基于OAuth2.0和JWT规范实现安全易用的用户认证

最新推荐文章于 2025-03-22 23:00:39 发布
最新推荐文章于 2025-03-22 23:00:39 发布
阅读量1.1k 收藏 30
点赞数 29
分类专栏: AI编程实战 veutify3编程实战 文章标签: 安全 vue.js fastapi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liupras/article/details/144870633
版权

文章目录

遵循OAuth2.0JWT规范实现用户认证,不但具有很好的实用性,还能提供很不错的安全保障。
本文结合实用的代码讲述了基于OAuth2.0JWT,在前后端分离的系统中,实现用户使用方便而又安全可靠的用户认证的基本思路。

预备知识

OAuth2.0

OAuth2.0 是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用。比如:微信登录、Facebook,Google,Twitter,GitHub等。
OAuth2.0规范要求使用密码流时,客户端或用户必须以表单数据形式发送 usernamepassword 字段。这两个字段必须命名为 usernamepassword ,不能使用 user-nameemail 等其它名称。
该规范要求必须以表单数据形式发送 username 和 password,因此,不能使用 JSON 对象。
当然,前端仍可以显示终端用户所需的名称,数据库模型也可以使用自己定义的名称。

关于OAuth的更多知识,您可以参考:理解OAuth2.0

JWT

JWT 即JSON 网络令牌(JSON Web Tokens),是目前最流行的跨域认证解决方案。
它在服务端将用户信息进行签名(如果有保密信息也可以加密后再签名),这样可以防止它被篡改。
每次客户端提交请求时,都附带 JWT 内容,这样服务端可以直接读取用户信息,而不用必须从服务器端的会话中获取。

关于JWT的更多知识,可以参考:JSON Web Token 入门教程

基本思路

以下是基本的实现思路:

  1. 客户端以表单方式,携带usernamepassword向后台接口发起登录认证请求
  2. 服务端接口验证账号和密码后,生成JWT格式的token,其中放置加密信息,签名后发放给客户端
  3. 客户端再访问服务端接口时,在HTTP Header中携带token即可

详细步骤

这些步骤中包含的代码片段的目的是能把过程讲得更清楚,如果想查看详细的代码并且自己动手实践,可参见本文最后的代码下载地址。

以下代码片段前端使用javascript和vue3,后端使用的是python

1. 客户端提交认证请求

前端javascript发送form请求:

import { ref } from "vue";
import axios from "axios";
import { jwtDecode } from "jwt-decode";

import { setToken } from "@/assets/js/auth";

const login_url = "http://127.0.0.1:8000/token";

//表单数据
const form_data = ref({
  username: "",
  password: "",
  remember: false,
});

const isLoading = ref(false);
const error = ref(false);
const error_msg = ref("");

// 获取路由实例
import { useRoute ,useRouter } from "vue-router";
const route = useRoute();
const router = useRouter();

const emits = defineEmits(["login"]);

//提交
async function submit() {
  if (form_data.value.username === "" || form_data.value.password === "") {
    return;
  }

  isLoading.value = true;
  error.value = false;
  error_msg.value = "";

  const formData = new FormData();
  formData.append("username", form_data.value.username);
  formData.append("password", form_data.value.password);
  formData.append("remember", form_data.value.remember);

  try {
    const response = await axios.post(login_url, formData, {
      headers: {
        "Content-Type": "multipart/form-data", // 指定使用 form-data 格式
      },
    });

    const token = response.data.access_token;
    //console.log(token);

    // 解析 JWT Token 内容
    const decodedToken = jwtDecode(token);
    console.log("解析后的 Token 内容:", decodedToken);

    // 存储token
    setToken(token);

    let userid =  decodedToken["sub"];
    emits("login",userid);    

    if (route.query && route.query['redirect']) {
      router.push({ path: route.query['redirect']});
    } else {
      router.push({ path: "/" });
    }
  } catch (error) {
    if (error.code == "ERR_NETWORK") {
      error_msg.value = "网络错误,无法连接到服务器。";
    } else if (error.code == "ERR_BAD_REQUEST") {
      if (error.response.status == 401) {
        error_msg.value = "用户名或密码错误。";
      }
    } else {
      error_msg.value = error.message;
    }
  }

  isLoading.value = false;
  if (error_msg.value != "") {
    error.value = true;
  }
}

JWT字符串可以解密
后台颁发的JWT token是经过签名的,但是签名的目的是防篡改,客户端收到这个token后,是可以解析出签名前的JWT token原文的,但是由于不知道签名JWT使用的密钥,修改后无法再签名并提交给服务端。

2. 服务端验证用户登录

以下代码基于FastAPI

# 登录方法
@app.post("/token")
async def login_for_access_token(form_data: OAuth2PasswordRequestForm = Depends(),remember: bool|None=Body(None),log_details: None = Depends(log_request_details))-> Token:
    '''
    OAuth2PasswordRequestForm 是用以下几项内容声明表单请求体的类依赖项:

    username
    password
    scope、grant_type、client_id等可选字段。
    '''
    
    user = authenticate_user(form_data.username, form_data.password)
    if not user:
        raise HTTPException(
            status_code=status.HTTP_401_UNAUTHORIZED,
            detail="用户名或者密码错误",
            headers={
   "WWW-Authenticate": "Bearer"},
        )
    m = 0
    if
最低0.47元/天 解锁文章
开放平台实现安全的身份认证与授权原理与实战:理解OAuth2.0协议
AI天才研究院
11-13 206
1.背景介绍 什么是“开放平台”? 开放平台(Open Platform)是指开发者可以访问、使用分享第三方应用程序服务而不需要获得该公司的许可。该平台通过开放的API接口向外提供服务。例如,亚马逊云服平台(AWS)就属于开放平台,任何人都可以通过该平台购买虚拟服务器、存储空间等云计算服务。开放平台不仅允许开发者创建自己的应用,还允许将其分享给其
身份验证机制:Session、JWT、SSO OAuth 2.0,以及(Magic Links、QR Code、Push 、Biometric、Social )
weixin_45511682的博客
08-09 3360
本文探讨了前端身份验证授权机制,旨在为开发者提供多种安全且高效的解决方案,以适应不断发展的网络安全需求个人隐私保护。文中归纳了几种前沿的身份验证方法,包括基于会话(Session)、JSON Web Tokens (JWT)、Single Sign-On (SSO)、OAuth 2.0 等传统与现代技术,以及 Magic Links、QR Code Login、Push Authentication、Biometric Authentication、Passwordless Authentication
Java服务中的身份认证与授权:OAuth2JWT实现集成
技术研究中心
09-18 1939
大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!OAuth2是一种授权框架,允许应用程序在不暴露用户凭证的情况下,安全地访问用户在其他服务中的资源。中,我们从请求头中提取JWT令牌,并验证其有效性。生成JWT时,我们设置了令牌的主题、签发时间、过期时间,并使用HS256算法对令牌进行签名。在上述代码中,我们配置了一个内存中的OAuth2授权服务器,并定义了一个客户端的ID、密码以及授权类型。首先,在Spring Boot项目中添加OAuth2JWT相关的依赖。
Spring Security+OAuth2 + JWT认证以及携带用户信息
热门推荐
buxiaoxia的专栏
03-20 3万+
基于Spring Security的OAuth2.0+JWT认证方式实现 提供认证服务端,资源服务端的配置 提供JWT对称加密、非对称加密方式
OAuth 2.0认证
最新发布
tatasix的博客
03-22 626
本文深入解析 OAuth 2.0 的核心概念,详细介绍四种授权模式,分析安全性问题最佳实践,探讨实际应用场景。
Spring Cloud 完整整合 Security + Oauth2 + jwt实现权限认证
m0_74824091的博客
12-08 1765
OAuth2是一个开放的标准,协议。即允许用户让第三方应用访问某一个网站上存储的用户私密资源(照片,头像等)。这个过程中无需将用户密码提供给第三方应用。在互联网中,我们最常见的OAuth2的应用就是各种第三方通过QQ授权,微信授权,微博授权等登录了。OAuth2协议一共支持4中不同的授权模式。授权码模式:常见的第三方平台登录功能基本上都使用这种模式。简化模式:简化模式不想要客户端服务器(第三方应用服务器)参与,直接在浏览器中向授权服务器申请令牌。
java实现oauth2.0服务端+客户端(含JWT
12-15
基于MAVEN+OLTU开源代码实现javaOauth2.0前后端,数据加密使用MD5。
Oauth2.0+JWT
klcss的博客
04-13 678
授权服务器:用于对资源拥有者的身份进行认证,对访问资源进行授权。客户端如果想要访问资源的话需要 资源拥有者 通过向 授权服务器 授权后才可以访问。OAuth 2.0OAuth2被称为授权框架(规范框架),其主要目的是允许第三方网站应用程序访问资源。资源服务器:存储资源的服务器,客户端最终需要通过资源服务器来获取资源。客户端:本身不存储资源,需要通过资源拥有者去请求资源服务器的资源。资源拥有者:通常可以理解为用户
OAuth2.0实战,使用JWT令牌认证
终码一生
12-15 5872
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! 今天这篇文章介绍一下OAuth2.0如何集成JWT颁发令牌,这也是目前企业中主流的令牌形式。 文章目录如下: 什么是JWTOAuth2.0体系中令牌分为两类,分别是透明令牌、不透明令牌。 不透明令牌则是令牌本身不存储任何信息,比如一串UUID,上篇文章中使用的InMemoryTokenStore就类似这种。 因此资源服务拿到这个令牌必须调调用认证授权服务的接口进行令牌的校验,高并发的情况下延迟很高,性能很低,正如上篇
OAuth2+JWT
Eris_QwQ的博客
06-15 1548
这样是对资源服务器进行深度自定义,我们可以为每个微服务编写一个配置类,比如我们现在希望用户授权了某个 Scope 才可以访问此服务。public class ResourceConfiguration extends ResourceServerConfigurerAdapter { //继承此类进行高度自定义@Override。
oauth2.0+jwt 源码探究之旅
weixin_30746117的博客
06-19 424
oauth2.0协议是一种对外开放式协议,主要用于第三方登录授权。 例如:在豆瓣官网点击用qq登录 以及微信的授权都是基于oauth2.0协议做的。 oauth2.0认证流程 (A)用户打开客户端,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权(一般是Code),向认证服务器申请令牌TOKEN。 (D)认证服务器对客户端进行...
鉴权 OAuth 2.0实现(Spring_Security_Oauth2
qq_25156781的博客
01-28 3705
可以理解为客户端服务器之间的一次私密谈话,在一次对话中可能会有多个请求响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
深入 OAuth2.0 JWT
weixin_43805579的博客
11-28 1188
JWT AUTH2.0
JWTOAuth2.0
Kard的博客
12-31 1万+
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。 OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户应用可以通过公开的私有的设置,授权第三方应用访问特定资源。
浅谈OAuth 2.0JWT
qq_36551991的博客
11-17 409
OAuth 2.0是一个关于授权的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户密码提供给第三方应用分享他们数据的所有内容。其最终目的是颁发一个有时效性的令牌(access_token),第三方应用根据这个access_token就可以去获取用户的相关资源,如用户显示名称、email这些信息
OAuth2.0JWT以及Oauth2实现SSO
东风麦芽糖
09-02 645
JWT 1.1 什么是JWT JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证信任。JWT可以使用HMAC算法使用RSA的公钥/私钥对来签名,防止被篡改。 官网: https://jwt.io/ 标准: https://tools.ietf.org/html/rfc7519 JWT令牌的优点: jwt基于json,非常方便解析。 可以在令牌中自定义丰富的内容,易扩展
oauth2.0怎么jwt结合
mywaya2333的博客
02-29 993
在结合使用 OAuth 2.0 JWT 时,通常是使用 OAuth 2.0 进行用户授权颁发访问令牌,而 JWT 则用作访问令牌(Access Token)。这可能涉及到配置授权服务器、资源服务器以及客户端,以及实现相应的 OAuth 2.0 授权流程 JWT 的生成验证逻辑。结合 OAuth 2.0 JWT 的优势在于,OAuth 2.0 提供了标准的授权机制流程,而 JWT 则提供了自包含、无状态的访问令牌格式。这种结合使用的方式既保证了安全性,又提供了灵活性可扩展性。
Springboot整合Oauth2.0+jwt
RossiLover的博客
08-29 736
Springboot整合Oauth2.0+JWT实现服务权限认证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值