OAuth2 + JWT 微服务认证方案深度解析
一、问题背景
微服务架构下,认证授权面临多重挑战:
- 无状态认证:服务间共享 session 困难
- Token 安全:如何防止 Token 被伪造或篡改
- 权限控制:细粒度的接口权限管理
- 跨域问题:网关统一认证后如何传递用户信息
OAuth2 + JWT 是目前主流的微服务认证方案,结合网关统一鉴权,可以构建安全可靠的身份认证体系。
二、OAuth2 四种授权模式
2.1 授权码模式
最安全的授权模式,适合有后端的应用。
资源服务器 客户端应用 认证服务器 浏览器 用户 资源服务器 客户端应用 认证服务器 浏览器 用户 访问受保护资源 重定向到授权页面 请求授权 显示授权确认页 用户确认授权 返回授权码 传递授权码 用授权码换 Token 返回 Access Token 用 Token 请求资源 返回资源
2.2 密码凭证模式
适用于受信任的第一方应用。
认证服务器 受信任应用 用户 认证服务器 受信任应用 用户 输入用户名密码 用密码换取 Token 返回 Access Token 登录成功
2.3 客户端凭证模式
适用于服务间调用,不涉及用户。
服务 B 认证服务器 服务 A 服务 B 认证服务器 服务 A 用客户端凭证换取 Token 返回 Access Token 用 Token 调用接口 返回资源
2.4 简化模式
不返回 Refresh Token,适合纯前端应用。
三、JWT 结构解析
3.1 JWT 组成
Header.Payload.Signature
json
// Header
{
"alg": "HS256",
"typ": "JWT"
}
// Payload
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022,
"exp": 1516242622,
"roles": ["admin", "user"]
}
// Signature
HMACSHA256(
base64UrlEncode(header) + "." + base64UrlEncode(payload),
secret
)3.2 JJWT 解析示例
java
public class JwtUtils {
private final SecretKey secretKey;
public Claims parseToken(String token) {
return Jwts.parser()
.verifyWith(secretKey)
.build()
.parseSignedClaims(token)
.getPayload();
}
public boolean validateToken(String token) {
try {
parseToken(token);
return true;
} catch (JwtException e) {
return false;
}
}
public boolean isTokenExpired(String token) {
Claims claims = parseToken(token);
return claims.getExpiration().before(new Date());
}
}3.3 JWT vs Session
| 维度 | JWT | Session |
|---|---|---|
| 存储位置 | 客户端 | 服务端 |
| 扩展性 | 无状态,易扩展 | 需要 Redis 共享 |
| 安全性 | 签名防篡改 | Cookie HttpOnly |
| 失效机制 | 无法主动失效 | 可立即失效 |
| 体积 | 较小 | 较小 |
| 适用场景 | 跨域、微服务 | 单体、有状态 |
四、Spring Security OAuth2
4.1 Resource Server 配置
java
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.authorizeRequests()
.antMatchers("/public/**").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
.anyRequest().authenticated();
}
}4.2 JWT 配置
java
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public JwtDecoder jwtDecoder() {
return JwtDecoders.fromIssuerLocation(
"http://auth-server/oauth2/token"
);
}
@Bean
public JwtAuthenticationConverter jwtAuthenticationConverter() {
JwtGrantedAuthorityConverter grantedAuthorityConverter =
new JwtGrantedAuthorityConverter();
grantedAuthorityConverter.setAuthoritiesClaimName("roles");
grantedAuthorityConverter.setAuthorityPrefix("ROLE_");
JwtAuthenticationConverter jwtAuthenticationConverter =
new JwtAuthenticationConverter();
jwtAuthenticationConverter.setJwtGrantedAuthoritiesConverter(
grantedAuthorityConverter
);
return jwtAuthenticationConverter;
}
}4.3 安全过滤器链
JWT 验证
Security Filter Chain
WebSecurity
SecurityContext
Authentication
Authorization
JwtDecoder
JwtParser
Claims
五、Token 校验流程
5.1 网关统一鉴权
业务服务 认证服务器 API 网关 客户端 业务服务 认证服务器 API 网关 客户端 alt 本地校验 远程校验 请求 /api/user {Token} 提取 Token JWT 签名验证 过期检查 Claims 提取 校验 Token 有效性 返回用户信息 注入用户信息到 Header 转发请求 {X-User-Id, X-User-Roles} 权限校验 返回资源 返回响应
5.2 全局过滤器实现
java
@Component
public class JwtAuthenticationFilter implements GlobalFilter {
private final JwtUtils jwtUtils;
private final AntPathMatcher pathMatcher = new AntPathMatcher();
@Override
public Mono<Void> filter(ServerWebExchange exchange,
GatewayFilterChain chain) {
String path = exchange.getRequest().getPath().value();
// 跳过白名单路径
if (isWhiteListed(path)) {
return chain.filter(exchange);
}
String token = extractToken(exchange);
if (StringUtils.isEmpty(token)) {
return unauthorized(exchange);
}
try {
Claims claims = jwtUtils.parseToken(token);
// 验证过期
if (jwtUtils.isTokenExpired(token)) {
return unauthorized(exchange);
}
// 注入用户信息到 Header
ServerHttpRequest modifiedRequest = exchange.getRequest()
.mutate()
.header("X-User-Id", claims.getSubject())
.header("X-User-Roles",
String.join(",", claims.get("roles", List.class)))
.build();
return chain.filter(
exchange.mutate().request(modifiedRequest).build()
);
} catch (Exception e) {
return unauthorized(exchange);
}
}
private String extractToken(ServerWebExchange exchange) {
String bearerToken = exchange.getRequest()
.getHeaders().getFirst("Authorization");
if (StringUtils.hasText(bearerToken)
&& bearerToken.startsWith("Bearer ")) {
return bearerToken.substring(7);
}
return null;
}
private Mono<Void> unauthorized(ServerWebExchange exchange) {
exchange.getResponse().setStatusCode(
HttpStatus.UNAUTHORIZED
);
return exchange.getResponse().setComplete();
}
}六、微服务间认证
6.1 Feign 传递 Token
java
@Configuration
public class FeignConfig {
@Bean
public RequestInterceptor requestInterceptor() {
return new RequestInterceptor() {
@Override
public void apply(RequestTemplate template) {
// 从当前请求上下文获取 Token
ServletRequestAttributes attributes =
(ServletRequestAttributes) RequestContextHolder
.getRequestAttributes();
if (attributes != null) {
String token = attributes.getRequest()
.getHeader("Authorization");
if (StringUtils.hasText(token)) {
template.header("Authorization", token);
}
}
}
};
}
}6.2 服务间调用安全
java
@Configuration
public class ServiceAuthConfig {
@Bean
public Feign.Builder serviceAuthFeignBuilder() {
return Feign.builder()
.requestInterceptor(new ServiceTokenInterceptor())
.errorDecoder(new ServiceAuthErrorDecoder());
}
}
public class ServiceTokenInterceptor implements RequestInterceptor {
@Override
public void apply(RequestTemplate template) {
// 服务间调用使用客户端凭证模式
String token = obtainServiceToken();
template.header("Authorization", "Bearer " + token);
}
}七、Token 刷新机制
7.1 Refresh Token 流程
认证服务器 API 网关 客户端 认证服务器 API 网关 客户端 alt Token 即将过期 请求 /api/resource {Access Token} Token 过期检查 返回 401 + refresh_required POST /auth/refresh {Refresh Token} 用 Refresh Token 换取新 Token 返回新 Access Token + 新 Refresh Token 返回新 Token
7.2 Token 刷新实现
java
@Component
public class TokenRefreshService {
private final JwtUtils jwtUtils;
private final RedisTemplate<String, String> redisTemplate;
public AuthToken refreshToken(String refreshToken) {
// 验证 Refresh Token
Claims claims = jwtUtils.parseToken(refreshToken);
// 检查 Token 类型
String tokenType = claims.get("token_type", String.class);
if (!"refresh".equals(tokenType)) {
throw new InvalidTokenException("Invalid token type");
}
// 生成新的 Access Token
String newAccessToken = jwtUtils.generateAccessToken(
claims.getSubject(),
claims.get("roles", List.class)
);
// 生成新的 Refresh Token
String newRefreshToken = jwtUtils.generateRefreshToken(
claims.getSubject()
);
// 旧 Refresh Token 加入黑名单
redisTemplate.opsForValue().set(
"blacklist:refresh:" + refreshToken,
"1",
Duration.ofDays(7)
);
return new AuthToken(newAccessToken, newRefreshToken);
}
}7.3 Token 黑名单机制
java
@Component
public class TokenBlacklistService {
private final RedisTemplate<String, String> redisTemplate;
public void blacklistToken(String token, long expirationSeconds) {
redisTemplate.opsForValue().set(
"blacklist:token:" + token,
"1",
Duration.ofSeconds(expirationSeconds)
);
}
public boolean isBlacklisted(String token) {
return Boolean.TRUE.equals(
redisTemplate.hasKey("blacklist:token:" + token)
);
}
}八、实战演示
8.1 完整的认证服务
java
@RestController
@RequestMapping("/auth")
public class AuthController {
@Autowired
private JwtUtils jwtUtils;
@Autowired
private UserService userService;
@PostMapping("/login")
public AuthToken login(@RequestBody LoginRequest request) {
// 验证用户
User user = userService.authenticate(
request.getUsername(),
request.getPassword()
);
// 生成 Token
String accessToken = jwtUtils.generateAccessToken(
user.getId(),
user.getRoles()
);
String refreshToken = jwtUtils.generateRefreshToken(
user.getId()
);
return new AuthToken(accessToken, refreshToken);
}
@PostMapping("/refresh")
public AuthToken refresh(@RequestBody RefreshRequest request) {
// 验证 Refresh Token
return tokenRefreshService.refreshToken(
request.getRefreshToken()
);
}
@PostMapping("/logout")
public void logout(HttpServletRequest request) {
String token = extractToken(request);
long expiration = jwtUtils.getExpiration(token);
// 加入黑名单
tokenBlacklistService.blacklistToken(token, expiration);
}
}8.2 网关路由配置
yaml
spring:
cloud:
gateway:
routes:
- id: auth-service
uri: lb://auth-service
predicates:
- Path=/auth/**
filters:
- StripPrefix=1
- id: user-service
uri: lb://user-service
predicates:
- Path=/api/user/**
filters:
- StripPrefix=1
- name: RequestRateLimiter
args:
redis-rate-limiter.replenishRate: 100
redis-rate-limiter.burstCapacity: 2008.3 网关全局安全配置
java
@Configuration
public class GatewaySecurityConfig {
@Bean
public SecurityWebFilterChain securityWebFilterChain(
ServerHttpSecurity http) {
return http
.csrf().disable()
.httpBasic().disable()
.formLogin().disable()
.authorizeExchange()
.pathMatchers("/auth/**").permitAll()
.pathMatchers("/actuator/**").permitAll()
.pathMatchers("/api/public/**").permitAll()
.anyExchange().authenticated()
.and()
.build();
}
}九、避坑指南
坑 1:JWT 存储安全
问题:Token 被 XSS 攻击窃取
解决:
javascript
// 使用 HttpOnly Cookie 存储 Refresh Token
// Access Token 存储在内存中
const tokenStore = {
accessToken: null,
setAccessToken(token) {
this.accessToken = token;
}
};坑 2:Token 泄露风险
问题:日志中打印 Token
解决:
java
// 过滤器中清除敏感信息
exchange.getLog().addAttribute("Token", "***");坑 3:跨域配置冲突
问题:CORS 配置与 Security 冲突
解决:
java
@Configuration
public class CorsConfig {
@Bean
public CorsWebFilter corsWebFilter() {
CorsConfiguration config = new CorsConfiguration();
config.addAllowedHeader("*");
config.addAllowedMethod("*");
config.addAllowedOrigin("*");
config.setAllowCredentials(false);
UrlBasedCorsConfigurationSource source =
new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", config);
return new CorsWebFilter(source);
}
}坑 4:分布式 Session 问题
问题:多实例部署时用户状态不一致
解决:使用 Token 而非 Session,或使用分布式 Session 存储
坑 5:Token 续期策略
问题:频繁刷新 Token 影响体验
解决:采用"滑动窗口"续期
java
// Access Token 剩余有效期 < 30 分钟时刷新
if (claims.getExpiration().getTime() - System.currentTimeMillis()
< 30 * 60 * 1000) {
// 自动刷新
}十、JWK Set URI 配置
10.1 JWK Set 概念
JWK Set 是一组 JSON Web Key,用于存储公钥信息,允许客户端验证 JWT 签名而无需共享密钥。
json
{
"keys": [
{
"kty": "RSA",
"use": "sig",
"kid": "key-id-1",
"alg": "RS256",
"n": "...",
"e": "AQAB"
}
]
}10.2 Spring Security 配置
yaml
spring:
security:
oauth2:
resourceserver:
jwt:
# 方式1: Issuer URI (自动获取 JWK Set)
issuer-uri: http://auth-server/oauth2
# 方式2: 显式指定 JWK Set URI
jwk-set-uri: http://auth-server/.well-known/jwks.json10.3 自定义 JWK 配置
java
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public JwtDecoder jwtDecoder() {
// 从 JWK Set URI 获取公钥
return JwtDecoders.fromJwkSetUri(
"http://auth-server/.well-known/jwks.json"
);
}
@Bean
public NimbusJwtDecoder jwtDecoder(JwkKeyAccessor jwkKeyAccessor) {
return NimbusJwtDecoder.withJwkSetUri(
"http://auth-server/.well-known/jwks.json"
).jwkSetUri(jwkKeyAccessor).build();
}
}10.4 JWK 缓存机制
java
@Component
public class JwkCacheManager {
private final Map<String, JwkCacheEntry> cache = new ConcurrentHashMap<>();
public JWK getJwk(String kid) {
JwkCacheEntry entry = cache.get(kid);
if (entry == null || entry.isExpired()) {
entry = fetchJwkFromServer(kid);
cache.put(kid, entry);
}
return entry.getJwk();
}
private JwkCacheEntry fetchJwkFromServer(String kid) {
// 从 JWK Set 获取指定 kid 的密钥
return new JwkCacheEntry(jwk, Duration.ofHours(1));
}
}十一、PKCE 授权码模式
11.1 PKCE 流程
PKCE(Proof Key for Code Exchange)是 OAuth 2.0 的安全扩展,防止授权码被拦截。
User Auth Server Client App User Auth Server Client App 生成 code_verifier (随机字符串) 计算 code_challenge = BASE64URL(SHA256(code_verifier)) 授权请求 + code_challenge + method=S256 显示登录页面 用户登录 返回授权码 用 code + code_verifier 换 Token 验证 code_challenge 返回 Access Token
11.2 代码实现
java
@Service
public class PkceAuthService {
private static final SecureRandom secureRandom = new SecureRandom();
/**
* 生成 code_verifier
*/
public String generateCodeVerifier() {
byte[] buffer = new byte[32];
secureRandom.nextBytes(buffer);
return Base64.getUrlEncoder().withoutPadding()
.encodeToString(buffer);
}
/**
* 生成 code_challenge
*/
public String generateCodeChallenge(String codeVerifier) {
try {
MessageDigest digest = MessageDigest.getInstance("SHA-256");
byte[] hash = digest.digest(codeVerifier.getBytes(StandardCharsets.UTF_8));
return Base64.getUrlEncoder().withoutPadding()
.encodeToString(hash);
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
}
/**
* 发起 PKCE 授权请求
*/
public void authorize() {
String codeVerifier = generateCodeVerifier();
String codeChallenge = generateCodeChallenge(codeVerifier);
// 保存 code_verifier 用于后续验证
session.setAttribute("code_verifier", codeVerifier);
// 构建授权 URL
String authUrl = UriComponentsBuilder
.fromHttpUrl("http://auth-server/oauth/authorize")
.queryParam("response_type", "code")
.queryParam("client_id", "client-id")
.queryParam("redirect_uri", "http://localhost:8080/callback")
.queryParam("scope", "read write")
.queryParam("code_challenge", codeChallenge)
.queryParam("code_challenge_method", "S256")
.build()
.toUriString();
// 重定向到授权服务器
return "redirect:" + authUrl;
}
/**
* 用 code 换 Token
*/
public AuthToken exchangeToken(String code) {
String codeVerifier = session.getAttribute("code_verifier");
MultiValueMap<String, String> params = new LinkedMultiValueMap<>();
params.add("grant_type", "authorization_code");
params.add("code", code);
params.add("redirect_uri", "http://localhost:8080/callback");
params.add("client_id", "client-id");
params.add("code_verifier", codeVerifier);
// 用 code_verifier 换取 Token
return restTemplate.postForObject(
"http://auth-server/oauth/token",
params,
AuthToken.class
);
}
}11.3 Spring Security OAuth2 PKCE 支持
java
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.oauth2Login(oauth2 -> oauth2
.authorizationEndpoint(authorization -> authorization
.authorizationRequestRepository(
new HttpSessionAuthorizationRequestRepository()
)
)
.redirectionEndpoint(endpoint -> endpoint
.baseUri("/oauth2/callback/*")
)
.tokenEndpoint(token -> token
.accessTokenResponseClient(
OAuth2AccessTokenResponseClient
.withDefaults()
)
)
);
return http.build();
}
}十二、Token 设备指纹绑定
12.1 指纹采集
java
@Component
public class DeviceFingerprintService {
public String generateFingerprint(HttpServletRequest request) {
StringBuilder sb = new StringBuilder();
// User Agent
sb.append(request.getHeader("User-Agent"));
sb.append("|");
// Accept Language
sb.append(request.getHeader("Accept-Language"));
sb.append("|");
// Client IP
sb.append(getClientIp(request));
sb.append("|");
// Screen Resolution (前端传入)
sb.append(request.getHeader("X-Screen-Resolution"));
sb.append("|");
// Timezone
sb.append(request.getHeader("X-Timezone"));
// 计算 Hash
return sha256(sb.toString());
}
private String sha256(String input) {
try {
MessageDigest digest = MessageDigest.getInstance("SHA-256");
byte[] hash = digest.digest(input.getBytes());
return Base64.getEncoder().encodeToString(hash);
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
}
}12.2 Token 绑定验证
java
@Component
public class TokenBindingValidator {
@Autowired
private DeviceFingerprintService fingerprintService;
public boolean validateBinding(String token, HttpServletRequest request) {
Claims claims = jwtUtils.parseToken(token);
String tokenFingerprint = claims.get("fingerprint", String.class);
String currentFingerprint = fingerprintService.generateFingerprint(request);
// 允许小幅度的指纹变化(如浏览器更新)
return similar(tokenFingerprint, currentFingerprint, 0.8);
}
private boolean similar(String a, String b, double threshold) {
if (a == null || b == null) return false;
// 使用 Jaro-Winkler 距离
double distance = jaroWinklerSimilarity(a, b);
return distance >= threshold;
}
}12.3 异常处理
java
@Component
public class TokenBindingInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response,
Object handler) throws Exception {
String token = extractToken(request);
if (token != null) {
if (!tokenBindingValidator.validateBinding(token, request)) {
response.setStatus(HttpServletResponse.SC_FORBIDDEN);
response.getWriter().write("{\"error\": \"device_mismatch\"}");
return false;
}
}
return true;
}
}十三、总结
OAuth2 + JWT 是微服务认证的最佳实践:
| 维度 | 内容 |
|---|---|
| OAuth2 模式 | 授权码、密码、客户端凭证、简化模式 |
| JWT 结构 | Header、Payload、Signature |
| 签名算法 | HS256 对称、RS256 非对称 |
| JWK Set | 公钥分发、动态密钥轮换 |
| PKCE | 授权码安全扩展、防止拦截攻击 |
| Spring Security | ResourceServer + JWT 集成 |
| 网关鉴权 | GlobalFilter 统一 Token 校验 |
| 服务间认证 | Feign 拦截器传递 Token |
| Token 管理 | 刷新机制 + 黑名单 + 设备指纹 |
| 安全增强 | 设备绑定、异常检测 |
结合网关统一鉴权、服务间 Token 传递、完善的 Token 刷新机制,可以构建安全可靠的微服务身份认证体系。