SpringCloud从零构建(八)——基于OAuth2.0+JWT的认证中心(上——认证中心配置)

最新推荐文章于 2024-04-13 21:45:25 发布
最新推荐文章于 2024-04-13 21:45:25 发布
阅读量1.3k 收藏 5
点赞数 1
分类专栏: Spring Cloud 文章标签: OAuth2.0 JWT 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gjen1996/article/details/97650654
版权

基于OAuth2.0+JWT的鉴权中心(上——认证中心配置)

上一讲中我们讲了项目的大门gateway的配置。我们一般的业务流程应该是用户访问服务,经过网关被拦截,然后通过鉴权中心进行认证,认证结束发放令牌,用户拿着令牌去访问资源,因此这一讲我们主要讨论一下鉴权认证。因为我用的是SpringCloud(2.1.6) 的Greenwich版本,所以我们本篇文章就是基于OAuth2.0+JWT,由于篇幅过长所以我分为两部分来讲,第一部分是认证中心配置我们也称为认证服务器,下一篇是资源中心配置,也叫资源服务器配置。

一)创建项目

创建模块主要分为两部分,认证服务器authorization-server模块和资源服务器app-customer-login模块。
A、authorization-server创建
这个模块主要是
1、创建一个新的模块,和前面几讲的一样,打开上一篇创建的项目microservice选中,并单击右键New→Module,选择Spring Initializr默认下一步;
2、进入该页面填Group和Artifact,Group要写对和上次的要一样,Artifact 我命名为authorization-server,如图1所示:
在这里插入图片描述
3、点击Next,选择相关依赖,Spring Cloud Security 下的Cloud OAuth2是核心依赖如下图2所示:
在这里插入图片描述
4、继续Next→Finish,等待下载依赖。完成后,首先进行启动类AuthorizationServerApplication的配置,如下图3所示:
在这里插入图片描述
@EnableResourceServer这个注解要注意,它是用来开启安全管控的,因为后面如果我们要继承WebSecurityConfigurerAdapter来完善更加详细的规则配置。
5、首先我们先建三个文件夹,分别为com.glen.authorizationserver.config、com.glen.authorizationserver.entity和com.glen.authorizationserver.service,如下图所示:
在这里插入图片描述
6、接下来我们配置AuthorizationServerApplication,其中@SpringBootApplication和@EnableDiscoveryClient这是基础注解,不再赘述。@EnableFeignClients这是在做负载均衡时讲过的。@EnableResourceServer这个注解比较特殊, 它用于开启资源服务配置,会配置资源服务相关的安全配置。
在这里插入图片描述
7、配置application.properties,如下图所示,具体信息看注释。
在这里插入图片描述

#微服务配置
spring.application.name=auth-server
server.port=8085
eureka.client.serviceUrl.defaultZone=http://localhost:8081/eureka/

# 数据库JPA配置
# Mysql驱动
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
# 数据库地址  serverTimezone=UTC要写,不然有时会报错
spring.datasource.url=jdbc:mysql://localhost:3306/springauth?serverTimezone=UTC&useUnicode=true&characterEncoding=utf8&characterSetResults=utf8
# 用户名
spring.datasource.username=root
# 密码
spring.datasource.password=glen1996
# 每次运行程序,没有表格会新建表格,表内有数据不会清空,只会更新
spring.jpa.hibernate.ddl-auto=update
# 是否打印sql语句
spring.jpa.show-sql=true

# 当遇到同样名字的时候,是否允许覆盖注册
spring.main.allow-bean-definition-overriding=true
# security用户名
spring.security.user.name=glen
# security密码
spring.security.user.password=123456
# 鉴权配置 配置token获取合验证时的策略
security.oauth2.authorization.check-token-access=permitAll()
# 暴露地址
management.endpoints.web.exposure.include=*

8、在com.glen.authorizationserver.entity下创建Role.java和User.java,这两个文件主要是角色和用户信息。
Role.java中的内容:

@Entity
public class Role implements GrantedAuthority {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;

    @Column(nullable = false)
    private String name;

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    @Override
    public String getAuthority() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    @Override
    public String toString() {
        return name;
    }
}

User.java中的内容:

@Entity
public class User implements UserDetails, Serializable {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;

    @Column(nullable = false,  unique = true)
    private String username;

    @Column
    private String password;

    @ManyToMany(cascade = CascadeType.ALL, fetch = FetchType.EAGER)
    @JoinTable(name = "user_role", joinColumns = @JoinColumn(name = "user_id", referencedColumnName = "id"),
            inverseJoinColumns = @JoinColumn(name = "role_id", referencedColumnName = "id"))
    private List<Role> authorities;

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    public void setAuthorities(List<Role> authorities) {
        this.authorities = authorities;
    }

    @Override
    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    @Override
    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

9、在com.glen.authorizationserver.java中创建UserRepository.java和UserServiceDetail.java两个文件。
UserRepository.java
UserRepository这个类继承了JpaRepository,这个类封装了很多方法,jpa和mybatis这一点有点类似,如果有用过Mybatis的同学就会比较熟,项目中的findByUsername是自定义的方法,具体可以查看jpa的官方文档,这个方法主要是用来做查询,它和数据库的user表对应,后面我们会具体讨论数据库的问题。

@Repository
public interface UserRepository extends JpaRepository<User, Long> {
    User findByUsername(String username);
}

UserServiceDetail.java
UserServiceDetail实现了UserDetailsService 这个接口的方法,返回了查询结果。

@Service
public class UserServiceDetail implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return userRepository.findByUsername(username);
    }
}

10、接下来我们要配置认证服务器,这一块是核心内容。新建两个java文件。OAuth2Config.java和WebSecurityConfig.java
A、OAuth2Config.java

OAuth2Config这个class主要是配置客户端信息和认证信息,认证信息主要是包含了JWT的配置,JWT个人感觉还是比session要好很多,JWT最大的优势还是在于通过无状态、可扩展的方式处理用户请求以及不用访问数据库去获取凭证,咱也可以不用redis。
JWT主要分为三部分Header(进行编码,用于指定加密算法)、Payload(进行编码)和Signature(即签名,它由编码的header和payload,使用用户指定的密钥secret,采用header中指定的哈希算法生成)

@Slf4j
@Configuration
@EnableAuthorizationServer
public class OAuth2Config extends AuthorizationServerConfigurerAdapter {
    @Autowired
    @Qualifier("authenticationManagerBean")
    AuthenticationManager authenticationManager;

    @Autowired
    private DataSource dataSource;

    @Autowired
    private TokenStore tokenStore;
    @Autowired
    private UserServiceDetail userServiceDetail;
    @Autowired
    private ClientDetailsService clientDetailsService;


    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(jwtTokenEnhancer());
    }

    @Bean
    public JwtAccessTokenConverter jwtTokenEnhancer() {
        KeyStoreKeyFactory keyStoreKeyFactory = new KeyStoreKeyFactory(new ClassPathResource("test-jwt.jks"), "test123".toCharArray());
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setKeyPair(keyStoreKeyFactory.getKeyPair("test-jwt"));
//      converter.setSigningKey("123");
        log.info("private key:"+converter);
        return converter;
    }

    @Bean // 声明 ClientDetails实现
    public ClientDetailsService clientDetailsService() {
        return new JdbcClientDetailsService(dataSource);
    }


    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
       String finalSecret =new BCryptPasswordEncoder().encode("123456");
        clients.inMemory()
                // 配置一个客户端
                .withClient("user-service")
                .secret("123456")
                // 配置客户端的域
                .scopes("service")
                // 配置验证类型为refresh_token和password
                .authorizedGrantTypes("refresh_token","password")
                // 配置token的过期时间为1h
                .accessTokenValiditySeconds(3600 * 1000)
                .resourceIds("user-service")
                .authorities("ROLE_ADMIN");

    //  clients.withClientDetails(clientDetailsService);

    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        // 配置token的存储方式为JwtTokenStore
        endpoints
                 //存储jwt
                .tokenStore(tokenStore())
                // 配置用于JWT私钥加密的增强器
                .tokenEnhancer(jwtTokenEnhancer())
                // 配置安全认证管理
                .authenticationManager(authenticationManager);
    }

    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        // 允许表单认证
        security.tokenKeyAccess("permitAll()") //url:/oauth/token_key,exposes public key for token verification if using JWT tokens
                .checkTokenAccess("isAuthenticated()") //url:/oauth/check_token allow check token
                .allowFormAuthenticationForClients();
    }
}

以下是相关的方法说明:
a、tokenStore():tokenStore方法返回一个TokenStore对象的子对象JwtTokenStore,认证服务器取值给授权服务器配置器,通俗点就是让MyAuthorizationServerConfig能注入到值。
b、jwtTokenEnhancer():这个方法主要是用来设置认证服务器和资源服务器之间的密钥对,常见的有对称加密和非对称加密两种。converter.setSigningKey(“123”)这是对称加密方法,如果这里这样设置,资源服务器里也需要这样设置; converter.setKeyPair()这是非对称的加密方法。这一块要注意两个问题:
(1)、生成用于Token加密的私钥文件test-jwt.jks。jks文件的生成我们一般使用java自带的java keytool工具,只要环境变量配置没问题,输入如下命令:

keytool -genkeypair -alias test-jwt -validity 3650 -keyalg RSA -dname "CN=jwt,OU=jtw,O=jtw,L=zurich,S=zurich,C=CH" -keypass test123 -keystore test-jwt.jks -storepass test123</font>

回车即可,
-keypass test123:这是设置别名
-keystore test-jwt.jks:这是设置文件名
-storepass test123:这是设置密码,
如下图所示:
在这里插入图片描述
表示已经成功,在如图当前目录下即可查到该文件。
在这里插入图片描述
并将该文件放在resources目录下面
在这里插入图片描述
接下来我们运行如下命令,输入密码test123获取publicKey,这个后面要用:

keytool -list -rfc --keystore test-jwt.jks | openssl x509 -inform pem -pubkey

在这里插入图片描述
新建一个txt文件命名为public.cert,我们复制里面的publicKey到该文件中。

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAsTuQdiX2yhgNLLHgUxjc
zher2JC63l3/DQAdRq/TX9harNie25KOZua9/CF+9XKNjKlJsecCj/UUo6ICAiTB
lOxbLjj/bIoIMefn/xtQNtPMPcZr5XdMmZRHW2kHg6y5yGDEYXWFzEtqXrULfUMP
CwV6vSoqxi6xj6i9wQPdCOCZiBBxWZfOwir4oDN/kD0eulCHd9H1l1SBtdRDGFeE
QBUjFMrDhurXUjYWay3021bGU2SbVUS1Av+qvpSmEQ7pRxf18QOtKD5Z2yP3EdS0
0jme/K84DDqbyUo3Zboh4YFz8OIXNrtjXFgPd3MrotTzlBr2teR4twF4zd01voQr
wQIDAQAB
-----END PUBLIC KEY-----

(2)、要在pom.xml文件中配置如下代码:

            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-resources-plugin</artifactId>
                <configuration>
                    <nonFilteredFileExtensions>
                        <nonFilteredFileExtension>cert</nonFilteredFileExtension>
                        <nonFilteredFileExtension>jks</nonFilteredFileExtension>
                    </nonFilteredFileExtensions>
                </configuration>
            </plugin>

目的是为了防止jks文件在maven编译时乱码,如果这个文出问题后面可能会导致无权限访问的问题。
c、clientDetailsService():
d、configure(ClientDetailsServiceConfigurer clients) :这个方法主要是配置客户端,具体看注解,重点说一下楼主遇到的坑,要设置一下.resourceIds(“user-service”)和.authorities(“ROLE_ADMIN”),不然后面访问的时候可能会报如下错误:

{
    "error": "access_denied",
    "error_description": "Invalid token does not contain resource id (oauth2-resource)"
}

resourceIds这个的值随便设总要要前后文上下文等等保持一致就行,数据库也一样,我这里设的的clientid一样只是为了方便……嗯,没错,只是为了方便……
e、configure(AuthorizationServerEndpointsConfigurer endpoints):这个方法主要是配置token的存储方式。
f、configure(AuthorizationServerSecurityConfigurer security) :这个是允许表单认证。
B、WebSecurityConfig.java
WebSecurityConfig类主要是继承WebSecurityConfigurerAdapter类,
代码如下:

@Configuration
@EnableWebSecurity
@Slf4j
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.requestMatchers().anyRequest()
                .and()
                .authorizeRequests()
                .antMatchers("/oauth/token","/oauth/**").permitAll();
    }

    @Autowired
    UserServiceDetail userServiceDetail;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception { 
          auth.userDetailsService(userServiceDetail).passwordEncoder(passwordEncoder());
    }
}

下面对各个方法做下说明:
a、passwordEncoder():这个方法类似于格式化工具方法,因为spring security升级后有所改变。如果加密方式不对,很有可能报以下错误:

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"

b、authenticationManagerBean():
这个bean,在OAuth2Config文件中有引用到。
c、configure(HttpSecurity http):这里在配置权限,防止令牌获取不被通过,所以允许了oauth开头的所有路径。
d、configure(AuthenticationManagerBuilder auth):这个方法还是去数据库查询用户的密码,做权限验证。

好了本篇文章就讲到这里,下篇文章我们讲基于OAuth2.0+JWT的认证中心(下——资源中心配置)

SpringCloud从零构建(一)——Eureka注册中心
SpringCloud从零构建(二)——创建服务端Server
SpringCloud从零构建(三)——创建消费者Customer
SpringCloud从零构建(四)——Feign实现负载均衡
SpringCloud从零构建(五)——Config配置中心
SpringCloud从零构建(六)——消息总线Bus+Rabbit MQ实现动态刷新
SpringCloud从零构建(七)——网关中心(gateway)配置
SpringCloud从零构建(八)——基于OAuth2.0+JWT的鉴权中心(上——认证中心配置)

github地址:https://github.com/gjen1996/microservice
如果有问题欢迎小伙伴留言和我沟通交流。

gjen1996
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringCloud系列——12Spring Cloud实战之统一认证与授权
Eclipse_2019的博客
07-15 2180
单体架构下的统一认证与授予;微服务架构下的统一认证与授权;微服务架构JWT+API实现统一认证与授权实战
MyBatis和Dubbo深度整合——深度分析MyBatis+Dubbo项目架构设计
禅与计算机程序设计艺术
07-28 1088
1.1 Mybatis 是什么?Mybatis 是一款优秀的持久层框架,它支持自定义 SQL、存储过程以及高级映射。Mybatis 避免了几乎所有的 JDBC 代码以及参数处理,非常适合开发人员编写灵活可移植性强的代码,屏蔽了数据库底层实现的差异性。Mybatis 可以直接作用在 XML 配置文件中,将复杂的JDBC操作抽象出来,使数据库相关操作对应用层来说是透明的,并可以定制化地调整性能。1.2 Apache Dubbo 是什么?
Oauth2.0&&JWT
阿火
09-03 321
Oauth2.0: OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者的信息,而不需要将用户名和密码提供给第三方应用或者分享他们数据的所有内容。 第三方认证 比如登录B站,可以用微信账号登录。B站通过微信提取用户信息, 微信经过户同意方可为B站生成令牌,B站拿到令牌方可从微信获取用户信息。 详细:https://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html JWT: Json web token (JWT), 是为了在网
oauth2.0+jwt 源码探究之旅
weixin_30746117的博客
06-19 382
oauth2.0协议是一种对外开放式协议,主要用于第三方登录授权。 例如:在豆瓣官网点击用qq登录 以及微信的授权都是基于oauth2.0协议做的。 oauth2.0认证流程 (A)用户打开客户端,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权(一般是Code),向认证服务器申请令牌TOKEN。 (D)认证服务器对客户端进行...
Spring Cloud云架构 - SSO单点登录之OAuth2.0 根据token获取用户信息(4)
qq_40354025的博客
02-26 3995
上一篇我根据框架中OAuth2.0的使用总结,画了SSO单点登录之OAuth2.0 登出流程,今天我们看一下根据用户token获取yoghurt信息的流程: /** * 根据token获取用户信息 * @param accessToken * @return * @throws Exception */ @RequestMapping(value = "/user...
OAuth2.0实战,使用JWT令牌认证
终码一生
12-15 5261
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! 今天这篇文章介绍一下OAuth2.0如何集成JWT颁发令牌,这也是目前企业中主流的令牌形式。 文章目录如下: 什么是JWTOAuth2.0体系中令牌分为两类,分别是透明令牌、不透明令牌。 不透明令牌则是令牌本身不存储任何信息,比如一串UUID,上篇文章中使用的InMemoryTokenStore就类似这种。 因此资源服务拿到这个令牌必须调调用认证授权服务的接口进行令牌的校验,高并发的情况下延迟很高,性能很低,正如上篇
SpringSecurity OAuth2+JWT+网关实现认证授权中心
我神级欧文的博客
02-17 8666
之前利用SpringSecurity OAuth2搭建了一个认证服务器,并且结合网关搭建了一个安全认证的架构,而这个架构也是有缺点的,很明显的就是用户的信息是通过加在请求头到微服务去取出来的,这样就会容易泄露用户的信息并且很容易被别人截获请求伪造用户信息,而且网关每一次都要请求认证服务器去验证token是否正确,加重了认证服务器的负担。那么这里我们解决这两个问题用的就是jwt。 什么是JWT? ...
gateway oauth2 对称加密_Spring Security OAuth2 实现 使用JWT-不想当码农的程序员
weixin_39788386的博客
12-22 588
回过头来说一下资源服务 器的问题点吧,这里OAuth2+JWT用的是springsecurity ,具体怎么用springsecurity 搭建资源服务 器我就不说了。这里要讨论的问题是这样的,我们希望在spring mvc中,直接通过如下的形式获得登录用户信息@GetMapping("/me") public Authentication me(OAuth2Authentication...1、...
微服务安全与认证——Spring Cloud Security探究
# 1. 简介 ## 1.1 微服务架构的兴起 随着云计算和容器技术的发展,微服务架构在近年来迅速兴起。传统的单体应用架构往往具有耦合度高、可扩展性差等问题,而微服务架构通过将应用拆分为一系列小型、独立的服务,每...
Spring Cloud 是什么
yueerba126的博客
10-02 114
可以通过在文件下的项中添加项,来自定义引导上下文。它包含用于创建上下文的Spring @Configuration类的逗号分隔列表。您可以在此处创建任何要用于主应用程序上下文进行自动装配的beans。@Beans类型为ApplicationContextInitializer的特殊合同。🔧示例@Order(0)@Override🚫警告:当添加自定义BootstrapConfiguration时,要注意不要让您添加的类错误地进入您的“主”应用程序上下文,可能并不需要它们。
java实现oauth2.0服务端+客户端(含JWT
12-15
基于MAVEN+OLTU开源代码实现javaOauth2.0前后端,数据加密使用MD5。
Spring Cloud OAuth2.0 微服务中配置 Jwt Token 签名/验证
weixin_33735077的博客
08-06 2445
关于 Jwt Token 的签名与安全性前面已经做了几篇介绍,在 IdentityServer4 中定义了 Jwt Token 与 Reference Token 两种验证方式(https://www.cnblogs.com/Irving/p/9357539.html),理论上 Spring Security OAuth 中也可以实现,在资源服务器使用 RSA 公钥(/oauth/token_ke...
Oauth2.0+JWT
最新发布
klcss的博客
04-13 189
授权服务器:用于对资源拥有者的身份进行认证,对访问资源进行授权。客户端如果想要访问资源的话需要 资源拥有者 通过向 授权服务器 授权后才可以访问。OAuth 2.0 :OAuth2被称为授权框架(或规范框架),其主要目的是允许第三方网站或应用程序访问资源。资源服务器:存储资源的服务器,客户端最终需要通过资源服务器来获取资源。客户端:本身不存储资源,需要通过资源拥有者去请求资源服务器的资源。资源拥有者:通常可以理解为用户。
微服务之Springboot整合Oauth2.0 + JWT
阿杰
07-12 2230
公司要从单一架构转为微服务架构,特此记录 目录前期准备整合spring security整合oauth2.0 前期准备 初始依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.3.5.RELEASE&l
OAuth2.0 使用 JWT令牌
北辰
09-11 334
应用背景:当资源服务和认证服务不在一起时,资源服务使用RemoteTokenServices远程请求授权服务验证token,如果访问量较大较会影响系统的性能。这时可以考虑做进一步的优化,令牌采用JWT格式生成,用户认证通过会得到一个JWT令牌,客户端只需要携带JWT令牌访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。 认证服务器 资源服务器需要做下述配置: 第一步:资源服务中添加验证JWT Token令牌的配置 import org.spring.
Oauth2.0 + JWT 实现单点登录
m0_37122623的博客
02-25 3573
上一节,我们讲述了Oauth2.0 配合security的使用,配合redis去存token,或者配合Jwt去存token。这篇文章,我们主要来系统的串起来讲一下,从宏观的层面来讲述一下单点登录,并且来实现一个demo。 首先,我们来借助一个真实的案例来切入: 相信大家都登录过码云吧:(https://gitee.com/) 在登录选项里我们选择使用三方账号进行登录(QQ) 然后他就会跳转到下面这个地址: https://graph.qq.com/oauth2.0/show?which=Login&amp
jwt需要存redis吗_Spring Cloud Security:Oauth2结合JWT使用
weixin_39897887的博客
11-26 1038
Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2还可以实现更多功能,比如使用JWT令牌存储信息,刷新令牌功能,本文将对其结合JWT使用进行详细介绍。SpringCloud实战电商项目mall-swarm(5.1k+star)地址:https://github.com/macrozheng/mall-swarmJWT简介 JWT...
OAuth 2.0 + JWT 保护API安全
保持初心 保持好奇
06-09 1619
目录OAuth 2.0 是什么OAuth 2.0 协议流程OAuth 2.0 的4种授权方式JWT(JSON Web Token)JWT是什么?JWT解决了什么问题?Spring Cloud Security + OAuth 2.0 + JWT的应用应用访问安全性基本都是围绕认证(Authentication)和授权(Authorization)两大核心概念。首先确定用户身份(对用户进行认证),确认身份后再确定用户是否有访问指定资源的权限,即身份认证是验证身份的过程,而授权是验证是否有权访问的过程。举个例子
基于springboot+oauth2.0+jwttoken鉴权认证开发的后台接口
08-17
基于Spring Boot、OAuth2.0JWT Token鉴权认证开发的后台接口是一种使用现代化技术实现的身份验证和授权机制。下面是关于这种后台接口的一些说明: 首先,Spring Boot是一个基于Spring框架的快速开发框架,提供了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值