扩展 jwt 解决 oauth2 性能瓶颈

oauth2 性能瓶颈

资源服务器的请求都会被拦截 到认证服务器校验合法性 （如下图）

• 用户携带token 请求资源服务器

• 资源服务器拦截器 携带token 去认证服务器 调用tokenstore 对token 合法性校验

• 资源服务器拿到token，默认只会含有用户名信息

• 通过用户名调用userdetailsservice.loadbyusername 查询用户全部信息
  

• 如上步骤在实际使用，会造成认证中心的负载压力过大，成为造成整个系统瓶颈的关键点。

  
  

• 

check-token 过程中涉及的源码

• 更为详细的源码讲解可以参考我上篇文章《Spring Cloud OAuth2 资源服务器CheckToken 源码解析》

• check-token 涉及到的核心类

• 

扩展jwt 生成携带用户详细信息

• 为什么使用jwt 替代默认的UUID token ？
  通过jwt 访问资源服务器后，不再使用check-token 过程，通过对jwt 的解析即可实现身份验证，登录信息的传递。减少网络开销，提高整体微服务集群的性能

• spring security oauth 默认的jwttoken 只含有username，通过扩展TokenEnhancer,实现关键字段的注入到 JWT 中，方便资源服务器使用

1.    @Bean

2.    public TokenEnhancer tokenEnhancer() {

3.        return (accessToken, authentication) -> {

4.            if (SecurityConstants.CLIENT_CREDENTIALS

5.                    .equals(authentication.getOAuth2Request().getGrantType())) {

6.                return accessToken;

7.            }

8. 
   

9.            final Map<String, Object> additionalInfo = new HashMap<>(8);

10.            PigxUser pigxUser = (PigxUser) authentication.getUserAuthentication().getPrincipal();

11.            additionalInfo.put("user_id", pigxUser.getId());

12.            additionalInfo.put("username", pigxUser.getUsername());

13.            additionalInfo.put("dept_id", pigxUser.getDeptId());

14.            additionalInfo.put("tenant_id", pigxUser.getTenantId());

15.            additionalInfo.put("license", SecurityConstants.PIGX_LICENSE);

16.            ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);

17.            return accessToken;

18.        };

19.    }

• 生成的token 如下，含有关键的字段

重写默认的资源服务器处理行为

• 不再使用RemoteTokenServices 去掉用认证中心 CheckToken,自定义客户端TokenService

1. @Slf4j

2. public class PigxCustomTokenServices implements ResourceServerTokenServices {

3.    @Setter

4.    private TokenStore tokenStore;

5. 
   

6.    @Setter

7.    private DefaultAccessTokenConverter defaultAccessTokenConverter;

8. 
   

9.    @Setter

10.    private JwtAccessTokenConverter jwtAccessTokenConverter;

11. 
    

12.    @Override

13.    public OAuth2Authentication loadAuthentication(String accessToken) throws AuthenticationException, InvalidTokenException {

14.        OAuth2Authentication oAuth2Authentication = tokenStore.readAuthentication(accessToken);

15.        UserAuthenticationConverter userTokenConverter = new PigxUserAuthenticationConverter();

16.        defaultAccessTokenConverter.setUserTokenConverter(userTokenConverter);

17.        Map<String, ?> map = jwtAccessTokenConverter.convertAccessToken(readAccessToken(accessToken), oAuth2Authentication);

18.        return defaultAccessTokenConverter.extractAuthentication(map);

19.    }

20. 
    

21. 
    

22.    @Override

23.    public OAuth2AccessToken readAccessToken(String accessToken) {

24.        return tokenStore.readAccessToken(accessToken);

25.    }

26. }

• 解析jwt 组装成Authentication

1. /**

2. * @author lengleng

3. * @date 2019-03-17

4. * <p>

5. * jwt 转化用户信息

6. */

7. public class PigxUserAuthenticationConverter implements UserAuthenticationConverter {

8.    private static final String USER_ID = "user_id";

9.    private static final String DEPT_ID = "dept_id";

10.    private static final String TENANT_ID = "tenant_id";

11.    private static final String N_A = "N/A";

12. 
    

13.    @Override

14.    public Authentication extractAuthentication(Map<String, ?> map) {

15.        if (map.containsKey(USERNAME)) {

16.            Collection<? extends GrantedAuthority> authorities = getAuthorities(map);

17. 
    

18.            String username = (String) map.get(USERNAME);

19.            Integer id = (Integer) map.get(USER_ID);

20.            Integer deptId = (Integer) map.get(DEPT_ID);

21.            Integer tenantId = (Integer) map.get(TENANT_ID);

22.            PigxUser user = new PigxUser(id, deptId, tenantId, username, N_A, true

23.                    , true, true, true, authorities);

24.            return new UsernamePasswordAuthenticationToken(user, N_A, authorities);

25.        }

26.        return null;

27.    }

28. 
    

29.    private Collection<? extends GrantedAuthority> getAuthorities(Map<String, ?> map) {

30.        Object authorities = map.get(AUTHORITIES);

31.        if (authorities instanceof String) {

32.            return AuthorityUtils.commaSeparatedStringToAuthorityList((String) authorities);

33.        }

34.        if (authorities instanceof Collection) {

35.            return AuthorityUtils.commaSeparatedStringToAuthorityList(StringUtils

36.                    .collectionToCommaDelimitedString((Collection<?>) authorities));

37.        }

38.        throw new IllegalArgumentException("Authorities must be either a String or a Collection");

39.    }

40. }

• 资源服务器配置中注入以上配置即可

1. @Slf4j

2. public class PigxResourceServerConfigurerAdapter extends ResourceServerConfigurerAdapter {

3.    @Override

4.    public void configure(ResourceServerSecurityConfigurer resources) {

5.        DefaultAccessTokenConverter accessTokenConverter = new DefaultAccessTokenConverter();

6.        UserAuthenticationConverter userTokenConverter = new PigxUserAuthenticationConverter();

7.        accessTokenConverter.setUserTokenConverter(userTokenConverter);

8. 
   

9.        PigxCustomTokenServices tokenServices = new PigxCustomTokenServices();

10. 
    

11.        // 这里的签名key 保持和认证中心一致

12.        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();

13.        converter.setSigningKey("123");

14.        converter.setVerifier(new MacSigner("123"));

15.        JwtTokenStore jwtTokenStore = new JwtTokenStore(converter);

16.        tokenServices.setTokenStore(jwtTokenStore);

17.        tokenServices.setJwtAccessTokenConverter(converter);

18.        tokenServices.setDefaultAccessTokenConverter(accessTokenConverter);

19. 
    

20.        resources

21.                .authenticationEntryPoint(resourceAuthExceptionEntryPoint)

22.                .tokenServices(tokenServices);

23.    }

24. }

使用JWT 扩展后带来的问题

• JWT 的最大缺点是，由于服务器不保存 session 状态，因此无法在使用过程中废止某个 token，或者更改 token 的权限。也就是说，一旦 JWT 签发了，在到期之前就会始终有效，除非服务器部署额外的逻辑。

• 去认证服务器校验的过程就是 通过tokenstore 来控制jwt 安全性的一个方法，去掉Check-token 意味着 jwt token 安全性不可保证

• JWT 本身包含了认证信息，一旦泄露，任何人都可以获得该令牌的所有权限。为了减少盗用，JWT 的有效期应该设置得比较短。对于一些比较重要的权限，使用时应该再次对用户进行认证。

• 为了减少盗用，JWT 不应该使用 HTTP 协议明码传输，要使用 HTTPS 协议传输。

标签：map,oauth2,String,accessToken,瓶颈,jwt,token,服务器,new
来源： https://blog.51cto.com/15016434/2646089