OAuth2.0协议(三) - cookie、session、token和jwt

最新推荐文章于 2024-03-27 16:56:34 发布
最新推荐文章于 2024-03-27 16:56:34 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: 认证授权 文章标签: token jwt session cookie JJWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/it_lihongmin/article/details/122424862
版权

    要说清token和jwt之前一定会谈起cookie和session,因为Http协议本身是一个无状态协议,每次请求都是单独的。但是当web等项目开发环境中,当前请求可能需要与其他http请求的上下文进行关联,才能完成业务逻辑,所以cookie和session就诞生了。

1、cookie & session

    基于RFC6265规范(Http state Management Mechanism),允许服务端生成Cookie信息在响应中通过Set-Cookie头部告知客户端(并且允许多个Set-Cookie头部传递值信息),客户端得到Cookie后,后续请求中都会自动将Cookie头部信息携带到请求中,这样服务端就可以根据Cookie中的sessio-id获取当前请求的上下文信息,如用户登录状态信息等,以执行正常的业务逻辑。当分布式环境中使用session时,如果服务端的节点数较少时可以使用复制的方式同步各个服务器(如:Tomcat)的session会话信息;如果数据节点较多时需要使用集中式session管理(如:存放redis中)。

     Cookie协议在设计上的问题:

  • Cookie会被附加在后续每个Http请求中,无形中增加了流量;
  • 由于Http请求在Cookie是明文传递的,所以存在安全问题(除非是Https基于TLS/SSL进行加密);
  • Cookie的大小不应该超过4KB,故对于复杂的存储是不够用的;
  • 浏览器端可能会被用户设置禁用cookie;

 2、token

    基于OAuth2.0协议(一) - 授权码许可流程得知,token可以是一个唯一性、不连续性、不可猜性的字符串(可以是一个加密的字符串、也可以是普通的uuid等),在服务端需要与资源权限进行绑定。并且基本上系统开发时都会基于OAuth2.0规范,使用Authorization Request Header Field【授权请求头部字段】的请求方式设计token,如

Authorization: Bearer b1a64d5c-5e0c-4a70-9711-7af6568a61fb

3、jwt

    jwt(JSON Web Token)基于[RFC7519]规范 ,一种紧凑的、自包含的结构化(json)封装方式来生成token。jwt的声明主要用于身份提供者(授权服务)和服务提供者(受保护资源)之前传递被认证的身份信息。jwt的结构为head(头部)、payload(数据体)、signature(签名三部分构成),如下(可以使用https://jwt.io/进行在线解析jwt信息):header.payload.signature

head头部信息主要是两部分信息:

  • typ:指明当前是一个jwt类型的token;
  • alg:声明加密算法 通常使用HMAC SHA256;

playload存放有效的服务相关的字段信息(标准的声明但是并不强制使用,更多可以参考RFC7519规范):

  • iss: jwt签发者;
  • aud: 接收jwt的一方;
  • sub: 令牌的主体,一般设为资源拥有者的唯一标识;
  • exp: jwt的过期时间,过期时间必须要大于签发时间;
  • iat: jwt的签发时间;
  • jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击;
  • nbf: 定义在什么时间之前,该jwt都是不可用的;

signture 表示对 JWT 信息的签名结果,当受保护资源接收到第三方软件的签名后需要验证令牌的签名是否合法。

JJWT

谈完规范,就是将规范进行落地,而jjwt提供了java的jwt的创建和验证的类库。需要注意jjwt高于0.9.1的版本,其自带的decode与0.9.1及以下版本可能有不兼容的情况,并且支持的加密算法有:

  • HS256: HMAC using SHA-256
  • HS384: HMAC using SHA-384
  • HS512: HMAC using SHA-512
  • RS256: RSASSA-PKCS-v1_5 using SHA-256
  • RS384: RSASSA-PKCS-v1_5 using SHA-384
  • RS512: RSASSA-PKCS-v1_5 using SHA-512
  • PS256: RSASSA-PSS using SHA-256 and MGF1 with SHA-256
  • PS384: RSASSA-PSS using SHA-384 and MGF1 with SHA-384
  • PS512: RSASSA-PSS using SHA-512 and MGF1 with SHA-512
  • ES256: ECDSA using P-256 and SHA-256
  • ES384: ECDSA using P-384 and SHA-384
  • ES512: ECDSA using P-521 and SHA-512
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.11.2</version>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <!-- or jjwt-gson if Gson is preferred -->
    <artifactId>jjwt-jackson</artifactId>
    <version>0.11.2</version>
    <scope>runtime</scope>
</dependency>
// 创建token
String jwt = Jwts.builder()
    .setSubject(String.valueOf(appTokenRequest.getUserId()))
    .claim(JwtInfoKeyConstant.USER_ID_KEY, appTokenRequest.getUserId())
    .claim(JwtInfoKeyConstant.USER_NAME_KEY, appTokenRequest.getUserName())
    .setExpiration(expiredDate)
    .signWith(jwtPrivateKey, SignatureAlgorithm.RS256)
    .compact();
// 验证token,并解析token信息
@Override
protected AccessToken parserToken(String token) throws Exception {
    Jws<Claims> claimsJws;
    try {
        claimsJws = Jwts.parserBuilder().setSigningKey(jwtPublicKey).build().parseClaimsJws(token);
    } catch (ExpiredJwtException expiredJwtException) {
        throw new BusinessException(ErrorCodeEnum.AUTHORIZED_EXPIRE.getCode(), ErrorCodeEnum.AUTHORIZED_EXPIRE.getMessage());
    } catch (Exception e) {
        throw new BusinessException(ErrorCodeEnum.INVALID_TOKEN.getCode(), ErrorCodeEnum.INVALID_TOKEN.getMessage());
    }
    Claims body = claimsJws.getBody();
    Date expiration = claimsJws.getBody().getExpiration();
    if (expiration.before(new Date())) {
        throw new BusinessException(ErrorCodeEnum.AUTHORIZED_EXPIRE.getCode(), ErrorCodeEnum.AUTHORIZED_EXPIRE.getMessage());
    }
    Long userId = body.get(JwtInfoKeyConstant.USER_ID_KEY, Long.class);
    String userName = body.get(JwtInfoKeyConstant.USER_NAME_KEY, String.class);
    return new UserNameAccessToken(userId, userName, token);

}

其中使用的RSA公钥和私钥可以使用 jdk的Tool工具包生成,也可以使用工具类生成,将生成的公钥和私钥文件存放在spring boot的resource目录下,并且引入项目中

public class RsaKeyGen {

    public static void main(String[] args) throws Exception{
        genKeyPair();
    }

    public static void genKeyPair() throws Exception {
        // KeyPairGenerator类用于生成公钥和私钥对,基于RSA算法生成对象
        KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance("RSA");
        // 初始化密钥对生成器,密钥大小为96-1024位
        keyPairGen.initialize(2048,new SecureRandom());
        // 生成一个密钥对,保存在keyPair中
        KeyPair keyPair = keyPairGen.generateKeyPair();
        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();   // 得到私钥
        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();  // 得到公钥
        String publicKeyString =  Base64Utils.encodeToString(publicKey.getEncoded());
        // 得到私钥字符串
        String privateKeyString = Base64Utils.encodeToString((privateKey.getEncoded()));

        File privateKeyFile = new File("E:\\test\\jwt-private-key.der");
        writeFile(privateKeyFile,privateKey.getEncoded());
        File publicKeyFile = new File("E:\\test\\jwt-public-key.der");
        writeFile(publicKeyFile,publicKey.getEncoded());
    }

    private static void writeFile(File file,byte[] content) throws Exception{
        OutputStream out = new FileOutputStream(file);
        out.write(content);
        if (out != null) out.close();
    }
}

it_lihongmin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0-demo-nodejs:使用 express 应用程序展示 OAuth2.0 和 openID Connect 授权工作流程的示例演示应用程序
08-03
Intuit OAuth2.0 示例 - NodeJS 概述 这是一个使用 Node.js 和 Express Framework 构建的sample应用程序,用于展示如何使用 Intuit 的 OAuth2.0 客户端库进行授权和身份验证。 安装 要求 >= 8.x。 帐户 通过 Github Repo(推荐) $ npm install 配置 将内容从.env.example复制到示例目录中的.env : $ cp .env.example .env 编辑.env文件以添加您的: PORT:(可选)要提供的应用程序的可选端口号 NGROK_ENABLED:(可选)默认设置为false 。 如果您想通过 HTTPS 提供示例应用程序(如果您想使用生产凭据测试此应用程序,这是强制性的),请将变量设置为true TLS / SSL(可选) 如果您希望通过 Internet 公开
jfinal-oauth2.0-server:jfinal-oauth2.0-server,参考http
04-29
jfinal-oauth2.0-server 基于, 参考实现了4.节描述的内容。 实现了OAuth 2.0定义了四种授权方式 授权码模式(authorization code): 先获取下次请求token的code,然后在带着code去请求token; 简化模式(implicit):直接请求token; 密码模式(resource owner password credentials): 先完成授权,然后再获取token; 客户端模式(client credentials): 类似密码保护模式; ​ demo #自定义clientcredentials implements OAuthClientCredentials public class PasswordClientCredentials implements OAuthClientCredentials { @Overrid
一文搞懂cookiesessiontokenjwtOAuth
kobe_okok的博客
09-10 3576
一文彻底读懂cookiesessiontokenJWTOAuth
springsecurity oauth2实现前后端分离项目的SSO技术点总结
a595077052的专栏
08-20 4463
参考: https://www.jianshu.com/p/b549220e7b34?ivk_sa=1024320u 一、基于cookie+session的SSO基本实现 1、认证中心的授权服务器配置 配置类继承AuthorizationServerConfigurerAdapter 1)服务安全配置 对授权服务相关的接口进行安全访问的相关设置,如/oauth/token_key,/oauth/token等,解决可以将哪些资源进行授权、怎么授权的问题。 public void configu
jwttoken区别
lied1663634806的博客
03-27 513
jwttoken区别
Spring Boot 实战指南(四):登录认证(OAuthCookieSessionToken)、Spring Security上手
TracyCoder的博客
02-12 1839
关于安全
JWTOAuth2.0
Kard的博客
12-31 7871
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密tokenOAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第方应用访问特定资源。
OAuth 2.0 + JWT 保护API安全
保持初心 保持好奇
06-09 1341
目录OAuth 2.0 是什么OAuth 2.0 协议流程OAuth 2.0 的4种授权方式JWT(JSON Web TokenJWT是什么?JWT解决了什么问题?Spring Cloud Security + OAuth 2.0 + JWT的应用应用访问安全性基本都是围绕认证(Authentication)和授权(Authorization)两大核心概念。首先确定用户身份(对用户进行认证),确认身份后再确定用户是否有访问指定资源的权限,即身份认证是验证身份的过程,而授权是验证是否有权访问的过程。举个例子
用 application 和session 实现单点登录_Spring Cloud Security:Oauth2实现单点登录
weixin_39901412的博客
01-20 309
Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录功能,本文将对其单点登录用法进行详细介绍。单点登录简介 单点登录(Single Sign On)指的是当有多个系统需要登录时,用户只需登录一个系统,就可以访问其他需要登录的系统而无需登录。创建oauth2-client模块 这里我们创建一个oauth2-c...
JWT 为什么还要用 OAuth2.0 来做登入和权限认证呢?
Authing的博客
11-15 449
OAuth专题持续更新
关于oauth2.0安全性你应该要知道的一些事
tinysakura的博客
01-04 3807
转载自Chrisyue’s Blog 前言 当前已是 2017 年,似乎现在还来说 OAuth 2.0 的话题有点过时了,不过很多新人在使用 OAuth 2.0 的时候,也就是照着微信、微博的文档按部就班,不求甚解。而很多细节,微信微博之类的文档自然也是不多说。但如果不了解 OAuth 2.0 的美妙之处,该注意的地方不注意,可是会有安全风险的哦。 首先 OAuth 2.0 是有 4 种认证流程的...
jfinal-oauth2.0-server:jfinal-oauth2.0-服务器
05-24
jfinal-oauth2.0-server jfinal-oauth2.0-server 基于,, 参考 实现了4.节描述的内容。 实现了OAuth 2.0定义了四种授权方式 授权码模式(authorization code): 先获取下次请求token的code,然后在带着code去请求token; 简化模式(implicit):直接请求token; 密码模式(resource owner password credentials): 先完成授权,然后再获取token; 客户端模式(client credentials): 类似密码保护模式; demo
OAuth2.0协议中文版.pdf
03-27
OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第方应用代表用户获得访问的权限。
oAuth2.0WithSwaggerUI2.0:使用OAuth2 JWT保护Swagger API
05-13
OAuth 2.0 Swagger-UI 如何运行? mvn clean mvn spring-boot:run Swagger-UI 启动应用程序后,单击 配置 我使用H2 DB来获取有关用户的信息,您可以在添加用户 为了保护方法,可以在(ResourceServerConfiguration...
node-v12.20.1-sunos-x64.tar.xz
最新发布
04-27
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于Springboot+Vue的乡政府管理系统-毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
一名合格的程序猿修炼手册.md
04-27
一名合格的程序猿修炼手册.
5MHz 函数发生器使用说明书
04-27
5MHz 函数发生器使用说明书
99- 矿山工业互联网平台解决方案.pptx
04-27
99- 矿山工业互联网平台解决方案.pptx
sa-tokenoauth2.0集成最佳实践
07-28
对于将 sa-tokenOAuth2.0 集成的最佳实践,你可以按照以下步骤进行操作: 1. 了解 sa-tokenOAuth2.0 的基本概念和工作原理。sa-token 是一个轻量级的身份认证和授权框架,而 OAuth2.0 是一个行业标准的授权框架。 2. 在项目中引入 sa-tokenOAuth2.0 的相关依赖。你可以使用 Maven 或 Gradle 等构建工具来管理依赖。 3. 配置 sa-tokenOAuth2.0 的相关参数。根据你的项目需求和实际情况,配置 sa-tokenOAuth2.0 的相关参数,比如 token 的有效期、权限配置等。 4. 实现 sa-tokenOAuth2.0集成逻辑。在用户登录时,首先通过 OAuth2.0 获取访问令牌(Access Token),然后使用 sa-token 进行身份认证和授权。你可以编写相应的逻辑代码,将 sa-tokenOAuth2.0 集成起来。 5. 处理权限验证和资源保护。根据你的业务需求,将权限验证逻辑集成到 sa-token 中,确保只有具有足够权限的用户才能访问受保护的资源。 6. 进行单元测试和集成测试。编写相应的测试用例,验证 sa-tokenOAuth2.0集成是否正常工作。 7. 部署和发布。将集成好的 sa-tokenOAuth2.0 的应用程序部署到相应的服务器上,并进行正式发布。 需要注意的是,sa-tokenOAuth2.0集成最佳实践可能因具体的业务需求和技术栈而有所差异。建议你根据自己的项目需求进行适当的调整和改进。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值