Security Token Service-STS和SAML Token

最新推荐文章于 2023-03-17 20:57:00 发布
最新推荐文章于 2023-03-17 20:57:00 发布
阅读量769 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alalay168/article/details/9095031
版权

sts的出现是为了解决server对client的信任问题。

sts引进了一个被信任的第三方来解决安全访问的问题。这个被信任的第三方就是STS服务器。我把这种通过引入第三方的方式称作“叫来一个神”。支付宝在交易时就是这样一个角色。

sts服务器是同时被client和server所信任的第三方。当client发出请求时,首先会被重定向到sts服务器,sts服务器校验过client的saml token之后,发放给client一个安全标记(security token),比如saml token。(安全标记里是关于client的声明,有sts服务器的签名。一旦有了签名,server端就认为client端是可信任的。)client端得到security token后,就生成一个request,并且把security token包含进去,发送给server。server收到之后校验一下有sts的签名并且没被篡改过,就可以访问服务了。

整个过程如下图示:



sts发放的security token,一般是saml token,这里简单说下关于saml token。saml token是用xml语言写的安全标记,用来交换安全信息。saml token之所以重要是因为一它可以跨平台交互,二它可以使处于不同安全domain的server和client交换安全信息。



Alalay168
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security OAuth2 源码分析(三) TokenServices
咖啡的博客
03-20 2163
TokenGranter 获取 Token 的最后一步中, 调用了 tokenServices 的 createAccessToken 方法,源码如下: protected OAuth2AccessToken getAccessToken(ClientDetails client, TokenRequest tokenRequest) { return tokenServices.cr...
spring-oauth2
weixin_48155735的博客
02-27 345
oauth
(五)SpringCloud+Security+Oauth2--自定义ResourceServerTokenServices优化oauth2性能
Instanceztt的博客
12-06 744
通过前面的分析我们知道了oath2在对token进行校验的时候会向客户端端发送一次token校验的请求,这样一来 我们可以自定义一个ResourceServerTokenServices直接从tokenstore中去获得Authcation 加载到安全上下文即可 注意要加上保证在token校验时强制使用该实现
TokenService
ziqi688的博客
03-17 58
https://github.com/ng-alain/delon/blob/master/packages/auth/src/token/token.service.ts set(data: ITokenModel): boolean { const res = this.store.set(this._options.store_key!, data); this.chang...
【清晨平台记录一】平台说明、思路+代码框架
键上艺术家
06-17 572
想自己开发一个项目,熟悉一下项目流程,打算从项目的整个流程开始分析,包括【设计】、【研发】、【测试】。 项目暂定包含几大模块,从用户使用角度:用户模块、博客模块、商品模块、交易模块。 其实就是基本实现多用户下的博客系统和商城系统。..................
bpmn-js-token-simulation:用于令牌模拟的bpmn-js扩展
05-11
npm install bpmn-js-token-simulation 作为附加模块添加到 。 造型师 var BpmnModeler = require ( 'bpmn-js/lib/Modeler' ) ; var tokenSimulation = require ( 'bpmn-js-token-simulation' ) ; var modeler = ...
Security Token Signing - HoaDon.Online-crx插件
04-04
语言:Tiếng Việt 扩展Matbao安全令牌在线签名。 安全令牌签名 - Hoa Don Dien Tu Mat Bao </ P>
03-后台用户登录-Token模块-已解锁
01-08
03-后台用户登录-Token模块-已解锁
Teino1978-Corp-spring-security-csrf-token-interceptor-
04-29
#spring-security-csrf令牌拦截器一... #安装### Via Bower $ bower install spring-security-csrf-token-interceptor###通过NPM $ npm install spring-security-csrf-token-interceptor#Usage将其作为对您的应用程序
spring cloud笔记 oauth2授权服务 默认tokenService配置源码
路过君的博客
03-23 3096
AuthorizationServerEndpointsConfiguration ... private AuthorizationServerEndpointsConfigurer endpoints = new AuthorizationServerEndpointsConfigurer(); ... //注册工厂 @Bean public FactoryBean<Authorizat...
atitit.TokenService  token服务模块的设计
weixin_34221332的博客
03-08 138
atitit.TokenService  token服务模块的设计     1. Token的归类1 2. Token的用途2 2.1. 访问控制2 2.2. 编译原理术语)编辑2 2.3. 数据处理2     1. Token的归类 Token, 令牌,代表执行某些操作的权利的对象 访问令牌(Access token)表示访问控制操作主题的系统对象 邀请码,在邀请系统中使用 Token, ...
简单易懂的Security Token Service实例以及介绍
makeuknow
09-29 8235
首先我们来说说STSSecurity Token Service)的最简生命周期,当然这是要基于WIF(Windows Identity Foundation)框架的。 一.  分析传入数据的可用性,并创建SignInRequestMessage WSFederationMessage提供CreateFromUri以及CreateFromNameValueCollection等简单的
再见Spring Security!推荐一款功能强大的权限认证框架
m0_63213529的博客
10-25 456
在我们做SpringBoot项目的时候,认证授权是必不可少的功能!我们经常会选择Shiro、Spring Security这类权限认证框架来实现,但这些框架使用起来有点繁琐,而且功能也不够强大。最近发现一款功能强大的权限认证框架Sa-Token,它使用简单、API设计优雅,推荐给大家! Sa-Token简介 Sa-Token是一款轻量级的Java权限认证框架,可以用来解决登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权等一系列权限相关问题。 框架集成简单、开箱即用.
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 3662
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-Token和Spring WebFlux集成Sa-Token这两个常用的开发框架。......
在OAuth 2中模仿DefaultTokenServices写一个新的tokenServices来提供个性化服务
博客模板
05-07 1520
/* * Copyright 2008 Web Cohesion * * Licensed under the Apache License, Version 2.0 (the "License"); you may not use this file except in compliance with * the License. You may obtain a copy of th...
webservice接口token获取与验证
withawind的博客
07-02 8201
之前项目中用到了APP接口问题 在项目中一般会用到webservice与websocket来实现接口数据的接收与发送即信息的传递 web是实时接收发送数据 ---暂且不说 下面说下webservice接口的实现方式 --什么是webservice 链接https://baike.so.com/doc/5411995-5650117.html 下面来说下在Javaspring...
Redis +Token 实现接口幂等性
热门推荐
xueguchen的博客
03-01 2万+
1.幂等性 幂等:任意多次执行所产生的影响均与一次执行的影响相同 接口幂等性: 在HTTP/1.1中,对幂等性进行了定义。它描述了一次和多次请求某一个资源对于资源本身应该具有同样的结果(网络超时等问题除外),即第一次请求的时候对资源产生了副作用,但是以后的多次请求都不会再对资源产生副作用。 即,任意多次执行对资源本身所产生的影响均与一次执行的影响相同 2.非幂等操作的问题 前端重复提交表单 恶意刷单 接口超时重复提交:很多时候 HTTP 客户端工具都默认开启超时重试的机制,尤其是第三方调用接口时候,为了防
springboot+Oauth2源码的BUG——重写源码DefaultTokenServices
huhanguang89的博客
05-26 6793
事实上,任何代码都有或多或少的缺陷,世界上根本就没有完美的代码,包括各种我们常用的工具包。Oauth2的源码配置中就是遇到了这样的问题。 或许是最初的设计有问题,每种手机APP的客户端都是共用了一套账户密码,采用Oauth2.0的验证方式调用后台API接口。但是当客户端数据并发以后,获取accesstoken的方法并发就出现了问题。在Oauth2.0的源码中,是通过删除accesstoken的记
spring security和sa-token
最新发布
09-16
Spring Security和sa-token都是用于实现登录和授权功能的安全框架。然而,它们在设计理念和实现方式上有所不同。 Spring Security是一个功能强大的安全框架,提供了许多高级特性和丰富的扩展点,适用于大型和复杂的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值