Spring Boot 微服务需要对用户进行身份认证，其中一种方式是使用 JSON Web Token （JWT）。JWT 是一种开放标准（RFC 7519），它定义了一种紧凑的机制，用于在各方之间安全地传输信息。

本文将会带你了解如何在 Spring Boot 微服务项目中使用 JWT 进行身份认证。

JWT Token 概览 {#jwt-token-概览}

JWT 的体积相对较小。因此，它可以通过 URL 发送：

• POST 参数
• HTTP 请求头

通过 HTTP Header 发送 Token 是最常见的方式。

JWT Token 包含一个实体（可以是用户或服务）的所有必要信息。

下图显示了使用 JWT 进行身份认证的典型用例。

示例应用 {#示例应用}

创建两个服务：

• AuthenticatorService：负责验证用户名和密码。验证成功后，该服务会生成并返回一个 JWT Token。
• BlogService：受保护的服务。该服务包含一个 Filter，用于验证客户端发送的 JWT Token。验证成功后，该服务会返回业务数据。

下图显示了客户端与上述服务之间的交互。

AuthenticatorService {#authenticatorservice}

Maven 依赖 {#maven-依赖}

添加 jjwt 依赖，用于生成 JWT Token。

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
<!-- 其他依赖忽略 -->

实体 {#实体}

AuthenticatorService 包含一个 User 实体，用于表示用户凭证。如下：

package com.stackroute.AuthenticatorService.model;
import javax.persistence.Entity;
import javax.persistence.Id;
import javax.persistence.Table;
@Entity
@Table(name="users")
public class User {
@Id
private String userName;
private String password;
public User() {
}
public User(String userName, String password) {
this.userName = userName;
this.password = password;
}
public String getUserName() {
return userName;
}
public void setUserName(String userName) {
this.userName = userName;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
}

JwtGeneratorInterface {#jwtgeneratorinterface}

然后是 JwtGeneratorInterface。该接口包含一个生 generateToken() 方法，该方法接受一个 User 对象。

package com.stackroute.AuthenticatorService.config;
import com.stackroute.AuthenticatorService.model.User;
import java.util.Map;
public interface JwtGeneratorInterface {
Map<String, String> generateToken(User user);
}

JwtGeneratorInterface 的实现 JwtGeneratorImpl 如下：

package com.stackroute.AuthenticatorService.config;
import com.stackroute.AuthenticatorService.model.User;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Service;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import io.jsonwebtoken.Jwts;
@Service
public class JwtGeneratorImpl implements JwtGeneratorInterface{
@Value("${jwt.secret}")
private String secret;
@Value("${app.jwttoken.message}")
private String message;
@Override
public Map<String, String> generateToken(User user) {
String jwtToken="";
jwtToken = Jwts.builder().setSubject(user.getUserName()).setIssuedAt(new Date()).signWith(SignatureAlgorithm.HS256, "secret").compact();
Map<String, String> jwtTokenGen = new HashMap<>();
jwtTokenGen.put("token", jwtToken);
jwtTokenGen.put("message", message);
return jwtTokenGen;
}
}

Repository {#repository}

使用 Spring Data JPA 的 Repository 检索数据。

创建 UserRepository，实现 JpaRepository，如下：

package com.stackroute.AuthenticatorService.repository;
import com.stackroute.AuthenticatorService.model.User;
import org.springframework.data.jpa.repository.JpaRepository;
import org.springframework.data.repository.CrudRepository;
import org.springframework.stereotype.Repository;
@Repository
public interface UserRepository extends JpaRepository<User, String> {
public User findByUserNameAndPassword(String userName, String password);
}

Service {#service}

本模块的 Service 接口是 UserService。该接口声明了两个方法：saveUser() 用于在数据库中存储 User 对象。第二个方法是 getUserByNameAndPassword()，用于通过指定的用户名和密码检索 User。

UserService 接口如下：

package com.stackroute.AuthenticatorService.service;
import com.stackroute.AuthenticatorService.exception.UserNotFoundException;
import com.stackroute.AuthenticatorService.model.User;
import org.springframework.stereotype.Service;
@Service
public interface UserService {
public void saveUser(User user);
public User getUserByNameAndPassword(String name, String password) throws UserNotFoundException;
}

UserService 的实现类是 UserServiceImpl。如下：

package com.stackroute.AuthenticatorService.service;
import com.stackroute.AuthenticatorService.exception.UserNotFoundException;
import com.stackroute.AuthenticatorService.model.User;
import com.stackroute.AuthenticatorService.repository.UserRepository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
@Service
public class UserServiceImpl implements UserService {
private UserRepository userRepository;
@Autowired
public UserServiceImpl(UserRepository userRepository){
this.userRepository=userRepository;
}
@Override
public void saveUser(User user) {
userRepository.save(user);
}
@Override
public User getUserByNameAndPassword(String name, String password) throws UserNotFoundException {
User user = userRepository.findByUserNameAndPassword(name, password);
if(user == null){
throw new UserNotFoundException("Invalid id and password");
}
return user;
}
}

Controller {#controller}

Controller 有两个端点：/register 和 /login。第一个端点负责保存新用户。后一个端点负责对用户进行身份认证。认证成功后，后一个端点会返回一个 JWT Token。

Controller 如下。

UserController {#usercontroller}

package com.stackroute.AuthenticatorService.controller;
import com.stackroute.AuthenticatorService.config.JwtGeneratorImpl;
import com.stackroute.AuthenticatorService.config.JwtGeneratorInterface;
import com.stackroute.AuthenticatorService.exception.UserNotFoundException;
import com.stackroute.AuthenticatorService.model.User;
import com.stackroute.AuthenticatorService.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.*;
@RestController
@RequestMapping("api/v1/user")
public class UserController {
private UserService userService;
private JwtGeneratorInterface jwtGenerator;
@Autowired
public UserController(UserService userService, JwtGeneratorInterface jwtGenerator){
this.userService=userService;
this.jwtGenerator=jwtGenerator;
}
@PostMapping("/register")
public ResponseEntity<?> postUser(@RequestBody User user){
try{
userService.saveUser(user);
return new ResponseEntity<>(user, HttpStatus.CREATED);
} catch (Exception e){
return new ResponseEntity<>(e.getMessage(), HttpStatus.CONFLICT);
}
}
@PostMapping("/login")
public ResponseEntity<?> loginUser(@RequestBody User user) {
try {
if(user.getUserName() == null || user.getPassword() == null) {
throw new UserNotFoundException("UserName or Password is Empty");
}
User userData = userService.getUserByNameAndPassword(user.getUserName(), user.getPassword());
if(userData == null){
throw new UserNotFoundException("UserName or Password is Invalid");
}
return new ResponseEntity<>(jwtGenerator.generateToken(user), HttpStatus.OK);
} catch (UserNotFoundException e) {
return new ResponseEntity<>(e.getMessage(), HttpStatus.CONFLICT);
}
}
}

在 BlogService 中验证 Token {#在-blogservice-中验证-token}

BlogService 服务通过 JWT 进行保护。这是一个简单的服务，包含以下组件：

• Controller：暴露端点
• Configuration：注册 Filter
• Filter 是用于认证 Token 的组件

同样，需要在 pom.xml 中添加 jjwt 依赖：

<dependency>
  <groupId>io.jsonwebtoken</groupId>
  <artifactId>jjwt</artifactId>
  <version>0.9.1</version>
</dependency>

Controller {#controller-1}

Controller 有两个端点。第一个是不受限制的端点，只需返回一条信息。第二个是受 JWT 限制的端点。

BlogControlleer {#blogcontrolleer}

package guru.springframework.controller;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("api/v1/blog")
public class BlogController {
@GetMapping("/unrestricted")
    public ResponseEntity<?> getMessage() {
    return new ResponseEntity<>("Hai this is a normal message..", HttpStatus.OK);
}
@GetMapping("/restricted")
public ResponseEntity<?> getRestrictedMessage() {
return new ResponseEntity<>("This is a restricted message", HttpStatus.OK);
}

}

Configuration {#configuration}

Configuration 类负责注册 Authentication Filter，用于认证。

配置类 FilterConfig 如下：

package guru.springframework.config;
import guru.springframework.filter.JwtFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
@Configuration
public class FilterConfig {
@Bean
public FilterRegistrationBean jwtFilter() {
    FilterRegistrationBean filter= new FilterRegistrationBean();
    filter.setFilter(new JwtFilter());
// 提供需要限制的端点。
// 如果未指定，所有端点都将受到限制。

filter.addUrlPatterns("/api/v1/blog/restricted");
return filter;
}

}

在 Filter 中测试 JWT Token {#在-filter-中测试-jwt-token}

Filter 负责验证 JWT Token。Filter 类继承了 GenericFilter 类，并覆写了 doFiter() 方法。

该方法的输入参数如下：

• ServletRequest
• ServletResponse
• FilterChain

JwtFilter 代码如下：

package guru.springframework.filter;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import org.springframework.web.filter.GenericFilterBean;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
public class JwtFilter extends GenericFilterBean {
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
final HttpServletRequest request = (HttpServletRequest) servletRequest;
final HttpServletResponse response = (HttpServletResponse) servletResponse;
final String authHeader = request.getHeader("authorization");
if ("OPTIONS".equals(request.getMethod())) {
response.setStatus(HttpServletResponse.SC_OK);
filterChain.doFilter(request, response);
} else {
if(authHeader == null || !authHeader.startsWith("Bearer ")){
throw new ServletException("An exception occurred");
}

}
final String token = authHeader.substring(7);
Claims claims = Jwts.parser().setSigningKey("secret").parseClaimsJws(token).getBody();
request.setAttribute("claims", claims);
request.setAttribute("blog", servletRequest.getParameter("id"));
filterChain.doFilter(request, response);
}
}

用 JWT Token 测试应用 {#用-jwt-token-测试应用}

测试应用：

1. 启动 POSTMAN 或 REST 客户端访问 AuthenticarService

2. 向 login 端点发起 POST 请求，在请求体中使用 Alice 和 pass123 作为凭证。注意 Authenticator 服务返回的 JSON Web Token。

   

3. 接下来，启动 BlogService 并向受保护的端点发起 GET 请求。并在 Authorization Header 中添加 Token。

Authorization Header 的值必须是 Bearer，中间用空格隔开，后面是 Token。发送请求后，你就能获取到业务数据了。

总结 {#总结}

我看到很多开发人员在他们的服务中验证 JWT 标记。微服务有一种称为网关卸载（Gateway Offloading）的模式。这种模式能让每个微服务将共享服务功能（如通过 SSL 证书、Token 进行验证）卸载到 API 网关。

此外，微服务网关往往会成为单点故障。然而，随着技术的快速发展和向云计算的迁移。有硬件负载均衡器、软件负载均衡器和云负载均衡器。所有这些都有冗余和各种故障转移方案，以防止单点故障。

Ref：https://springframework.guru/jwt-authentication-in-spring-microservices-jwt-token/