什么是JWT?OAuth2以及Bearer Token基本解析

原创 已于 2022-07-27 21:04:16 修改 · 4.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #服务器 #后端 #前端

于 2022-07-27 20:33:38 首次发布
本文深入解析JWT工作原理,对比session与cookie,探讨OAuth2中的JWT角色,并介绍BearerToken验证。焦点在于权限管理,适合理解基础token机制的开发者

最近在做关于不同权限用户对接口权限访问的校验程序,包括基于 Bearer token&&Password 的 OAuth2 校验方式以及 基于JWT tokens with Bearer 等校验方式,最近就会发这些校验程序的解析,所以这篇文章先作概念解读引入,以我能理解的说人话方式来解析概念。

本文的前提是对token,session,cookie的作用以及传输方式有一定的理解,当然之后我也会把写好的token,session,cookie的笔记发出来

JWT(json web token)

JWT是对token很多种加密构造的实现 方法/标准 之一

本质: 以json(J)形式的字符串,通过web传播(W)的一种token(T);默认base64算法

用户输入账号密码后,在服务器进行验证,如果无误的话,在服务器生成通过base64编码生成一个JWT Token(字符串),服务器把这个字符串传给客户端存储, 前端在每次请求时将JWT Token放入HTTP请求头中的Authorization属性中

JWT token的组成: base64(头部) + base64(负载) + base64(签名)

签名的构成

头部内指定签名算法(默认HS256) { Base64(头部) + “.” + Base64(负载) , 加密的服务端私钥}

在服务端接收到客户端发送过来的JWT token后的处理流程:

header(头部)和payload(负载)可以直接通过 指定算法+Base64 解码出原文

signature(加密的服务端私钥)无法解码出原文,其作用是校验token有没有被篡改。

服务端获取header中的加密算法之后,
用其加密{Base64(header)+"."+ Base64(payload),加密的已端私钥}
后来和传来的JWT比对校验token是否合格

token每次到服务器验证时,后端会把前两部分和secret再次生成签名,再和第三部分比对,无论改了哪个部分,校验都不会通过

jwt token与session-cookie对比

注意token相比session-cookie方式的优势在于 服务器端不需要存储token

只需在每次 web端请求token 在 服务端解码校验通过后 即时生成token返回供web端下次使用

session-cookie: 每次验证通过给你一份新证明材料(cookie)后自己还要保留一份副本(session)备用核对检查,我有几百万千万用户服务端就要保留几百千万的的副本材料

jwt token: 每次验证通过只需要给你新的一张证明材料,我不用保留什么百万千万材料核对,只需要你提供材料时稍微两个解码算法解码验证就行

OAuth2

OAuth2是一种授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源;其使用场景一般为APP或者网页需要账密的授权验证和登录

OAuth2用程序代码实现步骤时,经常会把 JWT 作为一种认证机制使用。所以OAuth2和 JWT 经常一同提及,但这两者实质是不同属性完全不同的东西

OAuth2用在使用第三方账号登录的情况 (比如微博QQ网页或者APP登录)

JWT使用在前后端分离, 需要简单的对后台API进行保护时使用.

因为HTTP协议是开放的,可以任人调用。所以,如果接口不希望被随意调用,就需要做访问权限的控制,对访问用户校验后根据权限等级调用响应API

Bearer Token

Bearer Token验证属于HTTP协议标准验证,它随着OAuth协议而开始流行 官方文档https://tools.ietf.org/html/rfc6750#section-1.2

Bearer验证中的凭证称为BEARER_TOKEN,或者是access_token,它的颁发和验证完全由我们自己的应用程序来控制,而不依赖于系统和Web服务器Bearer认证,其核心便是BEARER_TOKEN,而最通用的Token编码方式便是:JSON WEB TOKEN

拥有 bearer token 的任何一方(被称为 “bearer”),可以以任何方式,来访问受 OAuth 2.0 保护的资源,

OAuth 2.0 (二)Bearer Token
w_t_y_y的博客
11-26 1086
OAuth 2.0 和其他授权框架中常用的一种认证机制。它是一种访问令牌,用于在客户端和服务器之间进行身份验证和授权。Bearer Token 通常用于通过 HTTP 请求头()传递,以便服务器验证客户端的请求是否有权限访问某些资源。
BearerTokenJWT的介绍
LLL_foever的博客
07-09 869
Bearer认证 HTTP提供了一套标准的身份验证框架:服务器可以用来针对客户端的请求发送质询(challenge),客户端根据质询提供身份验证凭证。质询与应答的工作流程如下:服务器端向客户端返回401(Unauthorized,未授权)状态码,并在WWW-Authenticate头中添加如何进行验证的信息,其中至少包含有一种质询方式。然后客户端可以在请求中添加Authorization头进行验证,其Value为身份验证的凭证信息。 在HTTP标准验证方案中,我们比较熟悉的是"Basic"和"Digest"
SpringCloudOAuth2+JWT:微服务统⼀认证方案
xike1024的博客
09-21 1449
SpringCloudOAuth2+JWT微服务统⼀认证方案:概念、核心价值、原理、使用、配置详解
bearer token头_BearerTokenJWT的介绍
weixin_35759015的博客
12-23 1899
Bearer认证HTTP提供了一套标准的身份验证框架:服务器可以用来针对客户端的请求发送质询(challenge),客户端根据质询提供身份验证凭证。质询与应答的工作流程如下:服务器端向客户端返回401(Unauthorized,未授权)状态码,并在WWW-Authenticate头中添加如何进行验证的信息,其中至少包含有一种质询方式。然后客户端可以在请求中添加Authorization头进行验证,...
OAuth 2.0: Bearer Token Usage
weixin_30929011的博客
05-07 710
  Bearer Token (RFC 6750) 用于OAuth 2.0授权访问资源,任何Bearer持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密key。一个Bearer代表授权范围、有效期,以及其他授权事项;一个Bearer在存储和传输过程中应当防止泄露,需实现Transport Layer Security (TLS);一个Bearer有效期不能过长,过期后可用Refresh...
bearer token头_JWTBearer Token有什么区别?
weixin_34938347的博客
12-23 962
I'm learning something about Authorization like Basic, Digest, OAuth2.0, JWTs, and Bearer Token.Now I have a question.You know the JWTs is being used as an Access_Token in the OAuth2.0 standard. JWTs ...
bearer token头,JWTBearer Token有什么区别?
weixin_39854326的博客
12-23 1384
I'm learning something about Authorization like Basic, Digest, OAuth2.0, JWTs, and Bearer Token.Now I have a question.You know the JWTs is being used as an Access_Token in the OAuth2.0 standard. JWTs ...
什么是JWT? Token? 如何基于Token进行身份验证?
HZ___ZH的博客
03-10 1714
JWT (JSON Web Token) Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JWT 本质上就一段签名的 JSON 格式的数据。由于
登录机制彻底讲透:Cookie、Session、TokenJWTOAuth2OAuth2.1、Refresh Token、黑名单、SSO 完整指南
最新发布
一起修行,不孤单。这里有编程语言、开发工具、学习方法论和踩坑笔记。用简单的话说复杂的事,陪你从小白到进阶。周更干货,欢迎一起成长!
11-19 797
HTTP 是无状态的,所以需要身份凭证。Cookie 自动携带,Session 存在服务器。Session 适合传统 Web,不适合微服务。Token 自己传,跨域友好,可用于 APP。JWT 是最流行 Token,无状态,可扩展。JWT 缺陷:无法主动失效 → 需要 Refresh Token / 黑名单。JWT 是最佳选择。网关统一验证 JWTOAuth2 是授权框架,不是认证协议。SSO 通常基于 OAuth2/OIDC + JWT
【分布式技术】Bearer Token以及MAC Token深入理解
wendao76的专栏
06-22 1664
文章摘要: Bearer TokenOAuth 2.0 中的无状态访问令牌,以“持有即有权”机制工作,通常为 JWT 或不透明字符串,通过 HTTPS 传输。其流程包括用户认证、Token 生成(含签名/有效期)及验证,适用于 Web API、SPA 和微服务等场景,优点是标准化与无状态,但存在泄露风险。相较之下,MAC Token 要求客户端与服务器共享密钥,每次请求动态生成签名(基于时间戳/随机数),安全性更高但实现复杂,适用于高安全需求场景(如机器间通信)。两者对比显示,Bearer Token
WHAT - 用户登录系列(三)- Bearer TokenOAuth 2.0、OIDC、PKCE
weixin_58540586的博客
07-25 1206
简单的令牌认证方式,适用于 API 认证。传输和存储安全性要求高。OAuth 2.0授权框架,允许第三方应用获得资源访问权限。支持多种授权方式,如授权码、隐式、密码凭证和客户端凭证。基于 OAuth 2.0 的身份层协议,用于用户认证。提供 ID Token 进行身份验证。PKCE增强的授权码流程,防止授权码拦截攻击。适用于公开客户端,如单页应用(SPA)。
jwt接口认证方式:Bearer Token
西京刀客
01-10 5198
jwt接口认证方式:Bearer Token 问题背景 在以前,用户进行认证的时候一般是: -> 用户向服务端发送验证信息(用户名、密码)。 -> 服务端验证成功就向用户返回一个sessionid,服务端保存了这个session_id对应的信息,写入用户的 Cookie。 -> 之后前端发出的每一次请求,都会通过Cookie,将session_id传回服务端,服务端收到session_id,找到对应的数据,由此得知用户的身份。 但是这种情况下在以下场景下不好实现 比如微博和新浪邮箱都是新浪
connect time out 获取token失败_基于JWTToken登录认证
weixin_39957068的博客
11-21 438
JWT简介 :json Web Token(缩写JWT)是目前最流行的跨域认证解决方案session登录的认证方案是看,用户从客户端传递用户名和密码登录信息,服务端认证后将信息储存在session中,将session_id放入cookie中,以后访问其他页面,服务器都会带着cookie,服务端会自动从cookie中获取session_id,在从session中获取认证信息。JWT的解决方案是,将认...
令牌,tokenjwt的关系///Bearer Token是什么//Authorization头中携带Bearer Token//BEARER TOKEN和普通token有什么区别
qq_43518966的博客
02-07 1778
Token是一个更广泛的术语,涵盖了所有形式的身份验证或授权凭证。JWT是一种特殊的Token格式,特别适合于分布式系统中的安全信息交换。在实际应用中,当你听到“token”时,它可能是任何形式的令牌,但如果特指为JWT,则意味着遵循了特定的标准和格式来进行编码、签名或加密。JWT因其良好的特性而成为现代Web应用中最常用的Token类型之一,尤其是在OAuth 2.0和OpenID Connect协议中。Bearer Token(持有者令牌)
SpringSecurity OAuth2 整合JWT,获取token解析token(密码模式为例子)
longqiyuye925的博客
06-26 6340
我前面的文章曾自己引入JWT,并且定义规则,并用于权限判断(想了解的可以看看源码),这篇将重点记录下,当我发现SpringSecurity可以使用业界公认的OAuth2规范来自动生成token,并且可以整合JWT,我是如何把它用于项目里的。 源码地址: https://github.com/longqiyuye925/blogServer 直接从依赖开始: 这些都是我所用到的相关包,注意下我这篇文章的时间,如果和你当前时间很接近而且你是新建的SpringBoot项目,不要使用最新版本,应该使用2.5.X,否
深入理解Bearer Token认证与JWT
weixin_35706255的博客
05-17 586
本博客深入探讨了Bearer Token认证机制和JWT的结构与使用。介绍了Bearer Token的定义、安全性、以及与JWT的关系。强调了令牌的安全性问题,如避免在URL中暴露令牌,并探讨了如何使用BFF模式来增强API安全。同时,解释了JWT的组成部分和验证过程,并讨论了不同类型的令牌及其用途。
security-oauth2(token解密过程)
qq_33421961的博客
11-10 4471
整体介绍 security-oauth2 提供了一些默认的过滤器链,每个过滤器链里面都有多个过滤器,每个过滤器链里面都有一个匹配器,并且每个过滤器链中都有多个过滤器,当业务接口请求到后端的时候,在请求到达目标接口之前,会被过滤器链代理拦截下来,然后循环过滤器器链,利用过滤器链本身的匹配器对请求进行匹配,如果匹配通过,则进入到过滤器链中,然后循环执行过滤器链中所有的过滤器,在这些过滤器中,会对请求头信息中的token进行校验,如果全部校验通过,请求才会调用到最初的目标接口,否则就终止请求的执行,并抛错错误码
OAuth2认证获取Bearer Token
09-10
<think> 首先,用户的问题是:"我想查找使用OAuth2认证获取Bearer Token的方法 请问OAuth2认证获取Bearer Token的方法"。这是一个具体的查询,我需要基于提供的引用和之前的系统指令来回答。 回顾系统指令: - 所有行内数学表达式必须使用 `$...$` 格式。 - 独立公式使用 `$$...$$`。 - LaTeX 语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识,如 `[^1]`。 用户提供了三个引用: - 引用[1]:讨论了 OAuth 2.0 流程中 Bearer Token 的颁发。 - 引用[2]:涉及 JWTOAuth2基本解析。 - 引用[3]:涵盖 Bearer TokenOAuth 2.0、OIDC、PKCE 等内容。 用户的问题是关于 OAuth2 认证获取 Bearer Token 的方法。我需要整合这些引用来提供一个清晰的解释。 关键点: - OAuth 2.0 是一种授权框架。 - Bearer Token 是一个访问令牌,用于访问保护资源。 - 获取 Bearer Token 的方法取决于 OAuth 2.0 的授权类型。 从引用[1]:"客户端首先通过某种方式(如授权码授权流程、资源所有者密码凭证授权等)向授权服务器请求一个访问令牌"。这列出了常见的授权类型: - 授权码授权流程 (Authorization Code Grant) - 资源所有者密码凭证授权 (Resource Owner Password Credentials Grant) - 还有其他类型,如客户端凭证授权 (Client Credentials Grant)、隐式授权 (Implicit Grant) 等。 引用[3]提到 OAuth 2.0 和 PKCE,这暗示了更现代的流程。 我需要描述获取 Bearer Token 的步骤和方法。结构应该: 1. **介绍 OAuth 2.0 和 Bearer Token**:简要解释什么是 OAuth 2.0 和 Bearer Token2. **获取方法**:详细说明不同的授权类型如何获取 Bearer Token。 3. **步骤**:提供一个通用的流程。 4. **举例**:可能用一个简单的示例。 5. **相关问题**:基于指令,生成相关问题。 回答必须使用中文。 添加引用标识:在回答中引用段落时,末尾添加如 `[^1]`。 生成相关问题:在回答末尾添加 "§§相关问题§§" 部分,列出几个相关问题。 从引用中提取: - [^1] 来自引用[1],讨论了 Bearer Token 的颁发。 - [^2] 来自引用[2],讨论了 JWTOAuth2。 - [^3] 来自引用[3],讨论了 OAuth 2.0 等。 我需要自然地融入引用。 结构化回答: - **开头**:直接回答问题。 - **主体**:解释 OAuth 2.0 授权类型如何获取 Bearer Token。 - **结尾**:总结。 常见的授权类型: 1. **授权码授权 (Authorization Code Grant)**:用于 Web 应用。用户被重定向到授权服务器登录,授权后返回授权码,客户端用授权码交换访问令牌。 2. **隐式授权 (Implicit Grant)**:用于单页应用或移动应用,直接返回访问令牌。 3. **资源所有者密码凭证授权 (Resource Owner Password Credentials Grant)**:用户直接提供用户名密码给客户端,客户端用此获取令牌。 4. **客户端凭证授权 (Client Credentials Grant)**:用于服务器服务器认证,客户端用自己的凭证获取令牌。 Bearer Token 通常是访问令牌本身。 步骤概述: - 客户端向授权服务器发出请求。 - 授权服务器验证请求并颁发访问令牌。 - 客户端使用该令牌访问资源服务器。 在回答中,避免使用数学公式,因为这与数学无关。但指令说所有行内数学表达式必须用 `$...$`,但这里没有数学。所以,确保如果有变量等使用 LaTeX 格式。 生成相关问题: 例如: 1. OAuth2 的不同授权类型有何区别? 2. 如何安全地使用 Bearer Token? 3. JWTOAuth2 中的应用是什么? 确保回答基于引用。 最终回答结构: - 解释获取方法。 - 引用相关部分。 - 生成相关问题。 开始草拟回答。 </think> ### OAuth2 认证获取 Bearer Token 的方法 OAuth 2.0 是一个授权框架,允许第三方应用(客户端)在用户授权后获取访问受保护资源的权限。Bearer TokenOAuth 2.0 中的一种访问令牌(Access Token),它作为“持有者凭证”(Bearer Credential)使用:任何持有该令牌的实体都可以访问相关资源,无需进一步验证身份[^1]。获取 Bearer Token 的核心是通过 OAuth 2.0 的授权流程,其中客户端向授权服务器发送请求,授权服务器在验证用户同意后颁发令牌。具体方法取决于 OAuth 2.0 的授权类型(Grant Type),以下是常见的几种获取方式。 #### 主要授权类型和获取步骤 1. **授权码授权流程(Authorization Code Grant)** 这是最安全的授权类型,适用于 Web 应用和后端服务。流程包括: - 客户端将用户重定向到授权服务器的登录页面(包含客户端 ID、重定向 URI 和 scope 等参数)。 - 用户登录并同意授权后,授权服务器返回一个授权码(Authorization Code)到客户端指定的重定向 URI。 - 客户端使用该授权码向授权服务器请求访问令牌:发送 POST 请求,包含客户端凭证(如 ID 和 secret)、授权码和重定向 URI。 - 授权服务器验证请求,如果成功,返回 Bearer Token(通常包含访问令牌、令牌类型为 "Bearer"、有效期等)[^1]。 例如: ```http POST /token HTTP/1.1 Host: auth-server.example.com Content-Type: application/x-www-form-urlencoded grant_type=authorization_code&code=SplxlOBe...&redirect_uri=https%3A%2F%2Fclient.example.com%2Fcallback&client_id=s6BhdRkqt3&client_secret=7Fjfp0ZBr1KtDRbnfVdmIw ``` 2. **资源所有者密码凭证授权(Resource Owner Password Credentials Grant)** 该方法适用于可信客户端(如内部应用),用户直接向客户端提供用户名和密码。流程包括: - 客户端收集用户的用户名和密码。 - 客户端向授权服务器发送 POST 请求,包含用户名、密码、客户端 ID 和 secret,以及 grant_type 为 "password"。 - 授权服务器验证用户凭证和客户端权限,如果有效,直接颁发 Bearer Token[^1]。 例如: ```http POST /token HTTP/1.1 Host: auth-server.example.com Content-Type: application/x-www-form-urlencoded grant_type=password&username=johndoe&password=A3ddj3w&client_id=s6BhdRkqt3&client_secret=7Fjfp0ZBr1KtDRbnfVdmIw ``` 3. **隐式授权流程(Implicit Grant)** 适用于单页应用(SPA)或移动应用,其中简化了流程以提高效率(但安全性较低)。流程包括: - 客户端通过浏览器重定向用户到授权服务器。 - 用户同意后,授权服务器直接将 Bearer Token 附加到重定向 URI 的片段部分(如 URL hash),客户端从中提取令牌(省略了授权码交换步骤)[^1]。 4. **客户端凭证授权(Client Credentials Grant)** 用于服务器服务器通信(无用户参与)。流程包括: - 客户端使用自己的凭证(客户端 ID 和 secret)向授权服务器发送 POST 请求,设置 grant_type 为 "client_credentials"。 - 授权服务器验证客户端身份,颁发 Bearer Token 允许访问客户端自己的资源[^2]。 #### 通用步骤总结 获取 Bearer Token 的通用流程如下: 1. **初始化请求**:客户端选择适当的授权类型,并向授权服务器发送请求(参数包括客户端 ID、secret、scope 和 grant_type)。 2. **用户授权**:对于涉及用户的类型(如授权码或密码授权),用户必须在授权服务器上登录并同意权限。 3. **令牌颁发**:授权服务器验证请求后,响应一个 JSON 对象,包含 Bearer Token(访问令牌)、令牌类型(通常为 "Bearer")、有效期(expires_in)和刷新令牌(refresh_token,可选)。 4. **使用令牌**:客户端在后续请求中,将 Bearer Token 放入 HTTP 头(如 `Authorization: Bearer <token>`)访问资源服务器[^1][^3]。 注意:Bearer Token 的安全性至关重要,应通过 HTTPS 传输,并避免在不安全环境存储。此外,现代实现中,Bearer Token 可能采用 JWT(JSON Web Token)格式,包含加密的声明信息(claims),以增强验证能力[^2][^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值