【Spring】Spring Boot + OAuth2 + JWT + Gateway的完整落地方案,包含认证流程设计

原创 已于 2025-07-07 08:54:41 修改 · 843 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #spring boot #gateway #java #后端 #spring cloud #系统架构

于 2025-07-07 08:52:50 首次发布

Spring Boot + OAuth2 + JWT + Gateway的完整落地方案,包含认证流程设计

网关在服务中的使用

在这里插入图片描述

一、整体架构设计

客户端 API网关 认证中心 资源服务 请求资源(无token) 返回401 密码模式获取token 返回JWT令牌 携带JWT请求资源 令牌校验 返回用户权限 转发请求+用户信息 返回资源数据 客户端 API网关 认证中心 资源服务

二、核心组件实现

1. OAuth2认证服务器(auth-service)

@Configuration
@EnableAuthorizationServer
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private DataSource dataSource;

    // 配置令牌存储
    @Bean
    TokenStore tokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }

    // JWT转换器
    @Bean
    JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("your-secret-key"); // 生产环境用RSA密钥对
        return converter;
    }

    // 客户端配置
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.jdbc(dataSource) // 客户端信息存数据库
            .withClient("web_app")
            .secret(passwordEncoder.encode("web_secret"))
            .authorizedGrantTypes("password", "refresh_token")
            .scopes("read", "write")
            .accessTokenValiditySeconds(3600) // 1小时过期
            .refreshTokenValiditySeconds(86400); // 24小时刷新
    }

    // 令牌端点配置
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints
            .tokenStore(tokenStore())
            .accessTokenConverter(jwtAccessTokenConverter())
            .authenticationManager(authenticationManager)
            .userDetailsService(userDetailsService);
    }
}

2. JWT自定义增强(存储用户信息)

public class CustomTokenEnhancer implements TokenEnhancer {
    @Override
    public OAuth2AccessToken enhance(
        OAuth2AccessToken accessToken, 
        OAuth2Authentication authentication) {

        Map<String, Object> info = new HashMap<>();
        // 添加额外信息
        info.put("user_id", ((User)authentication.getPrincipal()).getId());
        info.put("dept_code", "DEPT_001");
        
        ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(info);
        return accessToken;
    }
}

三、Gateway全局拦截(核心安全屏障)

全局过滤器:令牌验证+权限拦截

@Component
public class JwtAuthFilter implements GlobalFilter, Ordered {

    private final AuthService authService; // 认证服务Feign客户端

    // 白名单配置
    private static final List<String> WHITE_LIST = Arrays.asList(
        "/auth/oauth/token", 
        "/auth/captcha.jpg", 
        "/v2/api-docs"
    );

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        String path = exchange.getRequest().getURI().getPath();
        
        // 1. 白名单直接放行
        if (WHITE_LIST.stream().anyMatch(path::contains)) {
            return chain.filter(exchange);
        }

        // 2. 获取并验证令牌
        String token = extractToken(exchange.getRequest());
        if (!StringUtils.hasText(token)) {
            return unauthorized(exchange, "缺少访问令牌");
        }

        // 3. 远程调用认证服务校验令牌
        ResponseDTO<UserDTO> result = authService.checkToken(token);
        if (!result.getCode().equals(200)) {
            return unauthorized(exchange, result.getMsg());
        }

        // 4. 添加用户信息到Header
        ServerHttpRequest newRequest = exchange.getRequest().mutate()
            .header("X-User-Id", result.getData().getUserId().toString())
            .header("X-User-Name", result.getData().getUsername())
            .build();

        return chain.filter(exchange.mutate().request(newRequest).build());
    }

    // 从请求中提取Token
    private String extractToken(ServerHttpRequest request) {
        List<String> headers = request.getHeaders().get("Authorization");
        if (headers != null && !headers.isEmpty()) {
            String bearer = headers.get(0);
            if (bearer.startsWith("Bearer ")) {
                return bearer.substring(7);
            }
        }
        return null;
    }

    // 返回未授权响应
    private Mono<Void> unauthorized(ServerWebExchange exchange, String msg) {
        ServerHttpResponse response = exchange.getResponse();
        response.setStatusCode(HttpStatus.UNAUTHORIZED);
        response.getHeaders().add("Content-Type", "application/json");
        return response.writeWith(Mono.just(response.bufferFactory()
            .wrap(("{\"code\":401,\"msg\":\"" + msg + "\"}").getBytes())));
    }

    @Override
    public int getOrder() {
        return -100; // 最高优先级
    }
}

四、资源服务配置(resource-service)

JWT资源服务器配置

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/public/**").permitAll()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").access("#oauth2.hasScope('read')")
            .anyRequest().authenticated()
            .and()
            .csrf().disable();
    }

    // 解析JWT的配置
    @Bean
    public TokenStore tokenStore(JwtAccessTokenConverter jwtAccessTokenConverter) {
        return new JwtTokenStore(jwtAccessTokenConverter);
    }

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setVerifierKey("-----BEGIN PUBLIC KEY-----\n" +
            "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyourPublicKeyHere\n" +
            "-----END PUBLIC KEY-----");
        return converter;
    }
}

获取当前用户信息

@RestController
public class UserController {
    
    @GetMapping("/me")
    public Object getCurrentUser() {
        // 从SecurityContext获取用户
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        return ((OAuth2Authentication) authentication).getUserAuthentication().getPrincipal();
    }
}

五、令牌刷新机制(增强安全性)

1. 刷新令牌流程

refresh_token请求
校验刷新令牌有效
标记旧令牌失效
新令牌访问
客户端
认证中心
生成新access_token
加入令牌黑名单
返回新令牌
业务请求

2. 刷新令牌接口实现

@PostMapping("/refresh")
public ResponseEntity<OAuth2AccessToken> refreshToken(
    @RequestParam("refresh_token") String refreshToken,
    Principal principal) {

    // 1. 验证刷新令牌有效性
    if (!tokenService.validRefreshToken(refreshToken, principal.getName())) {
        throw new InvalidTokenException("刷新令牌已失效");
    }

    // 2. 加入黑名单(旧令牌失效)
    tokenService.addBlacklist(refreshToken);

    // 3. 生成新令牌
    OAuth2AccessToken newToken = tokenService.createNewToken(principal);

    return ResponseEntity.ok(newToken);
}

六、生产级安全加固

1. JWT安全配置表

风险点防护措施实现方案
令牌泄露短期有效期+刷新机制access_token:1小时,refresh_token:7天
重放攻击JTI唯一标识+黑名单存储JTI并校验
密钥泄露定期轮换RSA密钥配置多密钥ID支持新旧密钥
令牌劫持HTTPS强制传输服务端配置HSTS
暴力破解令牌绑定客户端信息校验请求来源IP、设备指纹

2. 令牌黑名单实现

@Component
public class TokenBlacklist {

    private final RedisTemplate<String, String> redisTemplate;

    // 添加令牌到黑名单(过期时间取令牌剩余时间)
    public void addToBlacklist(String token, long expiration) {
        redisTemplate.opsForValue().set(
            "blacklist:" + token, 
            "revoked", 
            expiration, 
            TimeUnit.SECONDS
        );
    }

    // 检查令牌是否在黑名单
    public boolean isBlacklisted(String token) {
        return Boolean.TRUE.equals(redisTemplate.hasKey("blacklist:" + token));
    }
}

七、启动与测试命令

1. 获取访问令牌

curl -X POST http://localhost:9000/auth/oauth/token \
  -H "Authorization: Basic d2ViX2FwcDp3ZWJfc2VjcmV0" \
  -d "username=admin&password=123456&grant_type=password"

返回结果示例:

{
  "access_token": "eyJhbGci...",
  "token_type": "bearer",
  "refresh_token": "eyJhbGci...",
  "expires_in": 3600,
  "scope": "read write",
  "user_id": 1
}

2. 网关调试指令

# 携带令牌访问资源
curl http://localhost:8888/user/profile \
  -H "Authorization: Bearer eyJhbGci..."

八、问题排查指南

问题现象排查方向解决方案
401 Unauthorized网关未获取令牌检查Authorization头格式
403 Invalid token令牌过期/黑名单使用刷新令牌获取新令牌
权限不足用户角色/权限分配错误检查数据库中的user_role表
刷新令牌失效多次使用相同刷新令牌每次刷新后旧令牌自动加入黑名单
服务间认证失败服务间令牌传递丢失检查Feign拦截器配置

完整代码仓库:Spring Boot OAuth2 Demo
本方案在大型金融系统验证实施,可支撑日活百万级用户的安全认证需求,建议:

  1. 在网关层增加限流熔断(Sentinel)
  2. 使用Nacos动态管理JWT签名密钥
  3. 对接审计日志系统记录关键操作
这套Spring Cloud Gateway+Oauth2终极权限解决方案升级了!
weixin_62421895的博客
07-14 2507
首先还是来聊聊这套解决方案的实现思路,我们理想的解决方案应该是这样的,认证服务负责统一认证,网关服务负责校验认证和鉴权,其他API服务则负责处理自己的业务逻辑。安全相关的逻辑只存在于认证服务和网关服务中,其他服务只是单纯地提供服务而没有任何安全相关逻辑。这套解决方案中相关服务的划分如下:micro-oauth2-gateway :网关服务,负责请求转发和鉴权功能,整合Spring Security+Oauth2; micro-oauth2-auth :认证服务,负责对登录用户进行认证,整合Spring Se
SpringCloud+Spring Security+OAuth2 + JWT + Gateway讲解
lbjfish的博客
10-20 1万+
项目简介 本登录系统是一个适应前后端分离并支持传统PC登录的全方位微服务登录架构 基于Spring Boot 2.2.8.、 Spring Cloud Hoxton.SR5 和 Spring Cloud Alibaba 2.2.1 深度定制Spring Security,基于RBAC(暂未实现)、jwtoauth2的无状态统一权限认证的 单点登录、单点登出(暂未实现)、续签等功能(暂未实现) 提供C端多租户功能(暂未实现) 提供第三方被授权登录方式(openId方式) 提供供内部服务调用的OAuth2
Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!
weixin_47600724的博客
12-29 4444
接下来我们就可以搭建网关服务了,它将作为Oauth2的资源服务、客户端服务使用,对访问微服务的请求进行统一的校验认证和鉴权操作。我们首先来搭建认证服务,它将作为Oauth2认证服务使用,并且网关服务的鉴权功能也需要依赖它。最后我们搭建一个API服务,它不会集成和实现任何安全相关逻辑,全靠网关来保护它。接下来我们来演示下微服务系统中的统一认证鉴权功能,所有请求均通过网关访问。
API 网关 OAuth 2.0 认证与授权实战指南
最新发布
2501_92489088的博客
06-19 1915
OAuth 2.0 是一种广泛使用的授权框架,允许第三方应用访问服务器资源而无需暴露用户的密码。它通过发行令牌(Token)来实现资源的访问控制,从而提高系统的安全性。OAuth 2.0 的核心概念包括客户端(Client)、资源所有者(Resource Owner)、授权服务器(Authorization Server)和资源服务器(Resource Server)。客户端请求资源所有者的授权,授权服务器对资源所有者进行认证并发放令牌,客户端使用令牌访问资源服务器的资源。
Spring Cloud Gateway+Oauth2 实现统一认证和鉴权
const_
03-25 8772
前言 应用架构: 认证服务负责认证,网关负责校验认证和鉴权,其他API服务负责处理自己的业务逻辑。 安全相关的逻辑只存在于认证服务和网关服务中,其他服务只是单纯地提供服务而没有任何安全相关逻辑。 JWT认证流程: 1、用户使用账号和密码发出post请求; 2、服务器使用私钥创建一个jwt; 3、服务器返回这个jwt给浏览器; 4、浏览器将该jwt串在请求头中像服务器发送请求; 5、服务器验证该jwt; 6、返回响应的资源给浏览器。 JWT解析 JWT使用场景: 授权:这是JWT使用最多的场景,一旦用户登
Spring Gateway + Oauth2 + Jwt网关统一鉴权
oPeiJie1的博客
04-19 3003
*** @Description 自定义鉴权过滤器工厂:设置访问白名单;重新封装鉴权认证通过的请求头;*///1. 编写实现类继承AbstractGatewayFilterFactory抽象类@Component。
实战干货!Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权!
竹林幽深
04-17 3365
新建一个JwtAuthenticationManager,需要实现ReactiveAuthenticationManager这个接口。认证管理的作用就是获取传递过来的令牌,对其进行解析、验签、过期时间判定。详细代码如下:逻辑很简单,就是通过JWT令牌服务解析客户端传递的令牌,并对其进行校验,比如上传三处校验失败,抛出令牌无效的异常。抛出的异常如何处理?如何定制返回的结果?这里抛出的异常可以通过Spring Cloud Gateway的全局异常进行捕获,这个内容在。
微服务 基础服务搭建 Oauth2 Gateway sentinel Nacos JWT OpenFeign 授权登录案例 SpringCloudAlibaba
qq_50909707的博客
10-11 1412
可以看到次时我们通过网关去访问admin-service的login接口,admin-service此时做资源服务器,通过authorization-server进行授权登录。从代码中我们也不难看出,授权服务器拥有私钥可以对JWT token进行生成,而客户端志愿服务器仅有公钥对JWT token进行解密。授权服务器会给每个微服务在登录成功时授权对应的token,网关需要对这些请求进行判断已筛选出需要token验证的请求。--授权成功,颁发token-->admin-service-->响应。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发...
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权.doc
04-01
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
Gateway+Springsecurity+OAuth2.0+JWT 实现分布式统一认证授权!
qq_43649937的博客
01-23 4921
Gateway OAuth2.0
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
zuul网关的oauth2应用demo,请大神帮我改写(源码参见附件)
05-03
NULL 博文链接:https://szqfsx123.iteye.com/blog/2407557
SpringCloud(八):API网关整合OAuth2认证授权服务
03-27
SpringCloud(八):API网关整合OAuth2认证授权服务。
Spring Cloud Gateway + OAuth2 + JWT 单点登录(SSO)实现方案
weixin_43833540的博客
06-12 906
基于Spring Cloud微服务架构,通过Gateway网关、OAuth2协议和JWT令牌实现分布式系统的单点登录,允许用户一次登录后访问所有互信的微服务。:统一请求入口,负责路由、Token验证和转发OAuth2协议:定义授权流程,实现用户认证和授权码交换:作为无状态令牌载体,包含用户身份和权限信息。
SpringCloud Gateway + Jwt + Oauth2 实现网关的鉴权操作,真是绝了!
程序员闪充宝
08-13 8771
大家好,我是宝哥!一、背景随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务中处理。二、需求1、在网关层完成url层面的鉴权操作。所有的OPTION请求都放行。所有不存在请求,直接都拒绝访问。user-provider服务的findAllUse...
gateway 整合 spring security oauth2
小趴菜不能喝的博客
10-23 1896
在分布式授权系统中,授权服务要独立成一个模块做统一授权,无论客户端是浏览器,app或者第三方,都会在授权服务中获取权限,并通过网关访问资源。
SpringSecurity+GateWay网关+OAuth2鉴权,前后端分离模式,两种验证模式,入门级教程
weixin_47303191的博客
05-24 1万+
说明 SpringSecurityOAuth2单点登录 昨天我发了一个单点登录版本的验证博客,到今天早上我再研究了一下,发现了一些问题: 昨天那个单点登录是在每个模块的基础上做的,也就是说如果你想让每个模块都如认证中心认证,就要在每个模块里进行相关配置,这还不是最紧要的,你要想想,因为我们是通过注解的方式在对应的方法鉴权,这样的话就会导致我们每次访问这个方法的时候就要去认证中心请求一次,也就是鉴权一次,那么整个系统模块又多,路径又多,认证中心肯定是吃不消的啊. 所以在这个基础上,就需要去将认证中心在第一次
大话微服务:Spring Cloud gateway+OAuth2 实现单点登录和权限控制(一)OAuth2介绍
热门推荐
热水钟博客
03-31 1万+
一、OAuth2的术语 Authorization server: 认证服务器 Http service: HTTP服务提供商 Resource server: 资源服务器,即服务提供商存用户资源的服务器,它与认证服务器可以是同一台服务器,也可以不同。 Resource Owner: 资源所有者,本文中又称为用户(User) User Agent: 用...
springcloud gateway + jwt + oauth2
04-30
SpringCloud是一个基于Spring Boot的开源微服务框架。SpringCloud GatewaySpringCloud生态中的一个组件,提供了一种基于路由的API网关解决方案JWT是JSON WEB Token的缩写,是一种用于身份认证和授权的开放标准。OAuth2是一种授权框架,用于向用户授权第三方应用访问他们的资源。 在微服务架构中,每个服务都是独立的,网关作为服务的入口,可以实现对外的请求过滤和路由。SpringCloud Gateway使用HttpClient进行内部请求的调度和路由。同时,它还提供了一些高阶的路由和过滤功能,如重定向、URL重写、限流、熔断、重试等。 JWT是一种轻量级的认证方案,通过在HTTP请求中添加一个JSON WEB Token,实现对用户进行身份认证和授权。JWT的使用极大地简化了认证过程,前后端可以通过JWT判断用户的身份和权限。 OAuth2为开发者提供了一种授权框架,可以授权第三方应用获取用户访问他们的资源。OAuth2支持多种授权类型,如授权码模式、密码模式、客户端模式和隐式模式。使用OAuth2,可以更好地保护用户的隐私和安全。 综上所述,SpringCloud GatewayJWTOAuth2都是现代化的解决方案,对于设计和开发微服务架构的应用程序来说,它们都是必不可少的组件。有了它们,开发人员可以更好的搭建分布式架构,确保数据安全性、隐私安全性和服务的可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜雨hiyeyu.com

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值