微服务网关鉴权gateway使用网关限流用户密码加密JWT鉴

　　目标掌握微服务网关Gateway的系统搭建掌握网关限流的实现能够使用BCrypt实现对密码的加密与验证了解加密算法能够使用JWT实现微服务鉴权1。微服务网关Gateway1。1微服务网关概述
　　不同的微服务一般会有不同的网络地址，而外部客户端可能需要调用多个服务的接口才能完成一个业务需求，如果让客户端直接与各个微服务通信，会有以下的问题：客户端会多次请求不同的微服务，增加了客户端的复杂性存在跨域请求，在一定场景下处理相对复杂认证复杂，每个服务都需要独立认证难以重构，随着项目的迭代，可能需要重新划分微服务。例如，可能将多个服务合并成一个或者将一个服务拆分成多个。如果客户端直接与微服务通信，那么重构将会很难实施某些微服务可能使用了防火墙浏览器不友好的协议，直接访问会有一定的困难
　　以上这些问题可以借助网关解决。
　　网关是介于客户端和服务器端之间的中间层，所有的外部请求都会先经过网关这一层。也就是说，API的实现方面更多的考虑业务逻辑，而安全、性能、监控可以交由网关来做，这样既提高业务灵活性又不缺安全性，典型的架构图如图所示：
　　优点如下：安全，只有网关系统对外进行暴露，微服务可以隐藏在内网，通过防火墙保护。易于监控。可以在网关收集监控数据并将其推送到外部系统进行分析。易于认证。可以在网关上进行认证，然后再将请求转发到后端的微服务，而无须在每个微服务中进行认证。减少了客户端与各个微服务之间的交互次数易于统一授权。
　　总结：微服务网关就是一个系统，通过暴露该微服务网关系统，方便我们进行相关的鉴权，安全控制，日志统一处理，易于监控的相关功能。
　　实现微服务网关的技术有很多，nginxNginx（enginex）是一个高性能的HTTP和反向代理web服务器，同时也提供了IMAPPOP3SMTP服务zuul，Zuul是Netflix出品的一个基于JVM路由和服务端的负载均衡器。springcloudgateway，是spring出品的基于spring的网关项目，集成断路器，路径重写，性能比Zuul好。
　　我们使用gateway这个网关技术，无缝衔接到基于springcloud的微服务开发中来。
　　gateway官网：
　　https：spring。ioprojectsspringcloudgateway1。2微服务网关微服务搭建
　　由于我们开发的系统有包括前台系统和后台系统，后台的系统给管理员使用。那么也需要调用各种微服务，所以我们针对管理后台搭建一个网关微服务。分析如下：
　　搭建步骤：
　　1）在changgougateway工程中，创建changgougatewaysystem工程，pom。xml：dependencygroupIdorg。springframework。cloudgroupIdspringcloudstartergatewayartifactIddependencydependencygroupIdorg。springframework。cloudgroupIdspringcloudstarternetflixhystrixartifactIddependencydependencygroupIdorg。springframework。cloudgroupIdspringcloudstarternetflixeurekaclientartifactIddependency
　　2）创建包com。changgou，创建引导类：GatewayApplicationSpringBootApplicationEnableEurekaClientpublicclassGatewayApplication｛publicstaticvoidmain（String〔〕args）｛SpringApplication。run（GatewayApplication。class，args）；｝｝
　　3）在resources下创建application。ymlspring：application：name：sysgatewaycloud：gateway：routes：id：goodsuri：lb：goodspredicates：Pathgoodsfilters：StripPrefix1id：systemuri：lb：systempredicates：Pathsystemfilters：StripPrefix1server：port：9101eureka：client：serviceurl：defaultZone：http：127。0。0。1：6868eurekainstance：preferipaddress：true
　　参考官方手册：
　　https：cloud。spring。iospringcloudgatewayspringcloudgateway。htmlstripprefixgatewayfilterfactory1。3微服务网关跨域
　　修改application。yml，在spring。cloud。gateway节点添加配置，globalcors：corsconfigurations：〔〕：匹配所有请求allowedOrigins：跨域处理允许所有的域allowedMethods：支持的方法GETPOSTPUTDELETE
　　最终配置文件如下：spring：application：name：sysgatewaycloud：gateway：globalcors：corsconfigurations：〔〕：匹配所有请求allowedOrigins：跨域处理允许所有的域allowedMethods：支持的方法GETPOSTPUTDELETEroutes：id：goodsuri：lb：goodspredicates：Pathgoodsfilters：StripPrefix1server：port：9101eureka：client：serviceurl：defaultZone：http：127。0。0。1：6868eurekainstance：preferipaddress：true1。4微服务网关过滤器
　　我们可以通过网关过滤器，实现一些逻辑的处理，比如ip黑白名单拦截、特定地址的拦截等。下面的代码中做了两个过滤器，并且设定的先后顺序，只演示过滤器与运行效果。（具体逻辑处理部分学员实现）
　　1）changgougatewaysystem创建IpFilterComponentpublicclassIpFilterimplementsGlobalFilter，Ordered｛OverridepublicMonoVoidfilter（ServerWebExchangeexchange，GatewayFilterChainchain）｛System。out。println（经过第1个过滤器IpFilter）；ServerHttpRequestrequestexchange。getRequest（）；InetSocketAddressremoteAddressrequest。getRemoteAddress（）；System。out。println（ip：remoteAddress。getHostName（））；returnchain。filter（exchange）；｝OverridepublicintgetOrder（）｛return1；｝｝
　　2）changgougatewaysystem创建UrlFilterComponentpublicclassUrlFilterimplementsGlobalFilter，Ordered｛OverridepublicMonoVoidfilter（ServerWebExchangeexchange，GatewayFilterChainchain）｛System。out。println（经过第2个过滤器UrlFilter）；ServerHttpRequestrequestexchange。getRequest（）；Stringurlrequest。getURI（）。getPath（）；System。out。println（url：url）；returnchain。filter（exchange）；｝OverridepublicintgetOrder（）｛return2；｝｝
　　测试，观察控制台输出。2网关限流
　　我们之前说过，网关可以做很多的事情，比如，限流，当我们的系统被频繁的请求的时候，就有可能将系统压垮，所以为了解决这个问题，需要在每一个微服务中做限流操作，但是如果有了网关，那么就可以在网关系统做限流，因为所有的请求都需要先通过网关系统才能路由到微服务中。2。1思路分析
　　2。2令牌桶算法
　　令牌桶算法是比较常见的限流算法之一，大概描述如下：所有的请求在处理之前都需要拿到一个可用的令牌才会被处理；根据限流大小，设置按照一定的速率往桶里添加令牌；桶设置最大的放置令牌限制，当桶满时、新添加的令牌就被丢弃或者拒绝；请求达到后首先要获取令牌桶中的令牌，拿着令牌才可以进行其他的业务逻辑，处理完业务逻辑之后，将令牌直接删除；令牌桶有最低限额，当桶中的令牌达到最低限额的时候，请求处理完之后将不会删除令牌，以此保证足够的限流
　　如下图：
　　这个算法的实现，有很多技术，Guava（读音：瓜哇）是其中之一，redis客户端也有其实现。2。3网关限流代码实现
　　需求：每个ip地址1秒内只能发送1次请求，多出来的请求返回429错误。
　　代码实现：
　　1）springcloudgateway默认使用redis的RateLimter限流算法来实现。所以我们要使用首先需要引入redis的依赖！redisdependencygroupIdorg。springframework。bootgroupIdspringbootstarterdataredisreactiveartifactIdversion2。1。3。RELEASEversiondependency
　　2）定义KeyResolver
　　在GatewayApplicatioin引导类中添加如下代码，KeyResolver用于计算某一个类型的限流的KEY也就是说，可以通过KeyResolver来指定限流的Key。定义一个KeyResolverBeanpublicKeyResolveripKeyResolver（）｛returnnewKeyResolver（）｛OverridepublicMonoStringresolve（ServerWebExchangeexchange）｛returnMono。just（exchange。getRequest（）。getRemoteAddress（）。getHostName（））；｝｝；｝
　　3）修改application。yml中配置项，指定限制流量的配置以及REDIS的配置，修改后最终配置如下：spring：application：name：sysgatewaycloud：gateway：globalcors：corsconfigurations：〔〕：匹配所有请求allowedOrigins：跨域处理允许所有的域allowedMethods：支持的方法GETPOSTPUTDELETEroutes：id：goodsuri：lb：goodspredicates：Pathgoodsfilters：StripPrefix1name：RequestRateLimiter请求数限流名字不能随便写args：keyresolver：｛ipKeyResolver｝redisratelimiter。replenishRate：1redisratelimiter。burstCapacity：1id：systemuri：lb：systempredicates：Pathsystemfilters：StripPrefix1配置Redis127。0。0。1可以省略配置redis：host：192。168。200。128port：6379server：port：9101eureka：client：serviceurl：defaultZone：http：127。0。0。1：6868eurekainstance：preferipaddress：true
　　解释：burstCapacity：令牌桶总容量。replenishRate：令牌桶每秒填充平均速率。keyresolver：用于限流的键的解析器的Bean对象的名字。它使用SpEL表达式根据｛beanName｝从Spring容器中获取Bean对象。
　　通过在replenishRate和中设置相同的值来实现稳定的速率burstCapacity。设置burstCapacity高于时，可以允许临时突发replenishRate。
　　在这种情况下，需要在突发之间允许速率限制器一段时间（根据replenishRate），因为2次连续突发将导致请求被丢弃（HTTP429TooManyRequests）
　　keyresolver：｛userKeyResolver｝用于通过SPEL表达式来指定使用哪一个KeyResolver。
　　如上配置：
　　表示一秒内，允许一个请求通过，令牌桶的填充速率也是一秒钟添加一个令牌。
　　最大突发状况也只允许一秒内有一次请求，可以根据业务来调整。
　　4）测试
　　启动redis启动注册中心启动商品微服务启动gateway网关
　　打开浏览器http：localhost：9101goodsbrand
　　快速刷新，当1秒内发送多次请求，就会返回429错误。3。BCrypt密码加密3。1BCrypt快速入门
　　在用户模块，对于用户密码的保护，通常都会进行加密。我们通常对密码进行加密，然后存放在数据库中，在用户进行登录的时候，将其输入的密码进行加密然后与数据库中存放的密文进行比较，以验证用户密码是否正确。
　　目前，MD5和BCrypt比较流行。相对来说，BCrypt比MD5更安全。
　　BCrypt官网http：www。mindrot。orgprojectsjBCrypt
　　1）我们从官网下载源码
　　2）新建工程，将源码类BCrypt拷贝到工程
　　3）新建测试类，main方法中编写代码，实现对密码的加密StringgensaltBCrypt。gensalt（）；这个是盐29个字符，随机生成System。out。println（gensalt）；StringpasswordBCrypt。hashpw（123456，gensalt）；根据盐对密码进行加密System。out。println（password）；加密后的字符串前29位就是盐
　　4）新建测试类，main方法中编写代码，实现对密码的校验。BCrypt不支持反运算，只支持密码校验。booleancheckpwBCrypt。checkpw（123456，2a1061ogZY7EXsMDWeVGQpDq3OBF1。phaUu7。xrwLyWFTOu8woE08zMIW）；System。out。println（checkpw）；3。2新增管理员密码加密3。2。1需求与表结构分析
　　新增管理员，使用BCrypt进行密码加密3。2。2代码实现
　　1）将BCrypt源码拷贝到changgoucommon工程org。mindrot。jbcrypt包下
　　2）修改changgouservicesystem项目的AdminServiceImpl增加paramadminOverridepublicvoidadd（Adminadmin）｛StringpasswordBCrypt。hashpw（admin。getPassword（），BCrypt。gensalt（））；admin。setPassword（password）；adminMapper。insert（admin）；｝3。3管理员登录密码验证3。3。1需求分析
　　系统管理用户需要管理后台，需要先输入用户名和密码进行登录，才能进入管理后台。
　　思路：用户发送请求，输入用户名和密码后台管理微服务controller接收参数，验证用户名和密码是否正确，如果正确则返回用户登录成功结果3。3。2代码实现
　　1）AdminService新增方法定义登录验证密码paramadminreturnbooleanlogin（Adminadmin）；
　　2）AdminServiceImpl实现此方法Overridepublicbooleanlogin（Adminadmin）｛根据登录名查询管理员Adminadmin1newAdmin（）；admin1。setLoginName（admin。getLoginName（））；admin1。setStatus（1）；Adminadmin2adminMapper。selectOne（admin1）；数据库查询出的对象if（admin2null）｛｝else｛验证密码，Bcrypt为spring的包，第一个参数为明文密码，第二个参数为密文密码returnBCrypt。checkpw（admin。getPassword（），admin2。getPassword（））；｝｝
　　3）AdminController新增方法登录paramadminreturnPostMapping（login）publicResultlogin（RequestBodyAdminadmin）｛booleanloginadminService。login（admin）；if（login）｛returnnewResult（）；｝else｛returnnewResult（false，StatusCode。LOGINERROR，用户名或密码错误）；｝｝4。加密算法（了解）
　　由于在学习JWT的时候会涉及使用很多加密算法，所以在这里做下扫盲，简单了解就可以
　　加密算法种类有：4。1。可逆加密算法
　　解释：加密后，密文可以反向解密得到密码原文。4。1。1。对称加密
　　【文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥】
　　解释：在对称加密算法中，数据发信方将明文和加密密钥一起经过特殊的加密算法处理后，使其变成复杂的加密密文发送出去，收信方收到密文后，若想解读出原文，则需要使用加密时用的密钥以及相同加密算法的逆算法对密文进行解密，才能使其回复成可读明文。在对称加密算法中，使用的密钥只有一个，收发双方都使用这个密钥，这就需要解密方事先知道加密密钥。
　　优点：对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。
　　缺点：没有非对称加密安全。
　　用途：一般用于保存用户手机号、身份证等敏感但能解密的信息。
　　常见的对称加密算法有：AES、DES、3DES、Blowfish、IDEA、RC4、RC5、RC6、HS2564。1。2。非对称加密
　　【两个密钥：公开密钥（publickey）和私有密钥，公有密钥加密，私有密钥解密】
　　解释：同时生成两把密钥：私钥和公钥，私钥隐秘保存，公钥可以下发给信任客户端。
　　加密与解密：私钥加密，持有私钥或公钥才可以解密公钥加密，持有私钥才可解密
　　签名：
　　私钥签名，持有公钥进行验证是否被篡改过。优点：非对称加密与对称加密相比，其安全性更好；缺点：非对称加密的缺点是加密和解密花费时间长、速度慢，只适合对少量数据进行加密。用途：一般用于签名和认证。私钥服务器保存，用来加密，公钥客户拿着用于对于令牌或者签名的解密或者校验使用。
　　常见的非对称加密算法有：RSA、DSA（数字签名用）、ECC（移动设备用）、RS256（采用SHA256的RSA签名）4。2。不可逆加密算法
　　解释：一旦加密就不能反向解密得到密码原文。
　　种类：Hash加密算法，散列算法，摘要算法等
　　用途：一般用于效验下载文件正确性，一般在网站上下载文件都能见到；存储用户敏感信息，如密码、卡号等不可解密的信息。
　　常见的不可逆加密算法有：MD5、SHA、HMAC4。3。Base64编码
　　Base64是网络上最常见的用于传输8Bit字节代码的编码方式之一。Base64编码可用于在HTTP环境下传递较长的标识信息。采用Base64Base64编码解码具有不可读性，即所编码的数据不会被人用肉眼所直接看到。注意：Base64只是一种编码方式，不算加密方法。
　　在线编码工具：
　　http：www。jsons。cnimg2base645。JWT实现微服务鉴权
　　JWT一般用于实现单点登录。单点登录：如腾讯下的游戏有很多，包括lol，飞车等，在qq游戏对战平台上登录一次，然后这些不同的平台都可以直接登陆进去了，这就是单点登录的使用场景。JWT就是实现单点登录的一种技术，其他的还有oath2等。5。1什么是微服务鉴权
　　我们之前已经搭建过了网关，使用网关在网关系统中比较适合进行权限校验。
　　那么我们可以采用JWT的方式来实现鉴权校验。5。2JWT
　　JSONWebToken（JWT）是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
　　一个JWT实际上就是一个字符串，它由三部分组成，头部、载荷与签名。头部（Header）
　　头部用于描述关于该JWT的最基本的信息，例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。｛typ：JWT，alg：HS256｝
　　在头部指明了签名算法是HS256算法。我们进行BASE64编码http：base64。xpcha。com，编码后的字符串如下：eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
　　小知识：Base64是一种基于64个可打印字符来表示二进制数据的表示方法。由于2的6次方等于64，所以每6个比特为一个单元，对应某个可打印字符。三个字节有24个比特，对应于4个Base64单元，即3个字节需要用4个可打印字符来表示。
　　JDK中提供了非常方便的BASE64Encoder和BASE64Decoder，用它们可以非常方便的完成基于BASE64的编码和解码载荷（playload）
　　载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品，这些有效信息包含三个部分
　　1）标准中注册的声明（建议但不强制使用）iss：jwt签发者sub：jwt所面向的用户aud：接收jwt的一方exp：jwt的过期时间，这个过期时间必须要大于签发时间nbf：定义在什么时间之前，该jwt都是不可用的。iat：jwt的签发时间jti：jwt的唯一身份标识，主要用来作为一次性token。
　　2）公共的声明
　　公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息。但不建议添加敏感信息，因为该部分在客户端可解密。
　　3）私有的声明
　　私有声明是提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。
　　这个指的就是自定义的claim。比如前面那个结构举例中的admin和name都属于自定的claim。这些claim跟JWT标准规定的claim区别在于：
　　JWT规定的claim，JWT的接收方在拿到JWT之后，都知道怎么对这些标准的claim进行验证（还不知道是否能够验证）；而privateclaims不会验证，除非明确告诉接收方要对这些claim进行验证以及规则才行。
　　定义一个payload：｛sub：1234567890，name：JohnDoe，admin：true｝
　　然后将其进行base64加密，得到Jwt的第二部分。eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
　　签证（signature）
　　jwt的第三部分是一个签证信息，这个签证信息由三部分组成：header（base64后的）payload（base64后的）secret
　　这个部分需要base64加密后的header和base64加密后的payload使用。连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第三部分。TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
　　将这三部分用。连接成一个完整的字符串，构成了最终的jwt：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9。eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9。TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
　　注意：secret是保存在服务器端的，jwt的签发生成也是在服务器端的，secret就是用来进行jwt的签发和jwt的验证，所以，它就是你服务端的私钥，在任何场景都不应该流露出去。一旦客户端得知这个secret，那就意味着客户端是可以自我签发jwt了。5。3JJWT签发与验证token
　　JJWT是一个提供端到端的JWT创建和验证的Java库。永远免费和开源（ApacheLicense，版本2。0），JJWT很容易使用和理解。它被设计成一个以建筑为中心的流畅界面，隐藏了它的大部分复杂性。
　　官方文档：
　　https：github。comjwtkjjwt5。3。1创建token
　　1）新建项目中的pom。xml中添加依赖：dependencygroupIdio。jsonwebtokengroupIdjjwtartifactIdversion0。9。0versiondependency创建测试类，代码如下JwtBuilderbuilderJwts。builder（）。setId（888）设置唯一编号。setSubject（小白）设置主题可以是JSON数据。setIssuedAt（newDate（））设置签发日期。signWith（SignatureAlgorithm。HS256，itcast）；设置签名使用HS256算法，并设置SecretKey（字符串）构建并返回一个字符串System。out。println（builder。compact（））；
　　运行打印结果：eyJhbGciOiJIUzI1NiJ9。eyJqdGkiOiI4ODgiLCJzdWIiOiLlsInmb0iLCJpYXQiOjE1NTc5MDQxODF9。ThecMfgYjtoys3JX7dpx3hu6pUm0piZ0tXXreFUu3Y
　　再次运行，会发现每次运行的结果是不一样的，因为我们的载荷中包含了时间。5。3。2解析token
　　我们刚才已经创建了token，在web应用中这个操作是由服务端进行然后发给客户端，客户端在下次向服务端发送请求时需要携带这个token（这就好像是拿着一张门票一样），那服务端接到这个token应该解析出token中的信息（例如用户id），根据这些信息查询数据库返回相应的结果。StringcompactJwteyJhbGciOiJIUzI1NiJ9。eyJqdGkiOiI4ODgiLCJzdWIiOiLlsInmb0iLCJpYXQiOjE1NTc5MDQxODF9。ThecMfgYjtoys3JX7dpx3hu6pUm0piZ0tXXreFUu3Y；ClaimsclaimsJwts。parser（）。setSigningKey（itcast）。parseClaimsJws（compactJwt）。getBody（）；System。out。println（claims）；
　　运行打印效果：｛jti888，sub小白，iat1557904181｝
　　试着将token或签名秘钥篡改一下，会发现运行时就会报错，所以解析token也就是验证token。5。3。3设置过期时间
　　有很多时候，我们并不希望签发的token是永久生效的，所以我们可以为token添加一个过期时间。
　　1）创建token并设置过期时间当前时间longcurrentTimeMillisSystem。currentTimeMillis（）；DatedatenewDate（currentTimeMillis）；JwtBuilderbuilderJwts。builder（）。setId（888）设置唯一编号。setSubject（小白）设置主题可以是JSON数据。setIssuedAt（newDate（））设置签发日期。setExpiration（date）。signWith（SignatureAlgorithm。HS256，itcast）；设置签名使用HS256算法，并设置SecretKey（字符串）构建并返回一个字符串System。out。println（builder。compact（））；
　　解释：。setExpiration（date）用于设置过期时间，参数为Date类型数据
　　运行，打印效果如下：eyJhbGciOiJIUzI1NiJ9。eyJqdGkiOiI4ODgiLCJzdWIiOiLlsInmb0iLCJpYXQiOjE1NTc5MDUzMDgsImV4cCI6MTU1NzkwNTMwOH0。4q5AaTyBRf8SB9B3TlI53PrILGyicJC3fgR3gWbvUI
　　2）解析TOKENStringcompactJwteyJhbGciOiJIUzI1NiJ9。eyJqdGkiOiI4ODgiLCJzdWIiOiLlsInmb0iLCJpYXQiOjE1NTc5MDUzMDgsImV4cCI6MTU1NzkwNTMwOH0。4q5AaTyBRf8SB9B3TlI53PrILGyicJC3fgR3gWbvUI；ClaimsclaimsJwts。parser（）。setSigningKey（itcast）。parseClaimsJws（compactJwt）。getBody（）；System。out。println（claims）；
　　打印效果：
　　当前时间超过过期时间，则会报错。5。3。4自定义claims
　　我们刚才的例子只是存储了id和subject两个信息，如果你想存储更多的信息（例如角色）可以定义自定义claims。
　　创建测试类，并设置测试方法：
　　创建token：TestpublicvoidcreateJWT（）｛当前时间longcurrentTimeMillisSystem。currentTimeMillis（）；currentTimeMillis1000000L；DatedatenewDate（currentTimeMillis）；JwtBuilderbuilderJwts。builder（）。setId（888）设置唯一编号。setSubject（小白）设置主题可以是JSON数据。setIssuedAt（newDate（））设置签发日期。setExpiration（date）设置过期时间。claim（roles，admin）设置角色。signWith（SignatureAlgorithm。HS256，itcast）；设置签名使用HS256算法，并设置SecretKey（字符串）构建并返回一个字符串System。out。println（builder。compact（））；｝
　　运行打印效果：eyJhbGciOiJIUzI1NiJ9。eyJqdGkiOiI4ODgiLCJzdWIiOiLlsInmb0iLCJpYXQiOjE1NTc5MDU4MDIsImV4cCI6MTU1NzkwNjgwMiwicm9sZXMiOiJhZG1pbiJ9。AS5Y2fNCwUzQQxXhQQWMpaB75YqfuK2P7VZiCXEJI
　　解析TOKEN：解析TestpublicvoidparseJWT（）｛StringcompactJwteyJhbGciOiJIUzI1NiJ9。eyJqdGkiOiI4ODgiLCJzdWIiOiLlsInmb0iLCJpYXQiOjE1NTc5MDU4MDIsImV4cCI6MTU1NzkwNjgwMiwicm9sZXMiOiJhZG1pbiJ9。AS5Y2fNCwUzQQxXhQQWMpaB75YqfuK2P7VZiCXEJI；ClaimsclaimsJwts。parser（）。setSigningKey（itcast）。parseClaimsJws（compactJwt）。getBody（）；System。out。println（claims）；｝
　　运行效果：
　　5。4畅购微服务鉴权代码实现5。4。1思路分析
　　用户进入网关开始登陆，网关过滤器进行判断，如果是登录，则路由到后台管理微服务进行登录用户登录成功，后台管理微服务签发JWTTOKEN信息返回给用户用户再次进入网关开始访问，网关过滤器接收用户携带的TOKEN网关过滤器解析TOKEN，判断是否有权限，如果有，则放行，如果没有则返回未认证错误5。4。2系统微服务签发token
　　1）在changgouservicesystem中创建类：JwtUtilpackagecom。changgou。system。importio。jsonwebtoken。JwtBimportio。jsonwebtoken。Jimportio。jsonwebtoken。SignatureAimportjavax。crypto。SecretKimportjavax。crypto。spec。SecretKeySimportjava。util。Base64；importjava。util。DJWT工具类publicclassJwtUtil｛有效期为publicstaticfinalLongJWTTTL3600000L；60601000一个小时设置秘钥明文publicstaticfinalStringJWTKEY创建tokenparamidparamsubjectparamttlMillisreturnpublicstaticStringcreateJWT（Stringid，Stringsubject，LongttlMillis）｛SignatureAlgorithmsignatureAlgorithmSignatureAlgorithm。HS256；longnowMillisSystem。currentTimeMillis（）；DatenownewDate（nowMillis）；if（ttlMillisnull）｛ttlMillisJwtUtil。JWTTTL；｝longexpMillisnowMillisttlMDateexpDatenewDate（expMillis）；SecretKeysecretKeygeneralKey（）；JwtBuilderbuilderJwts。builder（）。setId（id）唯一的ID。setSubject（subject）主题可以是JSON数据。setIssuer（admin）签发者。setIssuedAt（now）签发时间。signWith（signatureAlgorithm，secretKey）使用HS256对称加密算法签名，第二个参数为秘钥。setExpiration（expDate）；设置过期时间returnbuilder。compact（）；｝生成加密后的秘钥secretKeyreturnpublicstaticSecretKeygeneralKey（）｛byte〔〕encodedKeyBase64。getDecoder（）。decode（JwtUtil。JWTKEY）；SecretKeykeynewSecretKeySpec（encodedKey，0，encodedKey。length，AES）；｝｝
　　2）修改AdminController的login方法，用户登录成功则签发TOKEN登录paramadminreturnPostMapping（login）publicResultlogin（RequestBodyAdminadmin）｛booleanloginadminService。login（admin）；if（login）｛如果验证成功MapString，StringinfonewHashMap（）；info。put（username，admin。getLoginName（））；StringtokenJwtUtil。createJWT（UUID。randomUUID（）。toString（），admin。getLoginName（），null）；info。put（token，token）；returnnewResult（true，StatusCode。OK，登录成功，info）；｝else｛returnnewResult（false，StatusCode。LOGINERROR，用户名或密码错误）；｝｝
　　使用postman测试
　　5。4。3网关过滤器验证token
　　1）在changgougatewaysystem网关系统添加依赖！鉴权dependencygroupIdio。jsonwebtokengroupIdjjwtartifactIdversion0。9。0versiondependency
　　2）创建JWTUtil类packagecom。changgou。gateway。importio。jsonwebtoken。Cimportio。jsonwebtoken。Jimportjavax。crypto。SecretKimportjavax。crypto。spec。SecretKeySimportjava。util。Base64；jwt校验工具类publicclassJwtUtil｛有效期为publicstaticfinalLongJWTTTL3600000L；60601000一个小时设置秘钥明文publicstaticfinalStringJWTKEY生成加密后的秘钥secretKeyreturnpublicstaticSecretKeygeneralKey（）｛byte〔〕encodedKeyBase64。getDecoder（）。decode（JwtUtil。JWTKEY）；SecretKeykeynewSecretKeySpec（encodedKey，0，encodedKey。length，AES）；｝解析paramjwtreturnthrowsExceptionpublicstaticClaimsparseJWT（Stringjwt）throwsException｛SecretKeysecretKeygeneralKey（）；returnJwts。parser（）。setSigningKey（secretKey）。parseClaimsJws（jwt）。getBody（）；｝｝
　　3）创建过滤器，用于token验证鉴权过滤器验证tokenComponentpublicclassAuthorizeFilterimplementsGlobalFilter，Ordered｛privatestaticfinalStringAUTHORIZETOKENOverridepublicMonoVoidfilter（ServerWebExchangeexchange，GatewayFilterChainchain）｛1。获取请求ServerHttpRequestrequestexchange。getRequest（）；2。则获取响应ServerHttpResponseresponseexchange。getResponse（）；3。如果是登录请求则放行if（request。getURI（）。getPath（）。contains（adminlogin））｛returnchain。filter（exchange）；｝4。获取请求头HttpHeadersheadersrequest。getHeaders（）；5。请求头中获取令牌Stringtokenheaders。getFirst（AUTHORIZETOKEN）；6。判断请求头中是否有令牌if（StringUtils。isEmpty（token））｛7。响应中放入返回的状态吗，没有权限访问response。setStatusCode（HttpStatus。UNAUTHORIZED）；8。返回returnresponse。setComplete（）；｝9。如果请求头中有令牌则解析令牌try｛JwtUtil。parseJWT（token）；｝catch（Exceptione）｛e。printStackTrace（）；10。解析jwt令牌出错，说明令牌过期或者伪造等不合法情况出现response。setStatusCode（HttpStatus。UNAUTHORIZED）；11。返回returnresponse。setComplete（）；｝12。放行returnchain。filter（exchange）；｝OverridepublicintgetOrder（）｛return0；｝｝
　　4）测试：
　　注意：数据库中管理员账户为：admin，密码为：123456
　　如果不携带token直接访问，则返回401错误
　　如果携带正确的token，则返回查询结果
　　来源：blog。csdn。netqq36079912articledetails104831199