Spring Security Oauth2 JWT

最新推荐文章于 2022-12-29 12:08:19 发布
最新推荐文章于 2022-12-29 12:08:19 发布
阅读量85 收藏
点赞数
文章标签: java jwt https 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dadawdawdadadw/article/details/108023829
版权

什么是单点登录

  • 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。 SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统

单点登录实现方案

  • 自己平台权限对接
    • 1、Apache Shiro框架
      2、CAS 框架(耶鲁大学的开源项目)
      3、Spring security CAS (spring的开源项目)
  • 第三方平台对接
    • springSecurityOauth2框架
    • 此框架可以对接第三方登录平台,也可以让其他服务对接自己的登录系统
  • 特点:
    • 1、认证系统为独立的系统。
      2、各子系统通过Http或其它协议与认证系统通信,完成用户认证。
      3、用户身份信息存储在Redis集群。

Jwt是什么以及作用

  • 组成 : 头部 + 载体 + 签名(编码+加密) = jwt
  • 公钥和私钥生成(采用非堆成加密 , 生成密钥证书 下边命令生成密钥证书,采用RSA 算法每个证书包含公钥和私钥 )
keytool -genkeypair -alias changgou -keyalg RSA -keypass changgou -keystore changgou.jks -storepass changgou

Keytool 是一个java提供的证书管理工具

-alias:密钥的别名 
-keyalg:使用的hash算法 
-keypass:密钥的访问密码 
-keystore:密钥库文件名,changgou.jks保存了生成的证书 
-storepass:密钥库的访问密码

查询证书信息:

keytool -list -keystore changgou.jks

导出公钥

openssl是一个加解密工具包,这里使用openssl来导出公钥信息。
安装 openssl:http://slproweb.com/products/Win32OpenSSL.html

配置openssl的path环境变量
cmd进入changgou.jks文件所在目录执行如下命令:

keytool -list -rfc --keystore changgou.jks | openssl x509 -inform pem -pubkey

加密算法

  • 可你加密(加密后可以解密)
    • 对称加密(同一把钥匙加密解密,安全性较低)
    • 非对称加密(私钥加密,公钥解密,安全性较高)
  • 不可逆加密(加密后不能进行解密)
    • 例如:MD5

什么是oauth2

  • oauth2是一个协议,是一个互联网上关于授权鉴权的标准流程协议,如果我们都按照这个协议去开发我们的权限系统,可以相互对接

oauth2四种认证模式

  • 授权码模式(Authorization Code):可以第三方授权(比较难)
  • 隐私授权模式(Implicit)只要页面,没有后端的情况下使用(一般是前端使用)
  • 密码模式(Resource Owner Password Credentials):系统内部授权使用(说白了,就是自己公司使用,不进行对接)

第三方登录技术认证流程

  • 授权流程图:
    在这里插入图片描述
    在这里插入图片描述
    • 与第三方登录对接需要签署专门协议
    • 携带着协议中对应的参数去访问资源拥有者服务器
    • 资源拥有者验证成功返回授权码
    • 客户端携带授权码,消费地址,访问认证服务器,返回登录页面
    • 消费者输入用户名密码进行登录
    • 返回token
    • 客户端携带token访问资源服务器获取用户头像等信息
    • 返回用户的基本信息
  • 客户端模式(Client Credentials): 需要完全信任客户端, 最简单的授权模式, 最不安全, 一般不用.

畅购认证的解决方案

在这里插入图片描述

授权鉴权流程

  • 授权流程
  • 消费者发送请求访问网关, 刚开始没登陆, 网关将请求重定向到认证系统changgou-user-oauth
  • 认证系统中有登录页面, 消费者看到登录页面输入用户名密码, 认证系统通过feign远程调用changgou_service_user用户系统, 校验用户名密码是否正确, 不正确, 重定向到登录页面重新登录
  • 如果正确, 将获取到的jti短令牌作为key, jwt长令牌作为value存入redis中保存
  • 并且将jti短令牌放到用户浏览器cookie中保存, 授权流程完成

授权&鉴权描述总结:

  • 我们做的权限主要分为两大步骤,一个是授权,一个是鉴权,用户在访问服务器资源时,都会通过一个网关微服务,进行鉴权,没有权限重定向到登录页面进行授权保存jti到cookie,有权限,从cookie中取出jti短令牌通过短令牌从redis中获取对应的jwt,将jwt设置在请求头放行.在各个业务系统中进行解析jwt,能成功解析就能访问资源,不能解析让他登录. (技术: spring oauth2协议 spring security , 非对称加密算法 redis等 )
li_chunsheng_vip
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
从头搭架构SpringCloud(六):权限认证spring security + oauth2 +jwtjwtjwt加密
摩尔__摩尔的博客
07-02 341
JWT,全称是Json Web Token,是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权; JWT的token包含三部分数据: Header:头部,JWT 头描述了 JWT 元数据,是一个 JSON 对象通常头部有两部分信息,它的格式如下: 声明类型,这里是JWT 加密算法,自定义 json{“alg”:“HS256”,“typ”:“JWT”} alg 属性表示签名所使用的算法,JWT 签名默认的算法为 HMAC SHA256 , alg 属性值 HS256
学成在线 - Spring Security Oauth2 JWT 资料.zip
07-30
总的来说,这个压缩包提供了学习和实践Spring SecurityOAuth2和JWT集成的全套资源,包括数据库配置、公钥管理和实际的项目代码。通过研究这些材料,开发者可以深入理解如何构建一个安全的、基于令牌的身份验证和...
搭建认证服务器 - Spring Security Oauth2.0 集成 Jwt 之 【密码认证流程】 总结
qq_42378797的博客
12-24 416
在搭建介绍流程之前,确保您已经搭建了一个 Eureka 注册中心,因为没有注册中心的话会报错(也有可能我搭建的认证服务器是我项目的一个子模块的原因):Request execution error. endpoint=DefaultEndpoint{ serviceUrl='http://localhost:8761/eureka/} http://localhost:8761/eureka/ 是因为配置文件未提供注册中心地址,springcloud 默认的注册中心地址就是这个 另外:文末会提供所有代码 .
spring security oauth2 password模式简单入门二(jwt对称以及非对称加密配置)
zuoyigehaizei的博客
09-10 1909
spring security oauth2 改进 使用JWT认证 接着上一篇spring security oauth2 入门,之后网上查阅了一些资料,准备对oauth2修改使用jwt的模式认证,使用jwt有两种认证方式1,对称加密方式。2,非对称加密方式,本文将逐一介绍 1,对称加密方式,此种方式很简单,因为配置资源服务器和认证服务器在同一个应用中,所以只要在认证服务器配置中稍作修改...
12. spring security oauth2和 JWT (2刷)
qq120631157的博客
08-25 436
JWT json web token 紧凑 且自包含的标准 HMAC算法 或 RSA(非对称加密)对 JWT进行签名 紧凑形 自包含 JWT 构成,3部分, 分别 . 分隔 Header Payload 有效荷载 Signature 签名 xx.yy.zzz header 两部分构成:令牌类型 和 使用的算法类型 令牌类型:HMAC,SHA256,RSA { "alg":"HS256", "typ":"JWT" } 使用 Base64 Payload 用户信息 和 Claim (声明,权利) 有
SpringSecurity+JWT+OAuth2
m0_46219348的博客
12-28 3449
一个简洁的博客网站:http://lss-coding.top,欢迎大家来访 学习娱乐导航页:http://miss123.top/ 1. Spring Security 简介 1.1 概述 什么是安全框架?解决系统安全问题的框架,如果没有安全框架。我们需要手动处理每个资源的访问控制,非常麻烦,使用安全框架,我们可以通过配置的方式实现对资源的访问控制。 1.2 常用安全框架 Spring SecuritySpring 家族的成员,是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解.
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
spring security oauth2 实现jwt sso
11-14
Spring Security OAuth2 与 JWT 实现的SSO详解 在当今的互联网应用中,单点登录(Single Sign-On,简称SSO)已经成为一种常见的身份验证机制,它允许用户在一个系统中登录后,无需再次登录就能访问其他关联系统。在...
Spring Security OAuth2实现使用JWT的示例代码
08-27
Spring Security OAuth2 实现使用 JWT 的示例代码 在本文中,我们将讨论如何使用 Spring Security OAuth2 实现使用 JSON Web Tokens(JWT),并提供了一个完整的示例代码。 Spring Security OAuth2 介绍 Spring ...
SpringSecurity(二十三)--OAuth2:使用JWT加密签名(上)对称密钥加密
学习不止境的博客
12-29 1670
最近阳了所以一直都在休整,大家一定要注意身体,能不阳就不阳,如果阳康后还是一直咳嗽,最好是能去医院看看,这绝对不是专家口中所说的新冠感冒那么简单,也绝对不是什么80%的无症状,大家不要放松警惕,仅以我个人观点发声,身体才是最重要的。好了,接下来步入正题,终于,我们也迎来了Spring Security的尾声,学习完jwtTokenStore之后,Spring Security的主要内容学习就告一段落,之后我可能还会更新一些这方面的拓展,例如全局方法安全性,但这些都是后话了。
Spring security + Oauth2 + Jwt认证鉴权方案
TylerGuoj的博客
05-20 5148
基础概念 用户身份认证 用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式 用户授权 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问 http 3xx 重定向状态码 重定向状态码用来告诉浏览器客户端,它们访问的资源已被移动, Web服务器发送一个重定向状态码, 告诉客户端新的资源地址在哪。浏览器客户端会根据提供的地址,重新发送新的Reques
Spring Security+Oauth2+JWT实现用户登录逻辑,以及使用login接口登录成功返回token获取
z132411的博客
05-07 4627
目录 pom引入 配置Spring Security 1.实现UserDetailsService接口 2.登录成功处理 3.登录失败处理 4.登出处理 5.没有权限处理设置 6.匿名用户访问处理 7.指定加密方式 8.WebSecurityConfig配置 oauth2处理 配置授权服务器 配置资源服务器 jwt配置 jwt转换器 jwt扩展存储 本文整合了前两篇文章,再结合Oauth2实现了单点登录的基本处理。 之前的文章: SpringBoot整合Spring
权限管理 springboot集成springSecurity Oauth2 JWT
qq_50909707的博客
10-06 6772
实现SpringSecurity里的UserDetailsService接口的LoadUserByUsername方法便可以实现自定义登录逻辑。以下代码将实现用户名为admin,密码为123的登录。一旦使用了自定义登录逻辑,原本的user和打印的password登录将不再生效。此时,通过admin 123便可登录。对于登出SpringSecurity也提供了一个/logout的接口。
SpringSecurity整合JWT+Oauth2认证
Mr_Jin的博客
06-21 2979
上一篇文章中基于SpringSecurity已经有了完整的详解,今天这篇文章基于SpringSecurityOauth2整合进去。项目依赖: 一:创建所需要的User类,Menu权限类,WebUtils响应工具类(用于异常处理器中),SysResult响应数据工具类 代码如下:User类 权限类 SysResult类 WebUtils工具类 二:实现UserDetailsService类,进行实现自己数据库获取用户信息和权限 创建Mapper,编译xml进行获取用户的信息和权限:
登录模块 用户认证 SpringSecurity +Oauth2+Jwt
m0_46690280的博客
10-14 7091
SpringSecurity Oauth2 jwtSpringSecurity Oauth2 jwt1 用户认证分析1.1 单点登录1.2 第三方账号登录2 认证解决方案2.1 单点登录技术方案2.2 第三方登录技术方案2.2.1 Oauth2认证流程2.2.2 Oauth2在项目的应用2.3 Spring security Oauth2认证解决方案3 Jwt令牌回顾3.1 令牌结构3.2 生成私钥公钥3.3 基于私钥生成jwt令牌3.3.1导入认证服务3.3.2 认证服务中创建测试类3.4 基于公
8.Spring Security Oauth2 -- redis 和 JWT存储token
折剑听雨落
06-04 4703
1.令牌的存储方式 令牌有多种存储方式,每种方式都是实现了 TokenStore 接口 存储在本机内存: InMemoryTokenStore 存储在数据库: JdbcTokenStore JWTJwtTokenStore,Json Web Token 不会存储在任何介质中,不过我还是不推荐这种做法啊,并发 2w 以后会有问题 存储在 Redis: RedisTokenStore 2.使用 Redis 存储令牌 2.1 pom添加依赖 ...
Spring Security OAuth2:整合jwt
乌龟的专栏
08-12 811
接着上一篇博客:https://www.cnblogs.com/wwjj4811/p/14505081.html 1|0JWT介绍 JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名,防止被篡改 1|1构成 JWT 有三部分构成:头部、有效载荷、签名 头部:包含令牌的类
OAuth2授权原理
LIQING1125的博客
07-26 327
  最近在做第三方接入的,初步定下使用OAuth2协议,花了些时间对OAuth2的授权方式做了些了解。   我还记得一两年前,跟一位同事聊起互联网时,当时我说过一个想法:   目前不少较为稀有的资源,很多都是论坛提供下载的,论坛提供的下载往往要求一个论坛帐号,更有甚者,需回帖才可见,又或者下载需要消耗一定的虚拟货币,而这些货币可以用论坛活跃度而获得。假设现在我是一个普通用户,我要找某...
springsecurity oauth2 jwt
最新发布
06-06
Spring Security是一个基于Spring框架的安全框架,它提供了一系列的安全服务,包括身份认证、...Spring Security OAuth2 JWTSpring Security集成OAuth2和JWT的解决方案,它可以帮助开发者快速构建安全的RESTful API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值