浅析单点登录(重点讲解OAuth2+JWT)

最新推荐文章于 2024-06-15 12:03:08 发布
最新推荐文章于 2024-06-15 12:03:08 发布
阅读量2.8k 收藏 5
点赞数 2
分类专栏: java 项目 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49499183/article/details/122499829
版权
java 同时被 2 个专栏收录
224 篇文章 27 订阅
订阅专栏
项目
17 篇文章 3 订阅
订阅专栏

目录

一、登录的常见方式

        1、单一服务器模式

        2、单点登录SSO(Single Sign On)模式

二、单点登录的几种实现方式

        1、session广播机制 

        2、使用cookie + redis 

        3、令牌(使用token)

三、JWT(Json web token)

        1、JWT的介绍 

                (1)JWT头信息

                (2)有效载荷

                (3)签名哈希

        2、JWT和session比较的优缺点 

        3、JWT的使用

                (1)引入依赖 

                (2)使用JWT工具类 

四、OAuth2 

        1、开放系统间授权的几种方式 

        2、分布式访问(单点登录) 

一、登录的常见方式

        1、单一服务器模式

        使用session对象实现。

        在登录成功后,把用户数据放到session里面

session.setAttribute("user", user);

        当需要判断是否登录时,就从session里面取数据,如果可以获取到,就是已经登录了。

session.getAttribute("user");

        早期单一服务器(例如只有一台Tomcat)常用这种用户认证模式。

        缺点是 单点性能压力大,并且无法扩展。

        2、单点登录SSO(Single Sign On)模式

        在集群环境下,一个项目包括多个微服务,如果采用以往的单一服务器登录模式,那么,在一个服务器登录上后,当我们需要访问另一个微服务时,还要再次登录。

        所谓单点登录,就是在一个微服务登录后,其他微服务上都无需再次登录即可访问。

        例如,在百度百科登录账号后,当我们再访问百度文库、百度音乐、百度地图等百度服务时,都无需再次登录 ,这就是单点登录在起作用。

二、单点登录的几种实现方式

        1、session广播机制 

        当在一个微服务上登录后,登录信息保存在session中,通过session复制,将登录信息复制到其他微服务中,这就是session广播机制。通过这种机制可以实现单点登录。

        缺点是:假如微服务较多,那么session复制的次数也会增多,并且复制出的session内容都是重复的,这对资源是一种极大的浪费。所以这种方式用于早期实现单点登录,现在已经淘汰。

        2、使用cookie + redis 

        用户在任意模块登录之后,将数据保存到两个地方:

        (1)保存到Redis中

        在key中生成唯一的值(ip、用户id等);在value中保存用户数据

        (2)将Redis生成的key值保存到cookie中

        当访问项目中其他模块时,发送请求时将cookie带上,把cookie中的值到Redis中进行查询。如果能够找到,说明已经登录过;如果找不到,说明没有登录 。

        3、令牌(使用token)

        用户在任意模块登录之后,按照一定规则生成保存用户数据的字符串,并将字符串通过cookie或者通过地址栏返回。

        当用户访问其他模块时,在地址栏中带上生成的字符串。访问模块解析该字符串,根据字符串获取信息。如果能获取到用户信息,说明已经登录过;如果获取不到,说明没有登录。

三、JWT(Json web token)

        1、JWT的介绍 

        我们都知道,token是按照一定规则生成的包含用户信息的字符串。JWT就是通用的token生成规则 

        JWT生成的字符串包含三部分:

                (1)JWT头信息

                JWT头部分是一个包含JWT元数据的JSON对象。

                (2)有效载荷

                包含主题信息(用户信息) 

                (3)签名哈希

        签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。 

        2、JWT和session比较的优缺点 

 

        JWT的优点:

        (1)可扩展性好。应用程序分布式部署的情况下,session需要做多机数据共享,通常存放在Redis里面,而jwt不需要;

        (2)无状态。jwt不在服务端存储任何状态。发出请求时,总会返回带有参数的相应,不会产生附加影响;

        (3)可以降低服务器查询数据库的次数。 

 

        JWT的缺点:

         (1)安全性。由于jwt的payload是使用base64编码的,并没有加密,因此jwt中不能存储敏感数据。而session的信息是存在服务端的,相对来说更安全;

        (2)性能。jwt太长,性能开销大得多;

        (3)一次性。想要修改里面的内容,必须重新签发一个jwt。

 

 

        3、JWT的使用

                (1)引入依赖 

<!-- JWT-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
        </dependency>

                (2)使用JWT工具类 

/**
 * @author helen
 * @since 2019/10/16
 */
public class JwtUtils {

    public static final long EXPIRE = 1000 * 60 * 60 * 24;
    public static final String APP_SECRET = "ukc8BDbRigUDaY6pZFfWus2jZWLPHO";

    public static String getJwtToken(String id, String nickname){

        String JwtToken = Jwts.builder()
                .setHeaderParam("typ", "JWT")
                .setHeaderParam("alg", "HS256")
                .setSubject("guli-user")
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRE))
                .claim("id", id)
                .claim("nickname", nickname)
                .signWith(SignatureAlgorithm.HS256, APP_SECRET)
                .compact();

        return JwtToken;
    }

    /**
     * 判断token是否存在与有效
     * @param jwtToken
     * @return
     */
    public static boolean checkToken(String jwtToken) {
        if(StringUtils.isEmpty(jwtToken)) return false;
        try {
            Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }

    /**
     * 判断token是否存在与有效
     * @param request
     * @return
     */
    public static boolean checkToken(HttpServletRequest request) {
        try {
            String jwtToken = request.getHeader("token");
            if(StringUtils.isEmpty(jwtToken)) return false;
            Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }

    /**
     * 根据token获取会员id
     * @param request
     * @return
     */
    public static String getMemberIdByJwtToken(HttpServletRequest request) {
        String jwtToken = request.getHeader("token");
        if(StringUtils.isEmpty(jwtToken)) return "";
        Jws<Claims> claimsJws = Jwts.parser().setSigningKey(APP_SECRET).parseClaimsJws(jwtToken);
        Claims claims = claimsJws.getBody();
        return (String)claims.get("id");
    }
}

四、OAuth2 

        OAuth2是针对特定问题的一种解决方案。 

         OAuth2主要用于解决两个问题:

        (1)开放系统授权

        (2)分布式访问(单点登录)

        1、开放系统间授权的几种方式 

                (1)直接给用户名密码
                (2)通用开发者key(适用于合作商之间)
                (3)办法令牌

                接近OAuth2的方式,需要考虑如何管理令牌、颁发令牌、吊销令牌,需要统一的协议。因此就出现了OAuth2协议

        2、分布式访问(单点登录) 

           登录成功之后,按照一定规则生成包含用户信息的字符串,然后将生成的字符串通过路径或者cookie传递。后面再发送请求时,每次都带着字符串进行发送,然后从字符串中获取用户信息。

        这就是OAuth2解决方案:令牌机制,按照一定规则生成包含用户信息的字符串。

        OAuth2并没有规定我们使用何种规则,比如我们可以使用JWT。

玉面大蛟龙
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oauth2.0怎么和jwt结合
mywaya2333的博客
02-29 673
在结合使用 OAuth 2.0 和 JWT 时,通常是使用 OAuth 2.0 进行用户授权和颁发访问令牌,而 JWT 则用作访问令牌(Access Token)。这可能涉及到配置授权服务器、资源服务器以及客户端,以及实现相应的 OAuth 2.0 授权流程和 JWT 的生成和验证逻辑。结合 OAuth 2.0 和 JWT 的优势在于,OAuth 2.0 提供了标准的授权机制和流程,而 JWT 则提供了自包含、无状态的访问令牌格式。这种结合使用的方式既保证了安全性,又提供了灵活性和可扩展性。
OAuth2结合JWT
Curtisjia的博客
11-01 2573
OAuth2结合JWT 无状态登录 什么是有状态 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 session,然后下次请求,用户携带 cookie 值来(这一步有浏览器自动完成),我们就能识别到对应 session,从而找到用户的信息。这种方式目前来看最方便,但是也有一些缺陷,如下: 服
OAuth2+JWT
最新发布
Eris_QwQ的博客
06-15 654
这样是对资源服务器进行深度自定义,我们可以为每个微服务编写一个配置类,比如我们现在希望用户授权了某个 Scope 才可以访问此服务。public class ResourceConfiguration extends ResourceServerConfigurerAdapter { //继承此类进行高度自定义@Override。
Oauth2系列9:JWT令牌各种实现
weigeshikebi的博客
10-07 1673
Oauth2系列1:初识Oauth2Oauth2系列2:授权码模式Oauth2系列3:接入前准备Oauth2系列4:密码模式Oauth2系列5:客户端凭据模式Oauth2系列6:隐式模式Oauth2系列7:授权码和访问令牌的颁发流程是怎样实现的?Oauth2系列8:何谓JWT令牌?
SpringSecurity-Oauth2 之JWT令牌详解
qq_42861526的博客
08-06 3603
这两个时机的执行都是依靠JwtAccessTokenConverter来完成的注意:上面说的只是组件,JWT暴露给SpringSecurity的服务是tokenService,SpringSecurity也是通过tokenService来完成token的生成、解析以及存储的 (二) 组件之间的依赖关系 JWT暴露给tokenService使用的类是tokenStore,而tokenStore又依赖于accessTokenConvert和authenticationConvert完成token的生成和解析
OAuth2:使用JWT令牌
Leon_Jinhai_Sun的博客
07-31 688
OAuth2:使用JWT令牌
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring Security是Spring框架的一个模块,专门...
基于spring security + oauth2 + jwt ,可优雅集成第三方登录.zip
05-20
本项目以"基于spring security + oauth2 + jwt,可优雅集成第三方登录"为主题,旨在提供一个能够无缝整合第三方登录系统的解决方案。 Spring Security是一个强大的安全框架,它为JavaJava EE应用程序提供了全面的...
netcore+webapi+jwt+oauth2+swagger的例子
05-06
解决方案包含五个项目 ...3.WebApiTest.ApiOauth2:.Net4.5+oauth2+swagger编写的接口 4.WebApiTest.ApiController:.Net4.5+jwt+swagger编写的接口 5.WebApiTest.MVC:在mvc中使用webapi(WebApiTest.ApiOauth2)
Oauth2+Jwt实现单点登录
qq_57756904的博客
08-24 2414
SON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为 JSON 对象。此信息可以验证和信任,因为它是数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
Auth2.0之JWT
weixin_32822759的博客
05-20 3045
一、前言 前面讲了一篇关于auth2.0入门博客,实际上在使用中,用得不是很多,因为被调用的了系统在接收到请求的时候,都需要把传入的access_token拿到认证中心去校验一下合法性,如果合法的话,则允许调用,反之将拒绝访问,这样子的架构方式会拖慢整个系统的响应速度。为了避免这个频繁的校验过程,现在常用的是Auth2结合jwt的方式,它的优点就是在消费方请求的时候,去认证中心获得一个access_token,这个token遵守一定的结构,而下游的服务接收到请求的时候,只需要把这个toke...
springsecurity Oauth2.0 + jwt 极简入门demo
asfasfasgjkl的博客
08-18 1480
springsecurity Oauth2.0 服务器和客户端 极简入门demo
SpringSecurity + jwt + Oauth2实现动态权限管理(有源码)
qq_44993268的博客
03-31 1206
spring security权限管理
OAuth2+JWT认证
qq_28326501的博客
06-22 654
一:OAuth2认证 思路: 【1】:服务创建及pom文件
大白话唠唠 Oauth2 与授权认证的那些事儿!
石杉的架构笔记
11-26 1368
我的新课《C2C 电商系统微服务架构120天实战训练营》在公众号儒猿技术窝上线了,感兴趣的同学,可以长按扫描下方二维码了解课程详情:课程大纲请参见文末出处:https://kefeng....
OAuth2+JWT 实现权限验证
程序员爱酸奶
09-18 2922
前言 文章内容输出来源:拉勾教育Java高薪训练营; 微服务架构下统⼀认证思路主要有两种形式: 1、基于 Session 的认证⽅式在分布式的环境下,基于 session 的认证会出现⼀个问题,每个应⽤服务都需要在session中存储⽤户身份信息,通过负载均衡将本地的请求分配到另⼀个应⽤服务需要将 session 信息带过去,否则会重新认证。我们可以使⽤ Session 共享、Session 黏贴等⽅案。Session ⽅案也有缺点,⽐如基于 cookie ,移动端不能有效使⽤等 2、基于 token 的认
SpringCloud Gateway + Jwt + Oauth2 实现网关的鉴权操作,真是绝了!
程序员闪充宝
08-13 6221
大家好,我是宝哥!一、背景随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务中处理。二、需求1、在网关层完成url层面的鉴权操作。所有的OPTION请求都放行。所有不存在请求,直接都拒绝访问。user-provider服务的findAllUse...
springsecurity+oauth2+jwt实现单点登录
12-16
Spring Security 是一个功能强大的身份验证和权限控制框架,OAuth2 是一个授权框架,JWT(JSON Web Token)是一种用于跨域身份验证的开放标准。当它们结合在一起时,可以实现单点登录(SSO)功能。 首先,Spring Security 用于处理用户认证和授权,可以通过用户名密码登录或者其他方式获取访问令牌。然后,OAuth2 提供了标准的授权流程,以确保用户可以安全地获取访问令牌,并且在需要时进行刷新。JWT 则是一种用于在不同系统之间安全传输信息的方式,通常用于在不同系统之间传递身份验证信息。当用户成功登录并获得访问令牌后,可以将访问令牌嵌入在 JWT 中,然后将 JWT 传递给需要进行单点登录的其他系统。 通过这种方式,用户只需要在一个系统中登录成功后,就可以在其他系统中使用同一个访问令牌进行身份验证,从而实现了单点登录的功能。同时,由于使用了标准的 OAuth2 和 JWT,可以确保用户的身份验证与授权是安全可靠的。 总之,通过结合使用 Spring Security、OAuth2 和 JWT,可以实现单点登录功能,提供更加便捷、安全的用户体验。同时,也可以方便地集成其他系统,实现统一的用户身份验证和授权管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值