OAuth2 est responsable de l'autorisation et JWT est utilisé pour transmettre des informations en toute sécurité. Les quatre r?les d'OAuth2 incluent le propriétaire de la ressource, le client, le serveur d'authentification et le serveur de ressources. Le processus commun est le mode de code d'autorisation. Une fois que l'utilisateur s'est connecté, le client utilise le code pour l'échanger contre le jeton, puis utilise le jeton pour accéder aux ressources. JWT comprend trois parties: en-tête, chargement et signature. Le microservice confirme l'identité et résout les informations d'autorisation en vérifiant la signature. Spring Boot Integration utilise le module OAuth2 Resource Server pour configurer l'émetteur-URI et JWK-Set-Uri et personnalise les autorités d'extraction d'analyse d'autorisation. Les notes incluent la définition du temps d'expiration du jeton raisonnablement, la rafra?chissement du jeton avec un stockage sécurisé, la configuration correcte des COR et l'évitement de stocker des données sensibles dans JWT.
OAuth2 et JWT sont deux technologies de base qui assurent la sécurité des microservices Java. Autrement dit, OAuth2 fournit un mécanisme d'autorisation, tandis que JWT est utilisé pour transmettre en toute sécurité les informations utilisateur. Ils travaillent ensemble pour permettre une authentification flexible et évolutive et un contr?le d'accès.
1. R?les de base et processus d'Oauth2
Dans l'architecture de microservice, OAuth2 est principalement utilisé pour gérer l'autorisation des utilisateurs, et les quatre r?les communs incluent:
- Propriétaire de la ressource : généralement un utilisateur.
- Client : l'application qui initie la demande, comme une application frontale ou un terminal mobile.
- Serveur d'autorisation : responsable de l'émission de jetons.
- Serveur de ressources : un service protégé, comme un microservice Java.
Le processus le plus courant est le flux de code d'autorisation , qui convient aux applications avec des backends. Le processus est à peu près comme suit:
- L'utilisateur tente d'accéder aux ressources protégées
- Redirigé vers le serveur d'authentification pour se connecter et autoriser
- Obtenez le code d'autorisation (code)
- Le client échange des jetons d'accès pour le serveur d'authentification à l'aide du code
- Utilisez un jeton d'accès pour accéder au serveur de ressources
Le c?ur de ce processus est de "remplacer le jeton par le code", qui évite l'exposition directe du jeton.
2. Le r?le de JWT dans les microservices
JWT (JSON Web Token) est un format d'échange de données léger qui est souvent utilisé pour l'authentification. Il contient trois parties:
- En-tête: Instructions Algorithme de signature, etc.
- Charge utile: contient des informations utilisateur (telles que le nom d'utilisateur, les autorisations, etc.)
- Signature: assurez-vous que les données n'ont pas été falsifiées
Dans Java Microservices, la pratique habituelle est:
- Le serveur d'autorisation génère une signature JWT
- Vérifiez la validité de signature du JWT lorsque le microservice re?oit une demande
- Dissoudre les informations utilisateur pour déterminer si vous avez la permission d'accès
Les avantages sont évidents: apatrides, adaptés aux systèmes distribués; Des inconvénients existent également, comme l'incapacité de défaire le jeton aussi facilement qu'une session.
3. Comment intégrer OAuth2 JWT dans Spring Boot
Spring Security fournit un bon soutien pour OAuth2 et JWT, et voici une pratique courante:
Utilisation du serveur de ressources Spring Security Oauth2
Si vous avez déjà un serveur d'authentification (tel que KeyCloak ou Spring Autorisation Server auto-construit), chaque microservice Java doit uniquement être utilisé comme serveur de ressources pour vérifier le jeton.
Les étapes de configuration des clés comprennent:
- Ajouter des dépendances:
spring-boot-starter-oauth2-resource-server - Configurer l'émetteur-uri et jwk-set-uri dans
application.yml - Allumez le contr?le de l'autorisation au niveau de la méthode (comme
@EnableMethodSecurity)
printemps:
sécurité:
oAuth2:
Serveur de ressources:
JWT:
JWK-Set-uri: https: //your-auth-server/.well-known/jwks.jsonDe cette fa?on, Spring télécharge automatiquement la clé publique et vérifie que le JWT transporté par chaque demande est légal.
Résolution d'autorisation personnalisée (facultative)
Vous pouvez extraire les informations d'autorisation dans JWT en implémentant JwtAuthenticationConverter , par exemple:
JwtAuthenticationConverter jwtConverter = new JWTAUTHENTICTIONCONVERTER ();
jwtconverter.setjwtgrantedAuthoritiesConverter (jwt -> {
List <string> autorités = jwt.getClaimasstringList ("autorités");
Retour autorités.stream ()
.map (SimpleGrantedAuthority :: New)
.Collect (collectionners.tolist ());
});Puis définissez-le dans la configuration de sécurité.
4. Des questions et précautions fréquemment posées
- Le temps d'expiration des jetons ne doit pas être trop long : généralement réglé entre quelques minutes et quelques heures pour éviter l'efficacité à long terme après la fuite.
- Rafra?chir un jeton nécessite une manipulation minutieuse : rafra?chir un jeton doit être stocké plus en toute sécurité (comme les cookies httponly) et limiter son utilisation.
- Les demandes de domaine transversal nécessitent CORS : en particulier dans l'architecture de séparation frontale et back-end, faites attention aux problèmes de domaine croisé dans le processus d'authentification.
- Ne mettez pas des informations sensibles dans JWT : Bien que les signatures puissent empêcher la falsification, le contenu lui-même est visible en texte clair.
Fondamentalement, c'est tout. En ma?trisant le processus OAuth2 et comment utiliser JWT, le système de sécurité des microservices Java peut poser une base solide.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
échangez les visages dans n'importe quelle vidéo sans effort grace à notre outil d'échange de visage AI entièrement gratuit?!
Article chaud
Outils chauds
Bloc-notes++7.3.1
éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Sujets chauds
Quel est le type ?enum? en Java?
Jul 02, 2025 am 01:31 AM
Les énumérations en Java sont des classes spéciales qui représentent le nombre fixe de valeurs constantes. 1. Utilisez la définition du mot-clé énuméré; 2. Chaque valeur d'énumération est une instance finale statique publique du type d'énumération; 3. Il peut inclure des champs, des constructeurs et des méthodes pour ajouter un comportement à chaque constante; 4. Il peut être utilisé dans les instructions de commutation, prend en charge la comparaison directe et fournit des méthodes intégrées telles que Name (), Ordinal (), Values ??() et ValueOf (); 5. L'énumération peut améliorer la sécurité, la lisibilité et la flexibilité du type, et convient aux scénarios de collecte limités tels que les codes d'état, les couleurs ou la semaine.
Quel est le principe de ségrégation de l'interface?
Jul 02, 2025 am 01:24 AM
Le principe d'isolement de l'interface (ISP) exige que les clients ne comptent pas sur des interfaces inutilisées. Le noyau est de remplacer les interfaces grandes et complètes par plusieurs interfaces petites et raffinées. Les violations de ce principe comprennent: une exception non implémentée a été lancée lorsque la classe met en ?uvre une interface, un grand nombre de méthodes non valides sont implémentées et des fonctions non pertinentes sont classées de force dans la même interface. Les méthodes d'application incluent: Diviser les interfaces en fonction des méthodes communes, en utilisant des interfaces divisées en fonction des clients et en utilisant des combinaisons au lieu d'implémentations multi-interfaces si nécessaire. Par exemple, divisez les interfaces machine contenant des méthodes d'impression, de balayage et de fax en imprimante, scanner et faxmachine. Les règles peuvent être assouplies de manière appropriée lors de l'utilisation de toutes les méthodes sur de petits projets ou tous les clients.
Techniques de programmation asynchrones dans Java moderne
Jul 07, 2025 am 02:24 AM
Java prend en charge la programmation asynchrone, y compris l'utilisation de la transition complète, des flux réactifs (tels que ProjectActor) et des threads virtuels dans Java19. 1.COMPLETABLEFUTURE Améliore la lisibilité et la maintenance du code à travers les appels de cha?ne et prend en charge l'orchestration des taches et la gestion des exceptions; 2. ProjectAacteur fournit des types de mono et de flux pour implémenter une programmation réactive, avec mécanisme de contre-pression et des opérateurs riches; 3. Les fils virtuels réduisent les co?ts de concurrence, conviennent aux taches à forte intensité d'E / S et sont plus légères et plus faciles à développer que les fils de plate-forme traditionnels. Chaque méthode a des scénarios applicables, et les outils appropriés doivent être sélectionnés en fonction de vos besoins et les modèles mixtes doivent être évités pour maintenir la simplicité
Différences entre callable et coulable en java
Jul 04, 2025 am 02:50 AM
Il existe trois principales différences entre lesquelles appelant et coulable en Java. Tout d'abord, la méthode callable peut renvoyer le résultat, adapté aux taches qui doivent retourner des valeurs, telles que callable; Alors que la méthode Run () de Runnable n'a pas de valeur de retour, adaptée aux taches qui n'ont pas besoin de retourner, comme la journalisation. Deuxièmement, Callable permet de lancer des exceptions vérifiées pour faciliter la transmission d'erreur; tandis que Runnable doit gérer les exceptions en interne. Troisièmement, Runnable peut être directement transmis sur le thread ou l'exécutor-service, tandis que Callable ne peut être soumis qu'à ExecutorService et renvoie le futur objet à
Comprendre Java Nio et ses avantages
Jul 08, 2025 am 02:55 AM
Javanio est un nouvel IOAPI introduit par Java 1.4. 1) s'adresse aux tampons et aux canaux, 2) contient des composants de tampon, de canal et de sélecteur, 3) prend en charge le mode non bloquant et 4) gère les connexions simultanées plus efficacement que l'OI traditionnel. Ses avantages se reflètent dans: 1) IO non bloquant les réductions de la surcharge du thread, 2) le tampon améliore l'efficacité de transmission des données, 3) le sélecteur réalise le multiplexage et 4) la cartographie de la mémoire accélère la lecture et l'écriture de la lecture de fichiers. Remarque Lorsque vous utilisez: 1) le fonctionnement FLIP / clair du tampon est facile à confondre, 2) les données incomplètes doivent être traitées manuellement sans blocage, 3) l'enregistrement du sélecteur doit être annulé à temps, 4) Nio ne convient pas à tous les scénarios.
Meilleures pratiques pour utiliser des énumérations en java
Jul 07, 2025 am 02:35 AM
En Java, les énumérations conviennent à représenter des ensembles constants fixes. Les meilleures pratiques incluent: 1. Utilisez ENUM pour représenter l'état fixe ou les options pour améliorer la sécurité et la lisibilité des types; 2. Ajouter des propriétés et des méthodes aux énumérations pour améliorer la flexibilité, telles que la définition des champs, des constructeurs, des méthodes d'assistance, etc.; 3. Utilisez Enuummap et Enumset pour améliorer les performances et la sécurité des types car ils sont plus efficaces en fonction des tableaux; 4. évitez l'abus des énumérations, tels que des valeurs dynamiques, des changements fréquents ou des scénarios logiques complexes, qui doivent être remplacés par d'autres méthodes. L'utilisation correcte de l'énumération peut améliorer la qualité du code et réduire les erreurs, mais vous devez faire attention à ses limites applicables.
Explorer différents mécanismes de synchronisation en Java
Jul 04, 2025 am 02:53 AM
JavaprovidesMultiplesynchronisationToolsforthReadsafety.1.SynchroniséBlockSenSureMutualExclusionByLockingMethodSorseCificcodesesections.2.ReentrantLockoffersAdvancedControl, y compris les éperons
Comment les chargeurs de classe Java fonctionnent en interne
Jul 06, 2025 am 02:53 AM
Le mécanisme de chargement des classes de Java est implémenté via Classloader, et son flux de travail principal est divisé en trois étapes: chargement, liaison et initialisation. Pendant la phase de chargement, Classloader lit dynamiquement le bytecode de la classe et crée des objets de classe; Les liens incluent la vérification de l'exactitude de la classe, l'allocation de la mémoire aux variables statiques et les références de symbole d'analyse; L'initialisation effectue des blocs de code statique et des affectations de variables statiques. Le chargement des classes adopte le modèle de délégation parent et hiérarchise le chargeur de classe parent pour trouver des classes et essayez Bootstrap, Extension et ApplicationClassloader pour s'assurer que la bibliothèque de classe de base est s?re et évite le chargement en double. Les développeurs peuvent personnaliser le chargeur de classe, comme UrlClassl
