背景介绍
随着互联网应用规模的不断扩大,分布式系统已成为主流架构。在这样的架构下,用户的请求可能会被分发到不同的服务器上进行处理。传统的基于 Session 的认证机制,是将用户的认证信息存储在服务器端的 Session 中,客户端通过 Cookie 来识别用户身份。但这种方式在分布式环境中存在明显的弊端,不同服务器之间的 Session 同步需要额外的开销,并且容易出现数据不一致的问题。
而基于 Token 的认证机制则很好地解决了这些问题。Token 是一个包含用户身份信息的字符串,客户端在每次请求时将 Token 发送给服务器,服务器通过验证 Token 的有效性来确认用户身份。JWT(JSON Web Token)是一种常用的 Token 格式,它具有自包含、可签名、可加密等特点,非常适合用于分布式系统中的用户认证。
Redis 作为一款高性能的内存数据库,具有出色的读写性能和丰富的数据结构。在基于 Token 的认证机制中,我们可以利用 Redis 来存储 Token 的相关信息,比如 Token 的有效期、用户的权限等,从而实现 Token 的管理和验证。
整合步骤
添加依赖
首先,在 Spring Boot3 项目的pom.xml文件中添加 Redis 和 JWT 相关的依赖。对于 Redis,添加 Spring Data Redis 依赖,
org.springframework.boot
spring-boot-starter-data-redis
同时,为了使用 Redis 的 JSON 数据结构,还可以添加相应的依赖,如下所示。
com.fasterxml.jackson.core
jackson-databind
对于 JWT,添加 JJWT(Java JWT)依赖
io.jsonwebtoken
jjwt-api
0.11.2
io.jsonwebtoken
jjwt-impl
0.11.2
runtime
io.jsonwebtoken
jjwt-jackson
0.11.2
runtime
配置 Redis
spring:
redis:
host: your-redis-host
port: 6379
password: your-redis-password
database: 0创建 JWT 工具类
创建一个 JWT 工具类,用于生成和验证 JWT。
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;
import java.util.Date;
@Component
public class JwtUtil {
@Value("${jwt.secret}")
private String secret;
@Value("${jwt.expiration}")
private long expiration;
public String generateToken(String username) {
Claims claims = Jwts.claims().setSubject(username);
Date now = new Date();
Date expirationDate = new Date(now.getTime() + expiration);
return Jwts.builder()
.setClaims(claims)
.setIssuedAt(now)
.setExpiration(expirationDate)
.signWith(SignatureAlgorithm.HS512, secret)
.compact();
}
public boolean validateToken(String token) {
try {
Jwts.parserBuilder().setSigningKey(secret).build().parseClaimsJws(token);
return true;
} catch (Exception e) {
return false;
}
}
public String getUsernameFromToken(String token) {
Claims claims = Jwts.parserBuilder().setSigningKey(secret).build().parseClaimsJws(token).getBody();
return claims.getSubject();
}
}实现 Token 存储与验证
利用 Redis 来存储 Token 及其相关信息,并实现 Token 的验证逻辑。
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.stereotype.Service;
import java.util.concurrent.TimeUnit;
@Service
public class TokenService {
@Autowired
private RedisTemplate redisTemplate;
@Autowired
private JwtUtil jwtUtil;
public void storeToken(String username, String token) {
long expiration = jwtUtil.getExpiration();
redisTemplate.opsForValue().set(username, token, expiration, TimeUnit.MILLISECONDS);
}
public boolean validateStoredToken(String username, String token) {
String storedToken = redisTemplate.opsForValue().get(username);
return storedToken != null && storedToken.equals(token);
}
} 创建认证过滤器
创建一个 Spring Security 过滤器,用于在请求进入时验证 Token。
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {
@Autowired
private JwtUtil jwtUtil;
@Autowired
private UserDetailsService userDetailsService;
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
String token = request.getHeader("Authorization");
if (token != null && token.startsWith("Bearer ")) {
token = token.substring(7);
String username = jwtUtil.getUsernameFromToken(token);
if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
UserDetails userDetails = userDetailsService.loadUserByUsername(username);
if (jwtUtil.validateToken(token) && userDetails != null) {
UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(
userDetails, null, userDetails.getAuthorities());
authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
}
}
}
filterChain.doFilter(request, response);
}
}应用场景与优势
通过在 Spring Boot3 中整合 Redis 和 JWT 技术,我们成功打造出了基于 Token 的授权认证机制,有效解决了传统 Session 认证在分布式环境下的诸多难题。
在分布式系统中,无论是微服务架构还是前后端分离架构,这种认证机制都能很好地适应。前端应用可以将 Token 存储在本地,每次请求时将 Token 发送到后端,后端通过验证 Token 来处理请求。同时,由于 Redis 的高性能,能够快速地进行 Token 的存储和查询,大大提高了认证的效率。
此外,JWT 的自包含特性使得 Token 中可以携带用户的权限信息,后端在处理请求时可以直接从 Token 中获取权限,进行权限验证,无需再频繁地查询数据库,进一步提升了系统的性能。