Spring Cloud基于JWT创建统一的认证服务

认证服务肯定要有用户信息，不然怎么认证是否为合法用户？因为是内部的调用认证，可以简单一点，用数据库管理就是一种方式。或者可以配置用户信息，然后集成分布式配置管理就完美了。

表结构

本教程中的案例把查数据库这一步骤省略了，大家可以自行补充，但是表的设计还是要跟大家讲解的。用户表的形式如图 1 所示。

图 1 用户表

相关的代码如下所示。

1. create table auth_user(
2. id int(4) not null,
3. accessKey varchar(100) not null,
4. secretKey varchar(100) not null,
5. Primary key (id)
6. );
7. Alter table auth_user comment '认证用户信息表';

这里只有简单的几个字段，若大家有别的需求可以自行去扩展。代码中的 accessKey 和 secretKey 是用户身份的标识。

JWT 工具类封装

JWT 的 GitHub 地址是：https://github.com/jwtk/jjwt，依赖配置代码如下所示。

1. <dependency>
2. <groupId>io.jsonwebtoken</groupId>
3. <artifactId>jjwt</artifactId>
4. <version>0.7.0</version>
5. </dependency>

用工具类进行认证主要有以下几个方法：

• 生成 Token。
• 检查 Token 是否合法。
• 刷新 RSA 公钥以及私钥。

生成 Token 是在进行用户身份认证之后，通过用户的 ID 来生成一个 Token，这个 Token 采用 RSA 加密的方式进行加密，Token 的内容包括用户的 ID 和过期时间。

检查 Token 则是根据调用方带来的 Token 检查是否为合法用户，就是对 Token 进行解密操作，能解密并且在有效期内表示合法，合法则返回用户 ID。

刷新 RSA 公钥及私钥的作用是防止公钥、私钥泄露，公钥、私钥一般是写死的，不过我们可以做成配置的。集成配置管理中心后，可以对公钥、私钥进行动态修改，修改之后需要重新初始化公钥、私钥的对象信息。

获取 Token 代码如下所示。

1. /**
2. * 获取 Token
3. *
4. * @param uid 用户 ID
5. * @param exp 失效时间, 单位分钟
6. * @return
7. */
8. public static String getToken(String uid, int exp) {
9. Long endTime = System.currentTimeMillis() + 1000 * 60 * exp;
10. return Jwts.builder().setSubject(uid).setExpiration(new Date(endTime))
11. .signWith(SignatureAlgorithm.RS512, priKey).compact();
12. }

检查 Token 是否合法代码如下所示。

1. /**
2. * 检查 Token 是否合法
3. *
4. * @param token
5. * @return JWTResult
6. */
7. public JWTResult checkToken(String token) {
8. try {
9. Claims claims = Jwts.parser().setSigningKey(pubKey).parseClaimsJws(token).getBody();
10. String sub = claims.get("sub", String.class);
11. return new JWTResult(true, sub, "合法请求", ResponseCode.SUCCESS_CODE.getCode());
12. } catch (ExpiredJwtException e) {
13. // 在解析 JWT 字符串时, 如果'过期时间字段'已经早于当前时间,
14. // 将会抛出 ExpiredJwtException 异常, 说明本次请求已经失效
15. return new JWTResult(false, null, "token已过期 ", ResponseCode.TOKEN_TIMEOUT_CODE.getCode());
16. } catch (SignatureException e) {
17. // 在解析 JWT 字符串时, 如果密钥不正确, 将会解析失败, 抛出
18. // SignatureException 异常, 说明该 JWT 字符串是伪造的
19. return new JWTResult(false, null, "非法请求", ResponseCode.NO_AUTH_CODE.getCode());
20. } catch (Exception e) {
21. return new JWTResult(false, null, "非法请求", ResponseCode.NO_AUTH_CODE.getCode());
22. }
23. }

完整代码如下所示。

1. /**
2. * API调用认证工具类，采用RSA加密
3. */
4. public class JWTUtils {
5. private static RSAPrivateKey priKey;
6. private static RSAPublicKey pubKey;
7. private static class SingletonHolder {
8. private static final JWTUtils INSTANCE = new JWTUtils();
9. }
10. public synchronized static JWTUtils getInstance(String modulus, String privateExponent, String publicExponent) {
11. if (priKey == null && pubKey == null) {
12. priKey = RSAUtils.getPrivateKey(modulus, privateExponent);
13. pubKey = RSAUtils.getPublicKey(modulus, publicExponent);
14. }
15. return SingletonHolder.INSTANCE;
16. }
17. public synchronized static void reload(String modulus, String privateExponent, String publicExponent) {
18. priKey = RSAUtils.getPrivateKey(modulus, privateExponent);
19. pubKey = RSAUtils.getPublicKey(modulus, publicExponent);
20. }
21. public synchronized static JWTUtils getInstance() {
22. if (priKey == null && pubKey == null) {
23. priKey = RSAUtils.getPrivateKey(RSAUtils.modulus, RSAUtils.private_exponent);
24. pubKey = RSAUtils.getPublicKey(RSAUtils.modulus, RSAUtils.public_exponent);
25. }
26. return SingletonHolder.INSTANCE;
27. }
28. /**
29. * 获取Token
30. *
31. * @param uid 用户ID
32. * @param exp 失效时间，单位分钟
33. * @return
34. */
35. public static String getToken(String uid, int exp) {
36. long endTime = System.currentTimeMillis() + 1000 * 60 * exp;
37. return Jwts.builder().setSubject(uid).setExpiration(new Date(endTime))
38. .signWith(SignatureAlgorithm.RS512, priKey).compact();
39. }
40. /**
41. * 获取Token
42. *
43. * @param uid 用户ID
44. * @return
45. */
46. public String getToken(String uid) {
47. long endTime = System.currentTimeMillis() + 1000 * 60 * 1440;
48. return Jwts.builder().setSubject(uid).setExpiration(new Date(endTime))
49. .signWith(SignatureAlgorithm.RS512, priKey).compact();
50. }
51. /**
52. * 检查Token是否合法
53. *
54. * @param token
55. * @return JWTResult
56. */
57. public JWTResult checkToken(String token) {
58. try {
59. Claims claims = Jwts.parser().setSigningKey(pubKey).parseClaimsJws(token).getBody();
60. String sub = claims.get("sub", String.class);
61. return new JWTResult(true, sub, "合法请求", ResponseCode.SUCCESS_CODE.getCode());
62. } catch (ExpiredJwtException e) {
63. // 在解析JWT字符串时，如果‘过期时间字段’已经早于当前时间，将会抛出ExpiredJwtException异常，说明本次请求已经失效
64. return new JWTResult(false, null, "token已过期", ResponseCode.TOKEN_TIMEOUT_CODE.getCode());
65. } catch (SignatureException e) {
66. // 在解析JWT字符串时，如果密钥不正确，将会解析失败，抛出SignatureException异常，说明该JWT字符串是伪造的
67. return new JWTResult(false, null, "非法请求", ResponseCode.NO_AUTH_CODE.getCode());
68. } catch (Exception e) {
69. return new JWTResult(false, null, "非法请求", ResponseCode.NO_AUTH_CODE.getCode());
70. }
71. }
72. public static class JWTResult {
73. private boolean status;
74. private String uid;
75. private String msg;
76. private int code;
77. public JWTResult() {
78. super();
79. }
80. public JWTResult(boolean status, String uid, String msg, int code) {
81. super();
82. this.status = status;
83. this.uid = uid;
84. this.msg = msg;
85. this.code = code;
86. }
87. public int getCode() {
88. return code;
89. }
90. public void setCode(int code) {
91. this.code = code;
92. }
93. public String getMsg() {
94. return msg;
95. }
96. public void setMsg(String msg) {
97. this.msg = msg;
98. }
99. public boolean isStatus() {
100. return status;
101. }
102. public void setStatus(boolean status) {
103. this.status = status;
104. }
105. public String getUid() {
106. return uid;
107. }
108. public void setUid(String uid) {
109. this.uid = uid;
110. }
111. }
112. }

认证接口

认证接口用于调用方进行认证时，认证通过则返回一个加密的 Token 给对方，对方就可以用这个 Token 去请求别的服务了，认证获取 Token 代码如下所示。

1. @PostMapping("/token")
2. public ResponseData auth(@RequestBody AuthQuery query) throws Exception {
3. if (StringUtils.isBlank(query.getAccessKey()) || StringUtils.isBlank(query.getSecretKey())) {
4. return ResponseData.failByParam("accessKey and secretKey not null");
5. }
6. User user = authService.auth(query);
7. if (user == null) {
8. return ResponseData.failByParam(" 认证失败 ");
9. }
10. JWTUtils jwt = JWTUtils.getInstance();
11. return ResponseData.ok(jwt.getToken(user.getId().toString()));
12. }

认证参数代码如下所示。

1. /**
2. * API 用户认证参数类
3. */
4. public class AuthQuery {
5. private String accessKey;
6. private String secretKey;
7. // get set ...
8. }

AuthService 中的 auth 方法就是根据 accessKey 和 secretKey 判断是否有这个用户。

由于篇幅有限，请大家继续阅读以下教程：

• 服务提供方进行调用认证
• 服务消费方申请Token
• Feign调用前统一申请Token传递到调用的服务中
• RestTemplate调用前统一申请Token传递到调用的服务中
• Zuul中传递Token到路由的服务中