JWT（JSON Web Token）是一种开放标准（RFC 7519），用于在网络应用环境间安全地传递声明。它的主要用途是身份验证和信息交换。在微服务架构中，JWT 作为认证机制非常常见，特别是与 API 网关结合使用时。

1. JWT 介绍

JWT 是由三部分组成的：

• Header（头部）：通常包含签名的算法信息（例如 HMAC SHA256 或 RSA）。
• Payload（负载）：包含声明（Claims）。声明可以是关于实体（通常是用户）的信息，或者元数据。JWT 的负载部分是 base64 编码的。
• Signature（签名）：签名是用来验证 JWT 数据是否被篡改的。它通过将 header 和 payload 使用私钥加密生成，确保 JWT 的数据安全性和完整性。

2. 微服务架构中的 JWT 使用

在微服务架构中，多个微服务通常会通过 HTTP 请求进行交互。如果没有合适的认证机制，用户的身份验证信息可能会在多个服务之间重复验证，这不但增加了冗余，也降低了安全性。JWT 在这种情况下非常有用，因为它能在用户登录时生成一个有效的 token，该 token 可以在不同的服务之间传递，而不需要每个服务都进行用户认证。

3. 结合微服务网关的 JWT 验证

微服务网关（如 Spring Cloud Gateway 或 Nginx）在微服务架构中起到了流量管理、路由、负载均衡等作用。JWT 与微服务网关结合时，网关通常扮演验证用户身份的角色。具体的流程如下：

流程示例

1. 用户登录：用户通过用户名和密码登录。后端服务会验证这些凭证，如果验证成功，则生成一个 JWT token 返回给前端。

2. 前端保存 JWT：前端将 JWT 保存在客户端（如 localStorage 或 sessionStorage），并在后续的 API 请求中将其添加到 HTTP 请求的 Authorization 头中。

3. 微服务网关验证 JWT：用户在每次请求时会将 JWT 发送到微服务网关。网关会验证 JWT 的有效性、签名、过期时间等。如果 JWT 合法，则网关将请求转发给目标微服务。

4. 微服务接收请求：微服务通过网关接收到请求时，已经可以信任这个用户的身份，无需再进行身份验证。微服务可以从 JWT 的 Payload 中提取用户信息来处理请求。

1. 用户登录，生成 JWT

public class JwtUtil {

    private static final String SECRET_KEY = "secret";  // 用于加密的秘钥

    // 生成 JWT
    public static String createJWT(String userName) {
        return Jwts.builder()
                .setSubject(userName)
                .setIssuedAt(new Date())  // 设置发放时间
                .setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 设置过期时间，1小时
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)  // 使用 HMAC-SHA256 加密
                .compact();
    }

    // 解析 JWT
    public static Claims parseJWT(String jwt) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(jwt)
                .getBody();
    }
}

2. 自定义过滤器来实现 JWT 的验证

@Component
public class JwtAuthenticationFilter implements GatewayFilter, Ordered {

    private static final String AUTHORIZATION_HEADER = "Authorization";
    
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        String token = exchange.getRequest().getHeaders().getFirst(AUTHORIZATION_HEADER);

        if (token == null || !token.startsWith("Bearer ")) {
            return Mono.error(new RuntimeException("Unauthorized"));
        }

        try {
            String jwt = token.substring(7);  // 去掉 "Bearer " 前缀
            Claims claims = JwtUtil.parseJWT(jwt);  // 解析 JWT
            // 可以根据解析的 claims 来做进一步的验证或设置安全上下文
            exchange.getRequest().mutate()
                    .header("User", claims.getSubject())  // 在请求头中设置用户信息
                    .build();
        } catch (Exception e) {
            return Mono.error(new RuntimeException("Invalid token"));
        }

        return chain.filter(exchange);  // 继续处理请求
    }

    @Override
    public int getOrder() {
        return -1;  // 优先级，越小越优先
    }
}

3. 微服务中使用 JWT 数据

微服务从网关接收到请求时，可以直接从请求头中读取用户信息：

@RestController
@RequestMapping("/user")
public class UserController {

    @GetMapping("/info")
    public String getUserInfo(@RequestHeader("User") String userName) {
        // 使用 userName 获取用户信息
        return "Hello, " + userName;
    }
}

4. 总结

通过将 JWT 和微服务网关结合使用，可以实现分布式系统中的统一身份验证。用户登录时通过 JWT 获取认证信息，网关负责验证 JWT 的有效性和用户身份，然后将请求转发到对应的微服务。微服务无需再验证用户身份，只需要从 JWT 中提取必要的用户信息进行业务处理。

这种方式有效地减少了重复认证的开销，同时提高了系统的安全性和可扩展性。