JWT和Oauth认证登录

最新推荐文章于 2024-05-03 00:02:24 发布
最新推荐文章于 2024-05-03 00:02:24 发布
阅读量602 收藏 1
点赞数
分类专栏: 权限认证 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XY3028/article/details/108270293
版权

一:JWT

1.JWT : Json web token,是一款轻量级的用于通信双方信息传递的载体。
官方给出的定义是:基于JSON、在网络间进行通信的令牌。

2.主要有头部,载荷和签名三部分组成。
其中:
头部:存放的是加密算法和令牌形式;
载荷:存放的主要是通信的内容,且不能存放敏感的信息(主要是用户的账号和角色码);
签名:存放头部和载荷以及密钥;

3.加密的算法主要有两种:
①HMSA的对称式加密,具体的就是HS256对称式加密。
HS256加密算法,具体是先对头部和载荷利用base64加密(此加密方式是可以解密的,所以也就是为什么载荷中不能放重要信息,容易被解密)然后用密钥对签名进行解密,并拿着解密后的信息同解密的头和载荷进行信息的校验。能有效的防止其他用户篡改用户信息进行未读伪登录。(密钥是保存在服务器端的)
②RSA非对称式加密,即有公钥和私钥的形式。具体是通过私钥对头和载荷进行加密,然后用公钥作为签名来解密。这样一来,加密和解密用的就不是同一密钥,更能保证通信数据的安全性。

4.之所以用JWT作为存储通信载体的原因有如下优势:
采用json形式容易解析;
可以自定义内容;
有效防止数据被篡改;
不依赖认证服务就能直接完成授权;
当然也有它自身的缺点:如果内容很多,那么经加密后数据很长,存储在浏览器端的cookie中就变得不合时宜。

5.JWT 的json格式:
{
“access_token”: “”, jwt

“refresh_token”: “”,刷新令牌
“expire_time”: “”, 过期时间
“jti”: “”, 短标识
}

6.微服务鉴权的思路流程
当用户在浏览器端发起请求,经网关后有一个自定义的全局过滤器,来判断当前请求(通过lb:):
①是登录请求
②是请求其他微服务;
如果是①,则放行,将其路由到system_service_user微服务进行登录,登录成功后生成一个token(即是jwt),返还至浏览器,将其存储在cookie中;当再次请求时,会在请求的header中以key:value的形式进行携带,首先会在过滤器中进行过滤是否携带了token(也即是jwt),而后对其进行密钥解密,进行信息的校验,和判断当前的token是否过期,如果校验通过则路由到请求服务。
如果是②则需要校验是否携带了token进行解析当前请求的去从。

二:Oauth2
Oauth 是一种认证协议的通用标准,实现跨系统认证。
1.可以实现的功能有:
①.本系统访问第三方系统资源 即是:第三方认证登录
②.外部系统访问本系统资源
③.本系统前端访问本系统后端微服务的资源
④.本系统各个微服务之间相互访问资源。 即是:单点登录

2.单点登录
有CAS单点登录 和 Oauth2的单点登录

3.第三方认证登录
Oauth2最常用的模式主要是 授权码模式 和 密码模式

授权码模式核心是:
先获取到授权码;
基于授权码获取到令牌;
基于令牌获取到受保护的资源信息;
密码模式则不需要获取授权码,直接是使用用户和密码去oauth服务中认证。
ouath2只是一个协议,具体的解决方案是springSecurity Oauth2,springSecutiry 集成了Oauth2协议

4.微服务项目完成用户认证即授权操作
主要基于的技术:spring Security + Oauth2 + JWT(未完待续)

3028_yue
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
单点登录JWTOAuth2
weixin_45908458的博客
11-07 1314
单点登录在我们日常的业务开发中十分常见,单凡需要完成用户中心模块的开发都离不开单点登录,所以本文就来聊聊关于单点登录的那些事儿。首先,我们来看一看用户身份认证有哪些方式。 一、用户身份认证的方式 1. 单一服务器模式 ​ 单一服务器模式的实现原理十分简单,只需要将用户的相关登录数据(如用户名)存入session即可。随后服务器向用户返回session_id,session信息都会写入到用户的cookie,用户的每个后续请求都将通过在Cookie中取出session_id传给服务器,服务器收到sessio
OAuth 整合 JWT—— 公钥私钥的获取以及使用
qq_44617148的博客
03-28 2482
准备工作 首先我们先下载一个OpenSSL,为了方便下面的操作 链接:https://pan.baidu.com/s/13-Z9FmYbMK-LzJsBNs_QFg 提取码:2pr4 下载完成后,解压到你需要存放的位置 3.然后我们需要配置一下path环境变量,准备工作就完成了 私钥和公钥的获取 为了更加直观,我们先创建一个文件夹保存私钥 2.打开我们电脑的命令行界面,并去到我...
spring boot +spring Security+ jwt+oauth2.rar
06-13
下载可以直接运行。使用mysql保存数据。包括数据文件、测试过可以正常使用(API权限可控) 服务器端和客户端样例程序都有
OAuth2+JWT认证
qq_28326501的博客
06-22 653
一:OAuth2认证 思路: 【1】:服务创建及pom文件
2024年最全OAuth2和JWT - 如何设计安全的API?
最新发布
2401_84302369的博客
05-03 624
链接:www.jianshu.com/p/1f2d6e5126cb本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT)假设:你已经或者正在实现API;你正在考虑选择一个合适的方法保证API的安全性;要比较JWTOAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。JWT提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。
用户登录鉴权JWT代码实现
weixin_48143996的博客
12-07 1259
实现流程 1、用户请求登录 2、Zuul将请求转发到授权中心,请求授权 3、授权中心校验完成,颁发JWT凭证 4、客户端请求其它功能,携带JWT 5、Zuul将jwt交给授权中心校验,通过后放行 6、用户请求到达微服务 7、微服务将jwt交给鉴权中心,鉴权同时解析用户信息 8、鉴权中心返回用户数据给微服务 9、微服务处理请求,返回响应 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zmAXhGQA-1638864819933)(https://img-community.cs
shiro-jwt-oauth权限认证
11-11
2. **基于Shiro-JWT-OAuth认证方式**:这是更复杂的一种认证策略,结合了Shiro的权限管理功能和JWT以及OAuth2.0的授权流程。用户首先通过OAuth2.0流程获取访问令牌,然后使用该令牌获取JWT。Shiro负责处理JWT的...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring Security是Spring框架的一个模块,专门...
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
服务器在认证成功后,会生成一个 JWT 并发送给客户端,客户端在后续请求中携带此 JWT,服务器通过验证 JWT 来确认用户的身份和权限。 JWT 的结构由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
总的来说,Spring Boot + Spring Security + JWT的组合提供了一个强大且可扩展的用户认证和权限管理系统,适用于各种现代Web应用。在实际开发中,根据项目需求,可能还需要考虑如密码加密、刷新令牌、多因素认证等...
基于JWT OAUTH2 SpringSecurity单点登录
01-30
基于JWT OAUTH2 SpringSecurity单点登录 . 单点登录流: 1. 访问client1 2. `client1`将请求导向`sso-server` 3. 同意授权 4. 携带授权码`code`返回`client1` 5. `client1`拿着授权码请求令牌 6. 返回`JWT`令牌 7. `client1`解析令牌并登录 8. `client1`访问`client2` 9. `client2`将请求导向`sso-server` 10. 同意授权 11. 携带授权码`code`返回`client2` 12. `client2`拿着授权码请求令牌 13. 返回`JWT`令牌 14. `client2`解析令牌并登录
JWTOAuth2.0
Kard的博客
12-31 8517
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。 OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
SpringBoot整合OAuth2和Jwt实现第三方登录
weixin_43873712的博客
06-24 2039
SpringBoot整合OAuth2和Jwt实现第三方登录 一、OAuth2的使用场景 现代微服务中系统微服务化以及应用的形态和设备类型增多,不能用传统的登录方式 核心的技术不是用户名和密码,而是token,由AuthServer颁发token,用户使用token进行登录 二、OAuth详解 2.1 什么是OAuth 2.2 OAuth的优势 2.3 OAuth术语 2.4 OAuth2令牌的类型 三、和SpringBoot整合 3.1 准备工作 首先注册微信开放平台账号 微信开放平台 邮箱
oauth2+JWT实现oauth2服务
jswd_50x的博客
09-07 3036
原文链接
基于jwt登录/注册功能实现
small_MQ的博客
03-15 549
# views.py # 登录视图 class LoginView(ViewSet): # 登录 @action(methods=['POST'], detail=False) def login(self, request, *args, **kwargs): ser_obj = ser.UserModelSerializer(data=request.data) if ser_obj.is_valid(): token =
jwt实现注册与登陆系统
张致豪
08-01 5251
前言 自己用react+koa实现了一个包含登陆和注册功能的网址,在这里记录一下实现过程 项目地址: 预览地址: 注册 注册其实没什么好说的,就是要注意不要明文保存密码,否则数据库泄露后,密码会被其他人用来撞库使用。 前台加密主要是为了防止post请求明文传递密码,本来我想在前端加密,然后数据库直接保存加密的密码到数据库,登陆时传递加密后的密码进行登陆,但是前端使用的加密工具加密同一个密码每次都...
SpringBoot整合Spring Security+JWT实现用户注册登录
qq_40126996的博客
08-02 5379
最近在做一个自己的项目,前后端分离的项目,于是整合了一下Spring Security和JWT来实现后端系统的用户登录,自己以前没有使用过Spring Security所以这次踩坑之后记录下来。 该文较长,请耐心阅读,需要整合这部分的可以给到你一些帮助。 一、整合JWT 1.1 pom包 <!-- jwt依赖 --> <dependency> <groupId>io.jsonwebtoken</gro.
JWTOAuth的区别
weixin_44371237的博客
06-18 1085
JWT是一种认证协议 JWT是用在前后端分离, 需要简单的对后台API进行保护时使用。 OAuth2是一种授权框架 OAuth2用在使用第三方账号登录的情况(比如使用weibo, qq, github登录某个app)
springsecurity+jwt+oauth2
04-30
使用Spring Security的JWTOAuth2.0,我们可以实现几种不同的认证和授权模式,例如,密码模式、授权码模式和刷新令牌模式等。每种模式都具有自己的使用场景和优缺点。例如,密码模式适用于Web应用程序需要进行用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值