Oauth2---JWT非对称加密 的公钥和私钥、验证token是否合法

最新推荐文章于 2024-08-02 23:35:23 发布
最新推荐文章于 2024-08-02 23:35:23 发布
阅读量3.6k 收藏 20
点赞数 6
文章标签: jwt 加密解密 oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/awodwde/article/details/113900779
版权

非对称加密算法需要两个密钥: 公开密钥 和 私有密钥。 公钥和私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。

甲方 生成一对密钥,将公钥公开,需要向甲方发送信息的其他角色(乙方)使用公钥对机密信息进行加密之后发送给甲方。甲方再利用自己的私钥对加密后的信息进行解密

私钥签名令牌  公钥验证 (项目中的JWT原理)

  • 张三有两把钥匙,一把是公钥,另一把是私钥。
  • 张三把公钥送给他的朋友们----李四、王五、赵六----每人一把。
  • 李四要给张三写一封保密的信。她写完后用张三的公钥加密,就可以达到保密的效果。

  • 李四要给张三写一封保密的信。她写完后用张三的公钥加密,就可以达到保密的效果
  • 张三收信后,用私钥解密,就看到了信件内容。这里要强调的是,只要张三的私钥不泄露,这封信就是安全的,即使落在别人手里,也无法解密。

重点是:张三给李四回信

张三给李四回信,决定采用"数字签名"注:这个过程就是JWT的签名防篡改。他写完后先用Hash函数,生成信件的摘要(digest)。张三将这个签名,附在信件下面,一起发给李四

 

 

李四收信后,取下数字签名,用张三的公钥解密,得到信件的摘要。由此证明,这封信确实是张三发出的。李四再对信件本身使用Hash函数,将得到的结果,与上一步得到的摘要进行对比。如果两者一

致,就证明这封信未被修改过。

 

 

 

传统的: 验证token是否合法

题外话: 当用户拿着从授权服务得到的token去访问资源服务器,资源服务器是将token返回给授权服务验证,验证token是否合法

 

这样就会导致,大量的从资源服务器到授权服务器的请求,如何优化呢?就是采用的非对称加密

 

jwt的组成:

  1. 头部
  2. 载荷
  3. 签证(核心点)

更新后:采用了非对称加密算法之后的访问 == > 减少了资源服务器和授权服务器之间的频繁的验证

使用私钥,注意这里授权服务是使用私钥生成jwt令牌的签名部分,防止jwt被篡改

资源服务器 可以使用公钥对令牌进行 合+

法性的校验

所以说:公钥和私钥的作用不只是:公钥进行加密,私钥进行解密。我们还可以利用私钥进行签名,生成令牌,然后公钥 校验令牌签证的合法性

 

 

 

你在狗叫什么、
关注
基于jwttoken验证
weixin_34266504的博客
06-06 1071
一、什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该t...
oauth2 jwt非对称加密配置_Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器
weixin_36180471的博客
01-15 1089
概要之前的两篇文章,讲述了Spring Security 结合 OAuth2 、JWT 的使用,这一节要求对 OAuth2、JWT 有了解,若不清楚,先移步到下面两篇提前了解下。Spring Boot Security 整合 OAuth2 设计安全API接口服务Spring Boot Security 整合 JWT 实现 无状态的分布式API接口这一篇我们来实现 支持 JWT令牌 的授权服务器。优...
公钥私钥JWT
最新发布
weixin_59916379的博客
08-02 771
②使用非对称加密方式的JWT:再次对 Header 和 Payload 进行 Base64Url 解码,根据Header中指定的算法对Header 和 Payload 计算哈希值,使用公钥对签名部分(Signature)解密得到被私钥加密的哈希值。因此需要将自己持有的公钥对签名进行解密,得到了文本的摘要,然后使用发送方指定的的HASH算法计算文本的摘要,再与解密得到的摘要做对比,发现二者完全一致,则说明文本没有被篡改。签名:使用私钥对需要传输的文本的摘要进行加密,得到的密文即被称为该次传输过程的签名。
jwt公钥私钥
m0_57236802的博客
03-26 694
是的,JSON Web Tokens (JWT) 在使用RS256(RSA Signature with SHA-256)这类基于RSA的签名算法时,会涉及到公钥私钥JWT也可以使用对称密钥(如HS256 - HMAC with SHA-256)进行签名,但在这种情况下,只使用一个密钥来签名和验证,这个密钥在发送者和接收者之间共享。
php 前后端 请求 加密_SpringBootSecurity学习(16)前后端分离版之 OAuth2.0 加密配置...
weixin_39517199的博客
11-26 179
示例代码的改进前面使用spring cloud security和spring cloud oauth2写了一个第三方授权的例子,例子非常的简单,主要目的是用来熟悉OAuth2.0 申请授权的整个流程,这个简单的示例肯定是不能直接用于生产环境的,还有很多需要改进的地方,我们来总结一下:1、只演示了授权码的形式,其它的三种(隐藏式,密码式,客户端凭证)并没有熟悉2、密码和秘钥是未加密的3、oauth...
gateway oauth2 对称加密_Spring Security OAuth2 实现 使用JWT-不想当码农的程序员
weixin_39788386的博客
12-22 613
回过头来说一下资源服务 器的问题点吧,这里OAuth2+JWT用的是springsecurity ,具体怎么用springsecurity 搭建资源服务 器我就不说了。这里要讨论的问题是这样的,我们希望在spring mvc中,直接通过如下的形式获得登录用户信息@GetMapping("/me") public Authentication me(OAuth2Authentication...1、...
Oauth2+JWT 加密token
技术札记
07-08 9429
JWT 对称加密 JWT将 相关信息放在 令牌里 jwt全称 JSON Web Token。这个实现方式不用管如何进行存储(内存或磁盘), 因为它可以把相关信息数据编码存放在令牌里 。JwtTokenStore 不会保存任何数据, 但是它在转换令牌值以及授权信息方面与 DefaultTokenServices 所扮演的角色是一样的。 安全性 OAuth2提供了JwtAccessTokenCo.........
cloud-oauth2-jwt
04-30
标题 "cloud-oauth2-jwt" 暗示这是一个关于云环境下的OAuth2与JWT(JSON Web Token)的项目。OAuth2是一种授权框架,用于安全地授予第三方应用访问用户资源的权限,而JWT则是一种轻量级的身份验证和授权机制,它通过...
SpringSecurityOauth2授权模式与使用RSA非对称加密方式生成公钥私钥
DreamsArchitects的博客
11-17 5314
文章目录一、用户认证分析1.1 认证与授权身份认证用户授权1.2 单点登录1.3 第三方登录二、认证技术方案了解(单点登录+第三方授权认证)2.1单点登录技术方案2.2 Oauth2认证三、SpringSecurity Oauth2.0入门导入依赖Oauth2授权模式授权码模式授权四、公钥私钥加密解密生成证书mac下载openssl安装openssl方式一 使用brew命令安装openssl方式二导出公钥基于私钥生成jwt令牌 一、用户认证分析 上面流程图描述了用户要操作的各个微服务,用户查看个人信息需要
OAuth2:使用JWT和加密签名
冲出仁川,走出马德里,故事还会再继续
03-05 5370
OAuth2:使用JWT和加密签名1、简介2、使用JWT以及对称密钥签名的令牌2.1 使用JWT2.2 实现授权服务器以颁发JWT2.2.1 项目依赖2.2.2 配置JwtTokenStore2.2.3 为授权服务器配置用户管理2.2.4 启动项目获取访问令牌2.3 实现使用JWT的资源服务器2.3.1 项目依赖2.3.2 添加测试端点2.3.3 资源服务器的配置类2.3.4 测试3、使用通过JWT和非对称密钥签名的令牌3.1 什么是非对称密钥对?3.2 生成密钥对3.3 实现使用私钥的授权服务器3.3.1
JWT公钥私钥操作工具类
03-10
JWT公钥私钥操作工具类
OAuth2.0实战(三)-使用JWT
JavaEdge全是干货的技术号
10-19 2864
授权服务的核心就是颁发访问令牌,而OAuth 2.0规范并没有约束访问令牌内容的生成规则,只要符合唯一性、不连续性、不可猜性。可以灵活选择令牌的形式,既可以是没有内部结构且不包含任何信息含义的随机字符串,也可以是具有内部结构且包含有信息含义的字符串。 之前生成令牌的方式都是默认一个随机字符串。而在结构化令牌这方面,目前用得最多的就是JWT令牌。 什么是JWT? JSON Web TokenJWT)是一个开放标准(RFC 7519),它定义了一种紧凑、自包含的方式,作为JSON对象在各方之间安全地传输信息,
jwt私钥公钥怎么获取_公钥私钥
weixin_34369597的博客
12-29 7187
在对称加密的时代,加密和解密用的是同一个密钥,这个密钥既用于加密,又用于解密。这样做有一个明显的缺点,如果两个人之间传输文件,两个人都要知道密钥,如果是三个人呢,五个人呢?于是就产生了非对称加密,用一个密钥进行加密(公钥),用另一个密钥进行解密(私钥)。1.公钥私钥原理张三有两把钥匙,一把是公钥,另一把是私钥。张三把公钥送给他的朋友们—-李四、王五、赵六—-每人一把。李四要给张三写一封保密的信。她...
jwt私钥公钥怎么获取_一文讲解JWT用户认证全流程
weixin_39949889的博客
02-01 2338
一、什么是JWT(what)JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在各方之间安全地传输信息。JWT是一个数字签名,生成的信息是可以验证并被信任的。使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥JWT进行签名。JWT是目前最流行的跨域认证解决方案1.1 JWT令牌结构SON Web令牌以紧凑的...
生成jwt私钥公钥
冰冰
08-16 571
生成公钥: keytool -genkeypair -alias guobing -keyalg RSA -keypass guobing -keystore guobing.jks -validity 365 -storepass guobing --查看字段意思 keytool -genkeypair --help 解析公钥: keytool -list -rfc --keystore bing.jks| openssl x509 -inform pem -pubkey ...
java 使用jks公钥字符串 验签jwt Token
qq_31683775的博客
07-20 234
在登录时使用秘钥对的私钥加密jwt Token,那么在验证jwt时,就需要提供秘钥对的公钥,同时项目中已经存在该秘钥对的公钥,是以文件的方式存放.那么我们如何用这个公钥字符串文件来验证jwt?在spring security 和 oauth2 的整合中,使用文件名为 oauth2.jks 的文件作为密钥对.jks中存储了一个密钥对,包括私钥公钥.
OAuth2.0公钥私钥授权技术
XYZ
08-21 3301
传统的资源服务授权流程如下: 客户端先去授权服务器申请令牌,申请令牌后,携带令牌访问资源服务器; 资源服务器访问授权服务器校验令牌的合法性; 如果校验成功,授权服务器返回用户信息给资源服务器; 资源服务器接收到校验成功的结果后,返回客户端请求的资源。 传统授权方法的问题是用户每次请求资源服务,资源服务都需要携带令牌访问认证服务去校验令牌的合法性,并根据令牌获取用户的相关信息,性能低下。 为了避免每次资源服务器反复校验令牌的合法性,我们可以利用公钥私钥完成对令牌的加密,如果加密解密成功,则表示令牌合法
公钥私钥,傻傻分不清楚!
numbbe的博客
11-01 1222
公钥用于加密,私钥用于解密。 私钥用于签名,公钥用于验证。 综上所述: 公钥和秘钥,这一对组合,一般成对出现,共有两种用途: 1、加密 2、签名 所以不要把这个东西搞混了,非常容易混淆。
oauth2-jwt-server
04-30
OAuth2-JWT-Server是一个基于OAuth2.0和JSON Web Tokens(JWTs)的认证和授权解决方案。它提供了一种可扩展的方式来管理和保护API,允许定义用于访问API的权限范围和角色。OAuth2-JWT-Server授权服务器允许应用程序...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你在狗叫什么、

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值