OAUTH2は許可を擔(dān)當(dāng)し、JWTは情報(bào)を安全に送信するために使用されます。 OAUTH2の4つの役割には、リソース所有者、クライアント、認(rèn)証サーバー、リソースサーバーが含まれます。一般的なプロセスは、認(rèn)証コードモードです。ユーザーがログインすると、クライアントはコードを使用してトークンと交換し、トークンを使用してリソースにアクセスします。 JWTには、ヘッダー、負(fù)荷、署名の3つの部分が含まれています。マイクロサービスは、署名を確認(rèn)することにより、IDを確認(rèn)し、許可情報(bào)を解決します。 Spring Boot Integrationは、OAUTH2リソースサーバーモジュールを使用して、発行者とJWK-Set-URIを構(gòu)成し、許可パーサー抽出當(dāng)局をカスタマイズします。メモには、トークンの有効期限を合理的に設(shè)定し、セキュアなストレージでトークンを更新し、CORを正しく構(gòu)成し、JWTに機(jī)密データの保存を避けることが含まれます。

OAUTH2とJWTは、Javaマイクロサービスのセキュリティを確保する2つのコアテクノロジーです。簡(jiǎn)単に言えば、OAUTH2は認(rèn)証メカニズムを提供し、JWTはユーザー情報(bào)を安全に送信するために使用されます。彼らは協(xié)力して、柔軟でスケーラブルな認(rèn)証とアクセス制御を可能にします。

1。OAUTH2の基本的な役割とプロセス

マイクロサービスアーキテクチャでは、OAUTH2は主にユーザー認(rèn)証を処理するために使用され、4つの一般的な役割には以下が含まれます。

• リソース所有者：通常、ユーザー。
• クライアント：フロントエンドアプリケーションやモバイル端末など、リクエストを開始するアプリケーション。
• 承認(rèn)サーバー：トークンの発行を擔(dān)當(dāng)します。
• リソースサーバー：Javaマイクロサービスなどの保護(hù)されたサービス。

最も一般的なプロセスは、バックエンドを備えたアプリケーションに適した認(rèn)証コードフローです。プロセスはほぼ次のとおりです。

• ユーザーは保護(hù)されたリソースにアクセスしようとします
• 認(rèn)証サーバーにリダイレクトしてログインして認(rèn)可する
• 承認(rèn)コード（コード）を取得する
• クライアントは、コードを使用して認(rèn)証サーバーにアクセストークンを交換します
• アクセストークンを使用して、リソースサーバーにアクセスします

このプロセスの中核は、「トークンをコードに置き換える」ことです。これは、トークンの直接露出を回避します。

2。マイクロサービスにおけるJWTの役割

JWT（JSON Web Token）は、認(rèn)証によく使用される軽量のデータ交換形式です。 3つの部分が含まれています。

• ヘッダー：手順署名アルゴリズムなど。
• ペイロード：ユーザー情報(bào)（ユーザー名、アクセス許可など）が含まれます。
• 署名：データが改ざんされていないことを確認(rèn)してください

Javaマイクロサービスでは、通常の練習(xí)は次のとおりです。

• 承認(rèn)サーバーは、署名JWTを生成します
• マイクロサービスがリクエストを受信したときにJWTの署名の有効性を確認(rèn)します
• ユーザー情報(bào)を解消して、アクセス許可があるかどうかを判斷します

利點(diǎn)は明らかです。ステートレス、分散システムに適しています。セッションと同じくらい簡(jiǎn)単にトークンを元に戻すことができないなど、短所も存在します。

3. Spring BootでOAUTH2 JWTを統(tǒng)合する方法

Spring Securityは、OAUTH2とJWTに適切なサポートを提供します。ここに一般的な実踐があります。

Spring Security OAuth2リソースサーバーを使用します

既に認(rèn)証サーバー（keycloakや自己構(gòu)築されたSpring Authorization Serverなど）がある場(chǎng)合、各Javaマイクロサービスは、トークンを確認(rèn)するためのリソースサーバーとして使用する必要があります。

重要な構(gòu)成手順には次のものがあります。

• 依存関係を追加： spring-boot-starter-oauth2-resource-server
• application.ymlで発行者とjwk-set-uriを構(gòu)成します
• メソッドレベルの許可制御（ @EnableMethodSecurityなど）をオンにします

春：
  安全：
    OAuth2：
      リソースサーバー：
        JWT：
          jwk-set-uri：https：//your-auth-server/.well-known/jwks.json

これにより、Springは公開キーを自動(dòng)的にダウンロードし、各リクエストによって運(yùn)ばれるJWTが合法であることを確認(rèn)します。

カスタム許可解決（オプション）

たとえば、 JwtAuthenticationConverterを?qū)g裝して、JWTで許可情報(bào)を抽出できます。

 jwtauthenticationConverter jwtconverter = new JWTAuthenticationConverter（）;
jwtconverter.setjwtgrantedauthoritiesconverter（jwt-> {{
    List <String> Altitialities = jwt.getClaimAsstringList（ "當(dāng)局"）;
    return worities.stream（）
        .map（SimpleGrantedAuthority :: new）
        .collect（collectors.tolist（））;
}）;

次に、セキュリティ構(gòu)成に設(shè)定します。

4.よくある質(zhì)問と予防策

• トークンの有効期限はあまり長(zhǎng)くないはずです。通常、漏れ後の長(zhǎng)期的な有効性を回避するために、通常、數(shù)時(shí)間から數(shù)時(shí)間に設(shè)定されます。
• トークンをリフレッシュするには、慎重な取り扱いが必要です。トークンのリフレッシュは、より安全に保存され（httponly cookieなど）、使用法を制限する必要があります。
• クロスドメイン要求には、特にフロントエンドおよびバックエンド分離アーキテクチャで、認(rèn)証プロセスのクロスドメインの問題に注意を払ってください。
• JWTに機(jī)密情報(bào)を入力しないでください：署名は改ざんを防ぐことができますが、コンテンツ自體は単純なテキストに見えることができます。

基本的にそれだけです。 OAUTH2プロセスとJWTの使用方法を習(xí)得することにより、Java Microserviceセキュリティシステムは強(qiáng)固な基盤を築くことができます。

以上がOAUTH2およびJWTでJavaマイクロサービスを保護(hù)しますの詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語 Web サイトの他の関連記事を參照してください。