[Authentication Fundamentals] [Azure AD]1.基础概念--Token,Claims

最新推荐文章于 2023-11-15 22:17:39 发布
最新推荐文章于 2023-11-15 22:17:39 发布
阅读量3.3k 收藏 5
点赞数 2
分类专栏: 学习笔记 # Web认证 后端 文章标签: azure microsoft web安全 安全 认证系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lingfy1234/article/details/120912082
版权
本文介绍了Azure AD中Token的基本概念,包括为何需要Token以及Token与Cookie的区别。Token通常用于防止CSRF攻击,其内容包括用户身份信息,且以JWT(Json Web Token)形式存在,由header、payload和signature组成。Claims是JWT中携带的用户信息,包括签发人、过期时间、主题等,不应存放敏感信息。
摘要由CSDN通过智能技术生成

Notes:该系列文章是看Azure的Youtube官网的系列视频[Azure AD Authentication Fundamentals]之后的学习笔记
本节来讲一下为什么需要Token,Token是什么,以及什么是Claims

1.Token的诞生

Token诞生的诞生是为了解决CSRF问题的(对CSRF感兴趣的可以看这篇博客)。与cookie不同的是,token是不会自动被带上的,这个特性就能预防这种攻击。
在这里插入图片描述

两者的另一个不同点是,cookie一般存储的是sessionID,可以理解成一个身份证号,服务器会根据这个sessionID找到存储在服务器对应的session,session包含着用户身份的信息,相当于看到了身份证,而token存的往往不是一个sessionID,而是包含更多的身份信息,相当于身份证本身,每次请求就直接出示身份证了, 因此token的信息一般都会加密的。

Token的组成

token一般会携带用户的身份Id,以及过期的时间,加密算法,签名,这是最基本的。最常见的token格式是JWT(Json Web Token),JWT是json格式的,因此也是跨平台的,JWT的组成是:header+payload+

最低0.47元/天 解锁文章
只要你一直跑
关注
专栏目录
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
mysql-5.7.29-1.el7.x86_64.rpm-bundle下载、安装、配置
qq_19982677的博客
05-13 6317
1.下载安装包 地址:https://dev.mysql.com/downloads/mysql/ 我的电脑是centos7,64位,下载如下软件包 2.解压mysql-5.7.29-1.el7.x86_64.rpm-bundle.tar tar -xvfmysql-5.7.29-1.el7.x86_64.rpm-bundle.tar 3.卸载之前版本 rpm -qa | grep -i mysql 4.依次安装 (1)rpm -ivhmysql-communi...
IdentityServer4之Clients、Scopes、ClaimsToken关联
weixin_33813128的博客
01-18 1860
IdentityServer4之Clients、Scopes、ClaimsToken关联 参考 官方文档:client、identity_resource、api_resource:三类配置项介绍描述。 打一个不恰当的比喻来描述一下User:表示自己 。Client:表示客户经理,能指引或者代办一些业务。Resource:表示银行,包括identity_resource(银行基本业务)...
OpenID Connect Core 1.0(九)声明(Claims)
07-21 877
5 声明(Claims) 这一节说明客户端如何获取关于终端用户声明和验证事件。它还定义了一组标准的基本声明配置。预定义一组可请求的声明,使用特定的scope值或能用于请求参数中的个人声明。声明可以直接来自OpenID提供者或分布式来源。 5.1 标准声明(Standard Claims) 这个规范定义了一组标准的声明。他们可以请求的返回或用户信息的响应,此在 5.3.2节或在第二节中的ID Token。 sub string 在发行人终端用户的主体标识符。 name string 终端用户...
claims, ok := token.Claims.(*CustomClaims)
最新发布
qq_37106501的博客
11-15 279
claims, ok := token.Claims.(*CustomClaims)
JWT token 生成
qq_42374705的博客
08-19 86
public class JwtUtils { private static final long EXPIRE = 6000 * 60 * 24 * 7; private static final String SECRET = "htt.net256"; private static final String TOKEN_PREFIX = "version-htt"; private static final String SUBJECT = "htt"; //生成t.
php 身份认证 claim,基于Token的身份验证之JWT基础教程
weixin_35910783的博客
03-20 649
前言初次了解JWT,很基础,高手勿喷。基于Token的身份验证用来替代传统的cookie+session身份验证方法中的session。token应用流程为:1、初次登录:用户初次登录,输入用户名密码。2、密码验证:服务器从数据库取出用户名和密码进行验证。3、生成JWT:服务器端验证通过,根据从数据库返回的信息,以及预设规则,生成JWT。4、返还JWT:服务器的HTTP RESPONSE中将JWT...
terraform-provider-azureadAzure Active Directory的Terraform提供程序
02-02
Azure Active Directory的Terraform Provider 注意:此提供程序的1.0版及更高版本需要Terraform 0.12或更高版本。 ( ) 使用范例 # Configure the Azure AD Provider provider "azuread" { version = "~> 1.0.0" ...
azure-devops-python-api:Azure DevOps Python API
01-29
Azure DevOps Python API 此存储库包含用于与Azure DevOps进行交互和管理的Python API。 这些API支持Azure CLI的Azure DevOps扩展。 要了解有关Azure CLI的Azure DevOps扩展的更多信息,请访问回购。 安装 pip ...
十次方项目登陆问题 token令牌解析,claims获取不到userid,求大神帮忙看下代码解决问题
qq_43047221的博客
06-13 3933
十次方项目登陆问题 token令牌解析,claims获取不到userid 这个是拦截器: 判断角色是用户还是管理员,如果是用户就存入(“claims_user”,token);到controller控制层 此时clims为空,所以下面取值为权限不足 ...
Spring Authorization Server入门 (六) 自定义JWT中包含的内容与资源服务jwt解析器
云逸的博客
06-07 3981
最后经过两个简单的配置实现了自定义的token内容与解析器,这也正是框架灵活与支持高度自定义的体现,实际上这些操作的代码部分都比较少,多的是理论部分,结合文档与源码能够更好的理解框架,文档中对于某些类的应用一般会有详细的说明与示例存在。
jwt Claims token 秘钥稍有不同也能解析成功 signWith setSigningKey
ql_7256的博客
09-28 3153
问题描述 使用io.jsonwebtoken.Jwts构造了一个token,在解析这个token时,发现解析秘钥和构建秘钥不完全相同也可以成功解析,代码如下 签发token /** 测试生成token */ @Test public void testJwt() { JwtBuilder jwtBuilder = Jwts.builder() // 唯一ID {"":""} .setId("888")
JWT实现token-based会话管理
weixin_34050005的博客
11-24 250
上文《3种web会话管理的方式》介绍了3种会话管理的方式,其中token-based的方式有必要从实现层面了解一下。本文主要介绍这方面的内容。上文提到token-based的实现目前有一个开放的标准可用,这个标准就是JWT,从它的官网上也能看到,目前实现了JWT的技术非常多,基本上涵盖了所有的语言平台。本文选择express和jsonwebtoken基于nodejs来实现token-based会话...
基于JWT 的token 认证机制的实例 全局异常处理
shi860715的博客
08-22 3540
基于JWT 的token 认证机制的实现 文章目录基于JWT 的token 认证机制的实现1 jwt认知1.1 头部(Header)1.2 载荷(playload)1.3 签证(signature)2 JJWET 实现2.1 导入依赖2.2 创建第一个jwt2.2.1 结果2.3 解析第一个jwt2.3.1 结果:2.4 生成工具类3 权限验证实现3.1 拦截器3.2 权限验证3.3 全局异常处...
Token认证之Jwts原理及使用
piaolaoshi的博客
03-18 9776
Jwts的原理及具体使用方式
SpringBoot 整合 JWT 实现 Token 验证
zhang33565417的博客
05-16 2175
一. JWT简介 1. 什么是JWT? JWT(JSONWeb Token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;应用场景如用户登录。JWT详细讲解请见 github:https://github.com/jwtk/jjwt 2. 为什么使用JWT? 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值