的通信对信息的校验处理。但鉴于这部分属于两块功能,所以本章只先完成关于 Shiro + JWT 部分。
傻傻分不清之 Cookie、Session、Token、JWT - 掘金
什么是 Cookie
- HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。
- cookie 存储在客户端: cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。
- cookie 是不可跨域的: 每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。
什么是 Session
- session 是另一种记录服务器和客户端会话状态的机制
- session 是基于 cookie 实现的,session 存储在服务器端,Session ID 会被存储到客户端的 cookie 中
- SessionID 是连接 Cookie 和 Session 的一道桥梁
- session 认证流程:
- 用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session
- 请求返回时将此 Session 的唯一标识信息 Session ID 返回给浏览器
- 浏览器接收到服务器返回的 Session ID 信息后,会将此信息存入到 Cookie 中,同时 Cookie 记录此 SessionID 属于哪个域名
- 当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie 信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,如果找到 Session 证明用户已经登录可执行后面操作
Cookie 和 Session 的区别
- 安全性:Session 比 Cookie 安全,Session 是存储在服务器端的,Cookie 是存储在客户端的。
- 存取值的类型不同:Cookie 只支持存储字符串数据,想要设置其他类型的数据,需要将其转换成字符串,Session 可以存任意数据类型。
- 有效期不同:Cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,Session 一般失效时间较短,客户端关闭(默认情况下)或者 Session 超时都会失效。
- 存储大小不同:单个 Cookie 保存的数据不能超过 4K,Session 可存储数据远高于 Cookie,但是当访问量过多,会占用过多的服务器资源。
什么是 Token(令牌)
Acesss Token
- 访问资源接口(API)时所需要的资源凭证
- 简单 token 的组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token 的前几位以哈希算法压缩成的一定长度的十六进制字符串)
特点:
- 服务端无状态化、可扩展性好
- 支持移动端设备
- 安全
- 支持跨程序调用
token 的身份验证流程:
- 客户端使用用户名跟密码请求登录
- 服务端收到请求,去验证用户名与密码
- 验证成功后,服务端会签发一个 token 并把这个 token 发送给客户端
- 客户端收到 token 以后,会把它存储起来,比如放在 cookie 里或者 localStorage 里
- 客户端每次向服务端请求资源的时候需要带着服务端签发的 token
- 服务端收到请求,然后去验证客户端请求里面带着的 token ,如果验证成功,就向客户端返回请求的数据
- 每一次请求都需要携带 token,需要把 token 放到 HTTP 的 Header 里
- 基于 token 的用户认证是一种服务端无状态的认证方式,服务端不用存放 token 数据。用解析 token 的计算时间换取 session 的存储空间,从而减轻服务器的压力,减少频繁的查询数据库
- token 完全由应用管理,所以它可以避开同源策略
Refresh Token
- refresh token 是专用于刷新 access token 的 token。如果没有 refresh token,也可以刷新 access token,但每次刷新都要用户输入登录用户名与密码,会很麻烦。有了 refresh token,可以减少这个麻烦,客户端直接用 refresh token 去更新 access token,无需用户进行额外的操作。
- Access Token 的有效期比较短,当 Acesss Token 由于过期而失效时,使用 Refresh Token 就可以获取到新的 Token,如果 Refresh Token 也失效了,用户就只能重新登录了。
- Refresh Token 及过期时间是存储在服务器的数据库中,只有在申请新的 Acesss Token 时才会验证,不会对业务接口响应时间造成影响,也不需要向 Session 一样一直保持在内存中以应对大量的请求。
Token 和 Session 的区别
- Session 是一种记录服务器和客户端会话状态的机制,使服务端有状态化,可以记录会话信息。而 Token 是令牌,访问资源接口(API)时所需要的资源凭证。Token 使服务端无状态化,不会存储会话信息。
- Session 和 Token 并不矛盾,作为身份认证 Token 安全性比 Session 好,因为每一个请求都有签名还能防止监听以及重放攻击,而 Session 就必须依赖链路层来保障通讯安全了。如果你需要实现有状态的会话,仍然可以增加 Session 来在服务器端保存一些状态。
- 所谓 Session 认证只是简单的把 User 信息存储到 Session 里,因为 SessionID 的不可预测性,暂且认为是安全的。而 Token ,如果指的是 OAuth Token 或类似的机制的话,提供的是 认证 和 授权 ,认证是针对用户,授权是针对 App 。其目的是让某 App 有权利访问某用户的信息。这里的 Token 是唯一的。不可以转移到其它 App上,也不可以转到其它用户上。Session 只提供一种简单的认证,即只要有此 SessionID ,即认为有此 User 的全部权利。是需要严格保密的,这个数据应该只保存在站方,不应该共享给其它网站或者第三方 App。所以简单来说:如果你的用户数据可能需要和第三方共享,或者允许第三方调用 API 接口,用 Token 。如果永远只是自己的网站,自己的 App,用什么就无所谓了。
什么是 JWT
- JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。
- 是一种认证授权机制。
- JWT 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。
- 可以使用 HMAC 算法或者是 RSA 的公/私秘钥对 JWT 进行签名。因为数字签名的存在,这些传递的信息是可信的。
- 阮一峰老师的 JSON Web Token 入门教程 讲的非常通俗易懂
JWT 原理
JWT 认证流程:
- 用户输入用户名/密码登录,服务端认证成功后,会返回给客户端一个 JWT
- 客户端将 token 保存到本地(通常使用 localstorage,也可以使用 cookie)
- 当用户希望访问一个受保护的路由或者资源的时候,需要请求头的 Authorization 字段中使用Bearer 模式添加 JWT,其内容看起来是下面这样
1
| Authorization: Bearer <token>
|
- 服务端的保护路由将会检查请求头 Authorization 中的 JWT 信息,如果合法,则允许用户的行为
- 因为 JWT 是自包含的(内部包含了一些会话信息),因此减少了需要查询数据库的需要
- 因为 JWT 并不使用 Cookie 的,所以你可以使用任何域名提供你的 API 服务而不需要担心跨域资源共享问题(CORS)
- 因为用户的状态不再存储在服务端的内存中,所以这是一种无状态的认证机制
Token 和 JWT 的区别
相同:
- 都是访问资源的令牌
- 都可以记录用户的信息
- 都是使服务端无状态化
- 都是只有验证成功后,客户端才能访问服务端上受保护的资源
区别:
- Token:服务端验证客户端发送过来的 Token 时,还需要查询数据库获取用户信息,然后验证 Token 是否有效。
- JWT: 将 Token 和 Payload 加密后存储于客户端,服务端只需要使用密钥解密进行校验(校验也是 JWT 自己实现的)即可,不需要查询或者减少查询数据库,因为 JWT 自包含了用户信息和加密的数据。
Shiro
速通Shiro框架! - 掘金
Shiro 基础教程 - 掘金
核心架构
1.Subject
主体,你可以理解为访问系统的用户。
2.SecurityManager
安全管理器。用户进行认证和授权都是通过 securityManager 进行,你可以理解为 shiro 的老大。
3.authenticator
认证器,用户通过 authenticator 进行认证。
4.authorizer
授权器,用户通过 authorizer 进行授权。
5.realm
领域,相当于数据源。
在 realm 中,我们通过查询数据库的信息,然后对用户进行认证和授权。所以 authenticator 和 authorizer 其实是调用了 realm 中 认证和授权的方法。
6.cryptography
密码管理。shiro 提供了一套加密和解密的组件。
认证流程
首先,你需要创建安全管理器 SecurityManager,然后为安全管理器设置 Realm,Realm 的数据源是以配置文件的方式进行配置。
用户在前端输入账号和密码,Shiro 框架获取当前要登录的主体(用户)对象,然后将账号和密码封装成 Shiro 中默认的 UsernamePasswordToken 对象。
接着安全管理器通知 Realm 认证一下当前用户,Realm 将用户输入的账号密码信息和配置文件中的信息做比对,比对通过则认证成功,比对不通过则返回错误信息。
实现
IAuth 认证服务接口
1
2
3
4
5
6
7
8
9
10
11
12
| package cn.ray.gateway.authorization;
public interface IAuth {
boolean validate(String id, String token);
}
|
JwtUtil
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
| package cn.ray.gateway.authorization;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
public class JwtUtil {
private static final String signingKey = "B*B^5Fe";
public static String encode(String issuer, long ttlMillis, Map<String, Object> claims) {
if (null == claims) {
claims = new HashMap<>();
}
long currentMillis = System.currentTimeMillis();
Date currentTime = new Date(currentMillis);
JwtBuilder jwtBuilder = Jwts.builder()
.setClaims(claims)
.setIssuedAt(currentTime)
.setSubject(issuer)
.signWith(SignatureAlgorithm.HS256, signingKey);
if (ttlMillis>=0) {
long expMillis = currentMillis + ttlMillis;
Date expTime = new Date(expMillis);
jwtBuilder.setExpiration(expTime);
}
return jwtBuilder.compact();
}
public static Claims decode(String token) {
return Jwts.parser()
.setSigningKey(signingKey)
.parseClaimsJws(token)
.getBody();
}
}
|
GatewayAuthorizingToken 自定义网关验证 Token
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
| package cn.ray.gateway.authorization;
import org.apache.shiro.authc.AuthenticationToken;
public class GatewayAuthorizingToken implements AuthenticationToken {
private static final long serialVersionUID = 1L;
private String channelId;
private String jwt;
public GatewayAuthorizingToken() {
}
public GatewayAuthorizingToken(String channelId, String jwt) {
this.channelId = channelId;
this.jwt = jwt;
}
@Override
public Object getPrincipal() {
return channelId;
}
@Override
public Object getCredentials() {
return jwt;
}
public String getChannelId() {
return channelId;
}
public String getJwt() {
return jwt;
}
public void setChannelId(String channelId) {
this.channelId = channelId;
}
public void setJwt(String jwt) {
this.jwt = jwt;
}
}
|
GatewayAuthorizingRealm 自定义网关验证域
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
| package cn.ray.gateway.authorization;
import io.jsonwebtoken.Claims;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
public class GatewayAuthorizingRealm extends AuthorizingRealm {
@Override
public Class<?> getAuthenticationTokenClass() {
return GatewayAuthorizingToken.class;
}
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
return null;
}
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
try {
Claims claims = JwtUtil.decode(((GatewayAuthorizingToken) authenticationToken).getJwt());
if (!authenticationToken.getPrincipal().equals(claims.getSubject()))
throw new AuthenticationException("无效令牌");
} catch (Exception e) {
throw new AuthenticationException("无效令牌");
}
return new SimpleAuthenticationInfo(authenticationToken.getPrincipal(), authenticationToken.getCredentials(), this.getName());
}
}
|
这里的鉴权逻辑是验证 token 签发人是否一致,即生成 token 时指定的 Subject (签发人,类似userld.userName)与 POST 请求时 Headers 中携带的 uId 是否一致,确保获取 token 的用户和使用 token 的用户是同一个,鉴权才通过。
AuthService 认证服务
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
| package cn.ray.gateway.authorization.auth;
import cn.ray.gateway.authorization.GatewayAuthorizingToken;
import cn.ray.gateway.authorization.IAuth;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.util.Factory;
import org.apache.shiro.subject.Subject;
public class AuthService implements IAuth {
private Subject subject;
public AuthService() {
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro.ini");
SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
this.subject = SecurityUtils.getSubject();
}
@Override
public boolean validate(String id, String token) {
try {
subject.login(new GatewayAuthorizingToken(id, token));
return subject.isAuthenticated();
} finally {
subject.logout();
}
}
}
|
Shiro.ini
1
2
3
4
5
| [main]
# 声明1个Realm,也可以声明多个,多个则顺序执行
gatewayAuthorizingRealm=cn.ray.gateway.authorization.GatewayAuthorizingRealm
# 指定 securityManager 的 realms 实现。如果是多个则用逗号隔开。
securityManager.realms=$gatewayAuthorizingRealm
|
测试
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
| package cn.ray.gateway.test;
import cn.ray.gateway.authorization.IAuth;
import cn.ray.gateway.authorization.JwtUtil;
import cn.ray.gateway.authorization.auth.AuthService;
import io.jsonwebtoken.Claims;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
import org.junit.Test;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import java.util.HashMap;
import java.util.Map;
public class ShiroTest {
private final static Logger logger = LoggerFactory.getLogger(ShiroTest.class);
@Test
public void test_auth_service() {
IAuth auth = new AuthService();
boolean validate = auth.validate("DPij8iUY", "eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJSYXkiLCJleHAiOjE2ODUwMDA0NzYsImlhdCI6MTY4NDM5NTY3Niwia2V5IjoiUmF5In0.Tg8GqVwhemXyqFMdCXVSNrDEaJhSO0L23ebNWpN4nM0");
System.out.println(validate ? "验证成功" : "验证失败");
}
@Test
public void test_jwt() {
String issuer = "Ray";
long ttlMillis = 7 * 24 * 60 * 60 * 1000L;
Map<String, Object> claims = new HashMap<>();
claims.put("key", "Ray");
String token = JwtUtil.encode(issuer, ttlMillis, claims);
System.out.println(token);
Claims parser = JwtUtil.decode(token);
System.out.println(parser.getSubject());
}
@Test
public void test_shiro() {
Factory<SecurityManager> factory =
new IniSecurityManagerFactory("classpath:test-shiro.ini");
org.apache.shiro.mgt.SecurityManager securityManager = factory.getInstance();
SecurityUtils.setSecurityManager(securityManager);
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken("Ray", "123");
try {
subject.login(token);
} catch (AuthenticationException e) {
System.out.println("身份验证失败");
}
System.out.println(subject.isAuthenticated() ? "验证成功" : "验证失败");
subject.logout();
}
}
|
