OAuth2 負(fù)責(zé)授權(quán)，JWT 用於安全傳輸信息。 OAuth2 的四個(gè)角色包括資源擁有者、客戶端、認(rèn)證服務(wù)器和資源服務(wù)器，常見流程是授權(quán)碼模式，用戶登錄後獲取授權(quán)碼，客戶端用碼換取token，再用token 訪問資源。 JWT 包含頭部、負(fù)載和簽名三部分，微服務(wù)通過驗(yàn)證簽名確認(rèn)身份並解析權(quán)限信息。 Spring Boot 集成時(shí)使用OAuth2 Resource Server 模塊配置issuer-uri 和jwk-set-uri，並可自定義權(quán)限解析器提取authorities。注意事項(xiàng)包括合理設(shè)置token 過期時(shí)間、安全存儲刷新token、正確配置CORS 以及避免在JWT 中存放敏感數(shù)據(jù)。

OAuth2 和JWT 是保障Java 微服務(wù)安全的兩個(gè)核心技術(shù)。簡單來說，OAuth2 提供授權(quán)機(jī)制，而JWT 用於安全地傳輸用戶信息。它們配合使用，可以實(shí)現(xiàn)靈活、可擴(kuò)展的身份驗(yàn)證和訪問控制。

1. OAuth2 的基本角色與流程

在微服務(wù)架構(gòu)中，OAuth2 主要用來處理用戶授權(quán)，常見的四個(gè)角色包括：

• Resource Owner（資源擁有者） ：通常是用戶。
• Client（客戶端） ：發(fā)起請求的應(yīng)用，比如前端應(yīng)用或移動(dòng)端。
• Authorization Server（認(rèn)證服務(wù)器） ：負(fù)責(zé)發(fā)放token。
• Resource Server（資源服務(wù)器） ：受保護(hù)的服務(wù)，比如某個(gè)Java 微服務(wù)。

最常見的流程是Authorization Code Flow ，適用於有後端的應(yīng)用。流程大致如下：

• 用戶嘗試訪問受保護(hù)資源
• 被重定向到認(rèn)證服務(wù)器登錄並授權(quán)
• 獲取授權(quán)碼（code）
• 客戶端用code 向認(rèn)證服務(wù)器換取access token
• 使用access token 訪問資源服務(wù)器

這個(gè)流程的核心在於“code 換token”，避免了直接暴露token。

2. JWT 在微服務(wù)中的作用

JWT（JSON Web Token）是一種輕量級的數(shù)據(jù)交換格式，常用於身份驗(yàn)證。它包含三部分：

• Header（頭部）：說明簽名算法等
• Payload（負(fù)載）：包含用戶信息（如用戶名、權(quán)限等）
• Signature（簽名）：確保數(shù)據(jù)未被篡改

在Java 微服務(wù)中，通常的做法是：

• 授權(quán)服務(wù)器生成一個(gè)帶有簽名的JWT
• 微服務(wù)收到請求時(shí)，驗(yàn)證JWT 的簽名有效性
• 解析出用戶信息，判斷是否有權(quán)限訪問

優(yōu)點(diǎn)很明顯：無狀態(tài)，適合分佈式系統(tǒng)；缺點(diǎn)也存在，比如無法像session 那樣輕鬆撤銷token。

3. 如何在Spring Boot 中集成OAuth2 JWT

Spring Security 提供了對OAuth2 和JWT 的良好支持，以下是一個(gè)常見做法：

使用Spring Security OAuth2 Resource Server

如果你已經(jīng)有一個(gè)認(rèn)證服務(wù)器（比如Keycloak 或自建的Spring Authorization Server），那麼每個(gè)Java 微服務(wù)只需要作為Resource Server 來驗(yàn)證token。

關(guān)鍵配置步驟包括：

• 添加依賴： spring-boot-starter-oauth2-resource-server
• 在application.yml中配置issuer-uri 和jwk-set-uri
• 開啟方法級別的權(quán)限控制（如@EnableMethodSecurity ）

 spring:
  security:
    oauth2:
      resource-server:
        jwt:
          jwk-set-uri: https://your-auth-server/.well-known/jwks.json

這樣，Spring 會自動(dòng)下載公鑰，並驗(yàn)證每個(gè)請求攜帶的JWT 是否合法。

自定義權(quán)限解析（可選）

你可以通過實(shí)現(xiàn)JwtAuthenticationConverter來提取JWT 中的權(quán)限信息，例如：

 JwtAuthenticationConverter jwtConverter = new JwtAuthenticationConverter();
jwtConverter.setJwtGrantedAuthoritiesConverter(jwt -> {
    List<String> authorities = jwt.getClaimAsStringList("authorities");
    return authorities.stream()
        .map(SimpleGrantedAuthority::new)
        .collect(Collectors.toList());
});

然後把它設(shè)置進(jìn)Security 配置中。

4. 常見問題與註意事項(xiàng)

• Token 過期時(shí)間不宜過長：一般設(shè)為幾分鐘到幾小時(shí)之間，避免洩露後長期有效。
• 刷新Token 需要謹(jǐn)慎處理：刷新token 應(yīng)該更安全地存儲（如HttpOnly Cookie），並限制其使用次數(shù)。
• 跨域請求需配置CORS ：特別是在前後端分離架構(gòu)中，注意認(rèn)證流程中的跨域問題。
• 不要把敏感信息放在JWT 中：雖然簽名可以防止篡改，但內(nèi)容本身是明文可見的。

基本上就這些。掌握好OAuth2 流程和JWT 的使用方式，Java 微服務(wù)的安全體係就能打下堅(jiān)實(shí)基礎(chǔ)。

以上是使用OAuth2和JWT保護(hù)Java微服務(wù)的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！