JWT、OOS、Oauth三种登录验证机制

最新推荐文章于 2024-05-10 14:02:45 发布
最新推荐文章于 2024-05-10 14:02:45 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: # javaweb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linkingfei/article/details/97312505
版权

JWT(Json web token)

参考

传统方案:
1) 存储到session(结合redis缓存)
浏览器存储sessesid,服务器集群,
信息存在在后台统一的session服务器
没有分布式架构,无法支持横向扩展
2) 存储到cookie
将验证信息保存在数据库中,后端每次都需要根据token查出用户id,
这就增加了数据库的查询和存储开销。若把验证信息保存在session中,
又加大了服务器端的存储压力。
本质:存储信息在服务端
3)jwt
如果我们生成token遵循一定的规律,比如我们使用对称加密算法来加密
用户id形成token,那么服务端以后其实只要解密该token就可以知道用户的id
jwt中使用对应算法对用户信息加密。
jwt的目的

  • 解决跨域
  • 多个服务器

JWT实现:

在服务器身份验证之后,将生成一个JSON对象并将其发送回用户
···
{
“UserName”: “Chongchong”,
“Role”: “Admin”,
“Expire”: “2018-08-08 20:15:56”
}
···
客户在请求中发回JSON对象。服务器仅依赖于这个JSON对象来标识用户。
为了防止用户篡改数据,服务器将在生成对象时添加签名

结构由三部分组成

1) JWT头:
{
“alg”: “HS256”,
“typ”: “JWT”
}
它会使用 Base64 编码组成 JWT 结构的第一部分,
2) JWT的主体:
一个JSON对象
{
“iss”: “link JWT”,
“iat”: 1441593502,
“exp”: 1441594722,
“aud”: “www.example.com”,
“sub”: “user”
}
iss(签发者)
exp(过期时间)
sub(面向的用户)
aud(接收方)
iat(签发时间)
它会使用 Base64 编码组成 JWT 结构的第二部分
3) 签名哈希:
Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,
然后使 用 header 中指定的签名算法(HS256)进行签名。
签名的作用是保证 JWT 没有被篡改过
三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象

  • 一般是将它放入HTTP请求的Header Authorization字段

缺点:
一旦JWT签发,在有效期内将会一直有效
JWT的有效期不宜设置太长。对于某些重要操作,
用户在使用时应该每次都进行进行身份验证或手机验证码。
尽量使用 https

在这里插入图片描述

OOS单点登录

  • 同域名: session+redis(共享)
    注意:cookie不能跨域
  • 不同域名:

CAS:在请求CAS Client 时用户必须带有CAS Server
生成的Service Ticket
流程:
1、用户访问CAS Client
2、重定向到CAS Server为验证成功(保存登录信息)用户生成Service Ticket
3、将Service Ticket传递CAS Client、
4、CAS Client向Service Ticket发起验证,成功返回user info

oauth

第三方授权机制

带你区分清楚Authentication,Authorization以及Cookie、Session、Token

linkingfei
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
单点登录原理及实现方式
qq_41595452的博客
02-08 5万+
单点登录的英文名叫做:Single Sign On(简称SSO),指在同一帐号平台下的多个应用系统中,用户只需登录一次,即可访问所有相互信任的系统。简而言之,多个系统,统一登陆。 为什么需要做单点登录系统呢?在一些互联网公司中,公司旗下可能会有多个子系统,每个登陆实现统一管理,多个账户信息统一管理 SSO单点登陆认证授权系统。
最简单易懂的OSS单点登录设计与实现
liuyuii的博客
04-20 1196
OSS单点登录
SSO单点登录
m0_57254201的博客
10-07 317
分布式架构中的单点登录
SpringBoot中使用JWT令牌完成登录校验(hutool工具包)
最新发布
m0_73043906的博客
05-10 964
JWT(JSON Web Token)是一种基于JSON的加密令牌,可以用作于前端向后端发起请求时的身份凭证。(1)头部。指明了JWT使用的签名算法(例如HS256)和令牌类型(JWT),经过base64编码后形成令牌第一部分。(2)负载。"id" : 1(3)签名。该部分保证了JWT令牌的安全性。这里我们需要自定义一个密钥(简单来说就是一个自定义的字符串)。由header和payload经过base64编码后加上自定义密钥使用上文指定的HS256算法进行加密形成令牌的第三部分。
单点登录(SSO)详解
weixin_58403235的博客
04-04 2万+
在分布式项目架构中,为了提高用户体验性,用户只需要认证一次便可以在多个拥有访问权限的系统中访问,这个功能叫做单点登录(SSO)。
Oss单点登录
后端菜鸡
08-06 4423
应用场景: 一个企业中有不同的应用,员工只需登录一次,可以同步登录状态到其他服务(即访问别的应用就不用”登录”) 实际例子:  在同一个浏览器下,登录新浪博客后,再去访问新浪微博,则会发现账号已登录。 WIKI:https:  //en.wikipedia.org/wiki/Single_sign-on   SSO技术简介 涉及技术: 曲奇饼 认证中心   举个例子...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为Spring Cloud的一个组件,是微服务架构中的边缘服务,负责路由、过滤、安全等任务。下面我们将深入探讨如何将这两个组件...
oauth2-shiro-jwt:两种登录方式
05-14
接口说明,支持两种方式,两套接口 1.使用JWT生成Token,使用shiro实现鉴权 2.使用oauth2生成token,spring security实现鉴权 使用JWT生成Token,使用shiro实现鉴权 UMS返回参数说明 名称 类型 说明 type int 请求...
Spring cloud Oauth2的密码模式使用JWT方式实现登录验证授权
12-10
JWT是一种轻量级的身份验证和授权机制,它允许信息在各方之间安全地传递,而无需共享秘密。JWT包含三部分:头部、载荷和签名。头部标识令牌类型和加密算法,载荷存储声明信息,签名用于验证消息的完整性和发送者的...
vue+egg+jwt实现登录验证的示例代码
10-16
主要介绍了vue+egg+jwt实现登录验证的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Colud + JWT + Security实现的OOS.rar
05-31
这是一个基于Spring Cloud、JWT、Security实现的单点登录系统,前端界面采用的是AdminLTE,已在真实项目种使用。
多域名SSO单点登录
06-04
当用户第一次访问web应用系统1的时候,因为还没有登录,会被引导到认证中心进行登录;根据用户提供的登录信息,认证系统进行身份效验,如果通过效验,返回给用户一个认证的凭据;用户再访问别的web应用的时候就会将这个Token带上,作为自己认证的凭据,应用系统接受到请求之后会把Token送到认证中心进行效验,检查Token的合法性。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。所有应用系统共享一个身份认证系统。认证系统的主要功能是将用户的登录信息和用户信息库相比较,对用户进行登录认证;认证成功后,认证系统应该生成统一的认证标志,返还给用户。另外,认证系统还应该对Token进行效验,判断其有效性。 所有应用系统能够识别和提取Token信息要实现SSO的功能,让用户只登录一次,就必须让应用系统能够识别已经登录过的用户。应用系统应该能对Token进行识别和提取,通过与认证系统的通讯,能自动判断当前用户是否登录过,从而完成单点登录的功能。 比如说,我现在有3个分站点和1个认证中心(总站)。当用户访问分站点的时候,分站点会发Token到验证中心进行验证验证中心判断用户是否已经登录。如果未登录,则返回到验证中心登录入口进行登录,否之则返回Token验证到分站点,直接进入分站点
搭建CAS单点登录服务器
weixin_34324081的博客
11-10 141
  最近公司的一个项目需要用到单点登录的功能,之前对单点登录了解得不多。于是网上找了下单点登录的解决方案,发现CAS是个不错的解决方案。于是搭个环境测试了一下。这里记录下测试的详细步骤。   官网:http://jasig.github.io/cas/   Cas Server下载:http://developer.jasig.org/cas/   Cas Client下载:http://d...
CAS SSO 4.0 自定义登录页面
carl_china的专栏
04-27 3572
1.cas统一认证的登陆页面位于:cas目录/WEB-INF/view/jsp/default 文件夹里,其中ui/casLoginView.jsp为登陆页面 2.首先我们复制一份default文件夹 重命名为myView 3.然后复制classes/default.properties  到 classes/myView.properties 打开mytheme.properties 修改登
解读认证和授权 OAuth、SSO、CAS、JWT
yuezhilangniao的博客
05-05 1452
浅显易懂 解读认证和授权 OAuth、SSO、CAS、JWT
http基本认证Authentication OAuth JWT
focus on security
06-29 1169
Authentication: http是一种无状态的协议, 浏览器和web server可以通过cookie来识别身份。 应用程序一般不会使用cookie识别身份,通常是把 "用户名+密码"用BASE64编码放在请求头的Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authentication)。 1.client发送http request到web server 。 2.request中没有包含Authorization头, web server返回一个4.
用户认证(Authentication)进化之路:由Basic Auth到Oauth2再到jwt
刘悦的技术博客
05-11 2307
虽然基本认证非常容易实现,但该方案创建在以下的假设的基础上,即:客户端和服务器主机之间的连接是安全可信的。所以,如果有人对头部以及载荷的内容解码之后进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密的时候用的密钥的话,得出来的签名也一定会是不一样的。它自身(在 payload 中)就包含了所有与用户相关的验证消息,如用户可访问路由、访问有效期等信息,服务器无需再去连接数据库验证信息的有效性,并且 payload 支持为你的应用而定制化。
阿里云OSS存储基于JAVA基本使用(一)
热门推荐
Agger的博客
11-10 3万+
前段时间公司让研究阿里云OSS,说计划会用起来。OSS就是一个阿里提供的在线存储服务,其实原先公司自己搭建的文件服务器也就能用,不过可能是为了以后的业务扩大着想,让提前研究使用了。OSS的基本概念他官网上有很多资料,我这里也就不再说了。研究了一整子,整理了一些方法,所以这里记录出来。本人是小白一枚,一下的知识竟可能的浅显,但也是我自己研究使用的思路,开始也没有找到一篇全面的使用手册,因为官方的SD
spring security+jwt+oauth2.0 pdf
07-13
Spring Security是一个功能强大的安全框架,用于在Java应用程序中实现身份验证和授权。JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,其中包含了验证用户身份的加密信息。OAuth 2.0是一种开放标准的授权协议,它允许用户授权第三方应用程序访问受保护的资源。 Spring Security可以与JWTOAuth 2.0结合使用,以提供更强大的身份验证和授权功能。使用JWT作为身份验证机制,可以在用户登录成功后生成一个JWT令牌,并将其加入到HTTP请求的Header中。服务端可以使用JWT中的信息,如用户名和权限,对请求进行验证,确保用户的身份是有效的。而OAuth 2.0允许用户通过授权服务器颁发的token来访问受保护的资源,Spring Security可以集成OAuth 2.0来实现授权验证的逻辑。 通过使用Spring Security结合JWTOAuth 2.0,可以轻松实现可伸缩、安全的身份验证和授权机制。开发人员可以使用Spring Security提供的各种功能,如用户认证、角色授权和访问控制,来保护应用程序中的敏感操作和数据。此外,使用JWTOAuth 2.0,可以实现无状态的API身份验证和授权,提高系统的可扩展性和性能。 总之,Spring Security与JWTOAuth 2.0的结合为应用程序提供了安全、可靠的身份验证和授权机制。开发人员可以根据具体的需求配置和使用这些功能,以保护应用程序的安全和数据的机密性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值