JWT和HMAC(AK/SK)认证方式的区别和使用场景

已于 2022-03-21 21:59:20 修改
阅读量2.4k 收藏 2
点赞数 2
分类专栏: 研发 文章标签: authentication jwt HMAC HMAC(AK/SK)
于 2022-03-21 21:59:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Solo95/article/details/123643102
版权

prerequisite: 什么是JWT?

JWT适用场景

  1. 用户登录:用户通过密码换取jwt,后续使用jwt继续交互,以实现一次登录访问全部资源的目的。
  2. 简单实体认证:由服务方直接分发一个生成的jwt给使用方,使用方每次使用jwt方位服务的接口。这种方式长用户接口之间的实体认证,但安全性较弱,因为其他方如果获知了jwt token,也依然能够通过该token访问接口。

HMAC(AK/SK)

简单介绍一下HMAC

HMAC(Hash-based Message Authentic Code),即基于hash的消息认证码,它使用哈希算法,以一个密钥和一个消息作为输入,生成一个消息摘要作为输出,服务端通过对比发送的摘要和自己生成的摘要是否相同完成认证。

HMAC(AK/SK)
HMAC预先生成一个access key(AK)和secure key(SK),然后客户端通过使用AK和SK以及可能存在的偏移量iv对一段消息文本进行签名,客户端发送AK和签名,服务端使用AK和SK以及偏移量iv重新签名,通过对比两个签名是否一致的方式完成认证请求。这种方式避免传输secure key,且大多数情况下只允许使用一次,避免了重放攻击。

JWT和HMAC的区别
  • HMAC服务端不仅有一个密钥,同时每一个调用实体都分发一个appid(AK)
  • 用来签名的数据可以由调用双方约定,简单可以使用字符串,也可以使用map、array等其他数据类型
  • 签名过程可以带上时间戳,这样每次调用的签名都不一样,安全性高
  • 签名是根据约定好的算法进行计算,不需要客户端获取token之后一直传递token,但每次调用都要进行签名,没有jwt计算轻量。

HMAC

适合api之间相互调用的认证

JWT使用HMAC签名

事实上两种方式经常结合使用,因为jwt的签名过程本质上和HMAC一样,都是进行一次hash计算。

方式一:jwt的签名过程中使用HMAC加密算法,后续持续使用token鉴权(token具有时效性,可以短时间内持续有效),这样既保证了安全,也不会有每调用一次就需要重新签名这样重复的计算量。

方式二:获取jwt签名后的token之后,在使用HMAC算法对该token进行签名,这样可以实现跨系统调用。

参考文献

从流域到海域
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解用JWT对SpringCloud进行认证和鉴权
08-26
"详解用JWT对SpringCloud进行认证和鉴权" ...本文详细介绍了使用JWT对SpringCloud进行认证和鉴权的详细过程,包括JWT的结构、特点和使用方式,以及在SpringCloud中使用JWT进行认证和鉴权的实践经验。
AK/SK认证简介
2301_78006725的博客
09-23 5045
具体来说,AKSK用于对API请求进行签名以确保请求的完整性和身份验证。在访问受保护的服务或资源时,需要提供有效的AKSK才能获得授权。AKSK的作用是保证只有授权用户才能访问特定的服务或资源,同时也提供了对用户操作的跟踪和审计能力。云主机接收到用户的请求后,系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串,并与用户请求中包含的认证字符串进行比对。SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密。
云服务中使用AK/SK简单介绍
dsq_MaDing的博客
01-30 1万+
AK就是用来标识用户身份的,相较于Token,使用AK/SK的好处是不需要进行登录就可以访问API,并且使用的http协议,效率更高。SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密。使用同样的算法将请求内容和 secret-key一起计算签名(signature),与客户端步骤2相同;客户端一般会提供给用户下载AK/SK的功能,然后客户端和服务端都拥有相同的一套AK/SK。对比用户发送的签名和服务端计算的签名,两者相同则认证通过,否则失败。
web鉴权access_token、AK/SK、session/cookie
最新发布
酌沧
05-10 1283
鉴权是网络安全的关键环节,主要用于确认请求者的身份,并确保其有权限执行请求的操作。本文介绍access_token、AK/SK、session/cookie。
用户鉴权之JWTAKSK
maybe的博客
03-05 6801
JWTAK/SK JWTAK/SK都是用于鉴权的。 由于http的无状态性,为了避免每次登录时都去数据库查询用户信息,用户第一次登录后,应用需要保存用户登录信息,以便下次请求客户端时识别用户的身份。 通常我们可以采用session的方式来保存用户登录状态和用户信息。这种方式,会在服务端保存session信息,登录之后返回一个session_id,这样客户端每次请求的时候将session_id传到服务端。 使用session的方式会在服务器保存session信息,这样会占用服务器资源,下面介绍另外两种鉴权
云主机秘钥(ak/sk)泄露及利用案例
渗透测试研究中心
12-14 2511
云平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞:云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。aksk拿到后的利用,阿里云、腾讯云云主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。
Hadoop安全保护机制(Kerberos&LADP)详解
Pizza_great的博客
10-26 4388
第一章 信息安全理论基础 CIA模型:机密性、完整性和可用性 CIA模型能够帮助建议一些信息安全原则,但该模型并不是一个需要严格遵守的规划 Hadoop平台可能涉及多个CIA模型组件,也有可能一个也涉及不到 1.1、机密性 机密性:信息只应该被期望的接收者看到 身份标识:使A和B参与机密信息传递的属于自己的唯一标志 身份验证:证明自己的身份 加密:将数学算法应用于信息片段,使加密后输出内容对于非预期接收者不可读 解密:只有期望的接收者能对加密消息进行解密,从而得到原始信息 ...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
gateway和jwt网关认证实现过程解析
08-25
Gateway 和 JWT 网关认证实现过程解析 Gateway 和 JWT 网关认证是当前 Web 应用程序中最常用的身份验证方法之一。Gateway 作为入口点,负责处理所有的请求,而 JWT(JSON Web Token)则是用于身份验证和授权的 ...
详解Django配置JWT认证方式
09-16
在本文中,我们将深入探讨...通过这种方式,Django项目现在具备了JWT认证的功能。用户可以通过获取和刷新JWT进行身份验证,并能够访问受保护的API视图。这为开发安全、高效的API提供了便利,同时也简化了身份验证过程。
SpringSecurity之JWT实现token认证和授权.zip
08-09
在这个主题中,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证和授权。 JWT 是一种轻量级的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
AK/SK的验证流程
mameng1988的博客
05-30 937
AccessKeyId(AK)用于标识密钥拥有者,AccessKeySecret(SK)是用于验证身份的密钥。通过这个流程,AccessKeyId和AccessKeySecret的验证保证了请求的合法性,并防止了未经授权的人员对API进行访问,从而实现了API的安全性和可靠性。如果找到AccessKeySecret,则将接收到的AccessKeySecret与请求中的AccessKeySecret进行比较。否则,API网关将返回错误响应。目标服务接收到请求,并对其进行处理,然后将响应返回到API网关。
网络协议、
zydbk的博客
10-11 1344
配置IP地址:使用ifconfig、ip addr设置,之后up网卡。Linnx默认逻辑,如果是一个跨网段的调用,不会直接将包发送到网络上,而是企图将包发送到网关。DHCP(动态主机配置协议):机器新加入网络,使用IP地址0.0.0.0发送广播包,这步称为DHCP Discover。网络里配置的DHCP Server,相当于IP管理员,为MAC配置唯一的IP地址,这个过程称为DHCP offer。
hmac验证
飘在上海的北方人
01-06 1210
HMAC是密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code),HMAC运算利用哈希算法,以一个密钥和一个消息为输入,生成一个消息摘要作为输出。 中文名 哈希消息认证码 外文名 HMAC 概述  HMAC是密钥相关的哈希运算 运算作用 验证TPM接受的授权数 算法表示 算法公式 : HMAC(K, 目录 1 简介 ▪ 运算作用 ▪ ...
什么是 AK/SK
CeciliaWang_的博客
02-19 780
调用通过API网关开放的云服务API时,使用AK/SK签名认证方式
AK/SK加密认证
m0_51935980的博客
03-15 1081
Access Key(AK):AK是一个全局唯一的字符串标识符,用于标识用户。它类似于用户名,但仅用于身份识别,并不包含任何秘密信息。 Secret Access Key (SK):SK则是一个高度保密的密钥,类似于密码,用于对发送至服务的请求进行签名。每个AK都有一个对应的SK,它们成对出现,共同完成安全认证过程。
4种认证authentication)或授权(authorization)方式
热门推荐
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
HTTP API 认证技术详解(四):HMAC Authentication
路多辛的所思所想
01-17 1212
HMAC(Hash-based Message Authentication Code)认证是一种被广泛使用的技术,用于验证消息的完整性和真实性。HMAC 结合了哈希函数和加密密钥,比单纯的哈希更安全。在网络通信和数据存储中,HMAC 可以确保传输的数据未被篡改,并验证消息发送者的身份。
PaaS入门--201912~
u010789489的博客
12-22 1087
一、理解:PaaS认证流程中的AK/SK和Token (转载:华为云社区:https://bbs.huaweicloud.com/blogs/100530 作者:唐盛军) 1 公有云API的认证方式 一般有一夏几种认证方式: Token认证 AK/SK认证 RSA非对称加密方式 下面主要介绍AK/SK AK/SK认证 这种方式是AWS上面S3的认证方式。示意图如下: 原理:把信息放到一个箱子里...
给我一个使用EMQX的jwt认证方式调用/api/v5/authentication/{id}/users的java代码示例
04-29
好的,以下是使用EMQX的jwt认证方式调用/api/v5/authentication/{id}/users的java代码示例,请您参考: ``` import java.io.UnsupportedEncodingException; import java.security.InvalidKeyException; import java...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值