OAuth2 vs JWT,到底怎么选?,java架构师面试宝典和答案

最新推荐文章于 2024-05-06 20:54:38 发布
最新推荐文章于 2024-05-06 20:54:38 发布
阅读量866 收藏 30
点赞数 23
分类专栏: 2024年程序员学习 文章标签: java 面试 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60567796/article/details/137155010
版权

点击关注公众号,Java干货****及时送达ab0df896163e1674a357ce3b0e1cb672.png

转自:乐傻驴

链接:www.jianshu.com/p/1f2d6e5126cb

本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT)

假设:

  • 你已经或者正在实现API;

  • 你正在考虑选择一个合适的方法保证API的安全性;

JWT和OAuth2比较?

要比较JWT和OAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。

先来搞清楚JWT和OAuth2究竟是干什么的~

JSON Web Token (JWT)

JWT在标准中是这么定义的:

JSON Web Token (JWT) is a compact URL-safe means of representing claims to be transferred between two parties. The claims in a JWT are encoded as a JSON object that is digitally signed using JSON Web Signature (JWS). -RFC7519 https://tools.ietf.org/html/rfc7519

JWT是一种安全标准。基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个Token(令牌),用户可以使用这个token访问服务器上受保护的资源。

一个token的例子:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

一个token包含三部分:

header.claims.signature

了安全的在url中使用,所有部分都 base64 URL-safe进行编码处理。

Header头部分头部分简单声明了类型(JWT)以及产生签名所使用的算法。

{  “alg” : “AES256”,  “typ” : “JWT”}

Claims声明

声明部分是整个token的核心,表示要发送的用户详细信息。有些情况下,我们很可能要在一个服务器上实现认证,然后访问另一台服务器上的资源;或者,通过单独的接口来生成token,token被保存在应用程序客户端(比如浏览器)使用。一个简单的声明(claim)的例子:

{  “sub”: “1234567890”,  “name”: “John Doe”,  “admin”: true}

Signature签名

签名的目的是为了保证上边两部分信息不被篡改。如果尝试使用Bas64对解码后的token进行修改,签名信息就会失效。一般使用一个私钥(private key)通过特定算法对Header和Claims进行混淆产生签名信息,所以只有原始的token才能于签名信息匹配。

这里有一个重要的实现细节。只有获取了私钥的应用程序(比如服务器端应用)才能完全认证token包含声明信息的合法性。所以,永远不要把私钥信息放在客户端(比如浏览器)。

OAuth2是什么?

相反,OAuth2不是一个标准协议,而是一个安全的授权框架。它详细描述了系统中不同角色、用户、服务前端应用(比如API),以及客户端(比如网站或移动App)之间怎么实现相互认证。

The OAuth 2.0 authorization framework enables a third-party application to obtain limited access to an HTTP service, either on behalf of a resource owner by orchestrating an approval interaction between the resource owner and the HTTP service, or by allowing the third-party application to obtain access on its own behalf. -RFC6749 https://tools.ietf.org/html/rfc6749

这里简单说一下涉及到的基本概念。最新面试题整理好了,点击Java面试库小程序在线刷题。

Roles角色应用程序或者用户都可以是下边的任何一种角色:

Client Types客户端类型这里的客户端主要指API的使用者。它可以是的类型:

Client Profile客户端描述OAuth2框架也指定了集中客户端描述,用来表示应用程序的类型:

Authorization Grants认证授权认证授权代表资源拥有者授权给客户端应用程序的一组权限,可以是下边几种形式:

OAuth2框架需要下边几种终端:

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Java)
img

总结

在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。但是你要学习的往往不止这一点,还有一些主流框架的使用,Spring源码的学习,Mybatis源码的学习等等都是需要掌握的,我也把这些知识点都整理起来了

面试真题

Spring源码笔记

24b (备注Java)**
[外链图片转存中…(img-UJ6MYTqZ-1711713716991)]

总结

在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。但是你要学习的往往不止这一点,还有一些主流框架的使用,Spring源码的学习,Mybatis源码的学习等等都是需要掌握的,我也把这些知识点都整理起来了

[外链图片转存中…(img-ZoKAySOS-1711713716991)]

[外链图片转存中…(img-sGzlNN2X-1711713716992)]

人工智能AL
关注
  • 23
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2 开发指南
dibimian8850的博客
09-27 2460
官方原文:http://projects.spring.io/spring-security-oauth/docs/oauth2.html 翻译及修改补充:Alex Liao. 转载请注明来源:http://www.cnblogs.com/xingxueliao/p/5911292.html Spring OAuth2.0 提供者实现原理: Spring OAuth2.0提供...
Spring Cloud OAuth2和JWT保护微服务.docx
01-12
Spring Cloud OAuth2 和 JWT 保护微服务 本文将详细介绍 Spring Cloud OAuth2 和 JWT 保护微服务的实现方法。OAuth2 是一种authorization framework,能够提供安全的身份验证和授权机制,而 JWT(JSON Web Token)...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo包含服务端和客户端,可直接运行测试。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
2024年网络安全最全JWT VS OAuth2, 如何设计一个安全的API接口?(1),2024年阿里网络安全高级面试题及答案
最新发布
2301_76379776的博客
05-06 628
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
OAuth2和JWT
Minor的Java技术博客
07-25 1610
这种模式需要客户端、服务端、三方服务器共同协调完成,这种模式需要三方应用客户端通过授权得到一个Code码,客户端拿着这个code请求自己公司的服务端,服务器通过code去三方应用获取一个Access_Token,得到三方的Access_Token以后,服务器就可以调用API获取用户的一些非敏感信息了,例如可以拿到用户的头像、用户名、账号ID、open_id、union_id等。目前主流的版本是OAuth2。这种模式抛弃了用户的概念,客户端以自己的名义发起授权请求,这种模式适用于命令行的一些基础应用。...
REST API 的安全认证,我放弃OAuth 2.0 ,JWT 令牌
公众号-老炮说Java
09-26 594
点击上方蓝色字体,择“标星公众号”优质文章,第一时间送达 关注公众号后台回复pay或mall获取实战项目资料+视频 作者:魔王不造反来源:blog.biezhi.me/2019/01/...
JWTOAuth2.0
Kard的博客
12-31 8335
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。 OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
OAuth2与JWT的区别JWT的适用场景及好处(九)
FAIRYTAIL的博客
08-28 6796
什么是jwtjwt相对于oauth2和session的好处
OAuth2 vs JWT到底怎么
m0_71777195的博客
06-15 3710
本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT)假设:要比较JWTOAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。先来搞清楚JWTOAuth2究竟是干什么的~JWT在标准中是这么定义的:JWT是一种安全标准。基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个Token(令牌),用户可以使用这个token访问服务器上受保护的资源。一个token的例子: 一个
JWT、CAS、Oauth2、SAML单点登录SSO对比分析
07-17 5037
单点登录(SSO),英文全称为 Single Sign On。 SSO 是指在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。目前主流的SSO技术有JWT、CAS、Oauth2、SAML等,这些SSO技术的原理是什么,有什么优缺点,如何择?...
微服务中鉴权方式OAtuh2与JWT的比较
Enzo
07-15 974
统一认证与授权是微服务架构的基础功能,微服务架构不同于单体应用的架构,认证和授权非常集中。当服务拆分之后,对各个微服务认证与授权变得非常分散,所以在微服务架构中,将集成统一认证与授权的功能,作为横切关注点。 常见的认证与授权方案 常见的认证与授权方案有 OAuth、分布式 Session、OpenID 和 JWT 等 OAtuh2 OAuth2 相关理论的介绍主要来自于OAuth2官方文档,相关地址为https://tools.ietf.org/html/rfc6749。 OAuth2是当前授权的行业标准,
springboot-oauth2-jwt-example:通过JWT令牌学习Oauth2
05-03
springboot-oauth2-jwt-example 通过JWT令牌学习Oauth2
对比三种认证方式:传统token认证,jwt认证,oauth认证
qq1319713925的博客
12-11 1899
详解几种认证方式的原理和区别
OAuth2,jwt,springsecurity之间的区别和联系
qq_56533553的博客
06-24 1654
OAuth 2.0 的核心概念包括资源所有者 (Resource Owner)、客户端 (Client)、授权服务器 (Authorization Server) 和资源服务器 (Resource Server)。Spring Security 可以与 OAuth 2.0 和 JWT 等技术集成,以实现更加灵活和安全的身份验证和授权流程。OAuth 2.0、JWT (JSON Web Token) 和 Spring Security 是安全相关的概念和技术,它们有着不同的功能和用途。
OAuth2.0、和jwt、spring security之间的区别和联系
StringBuffer Obj 的博客
10-15 449
介绍OAuth2.0和jwt spring security之间的关系
OAuth2+JWT新一代认证技术
a154555的博客
09-19 3045
认证方式: 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
【方向盘】通俗易懂版讲解JWTOAuth2,以及他俩的区别和联系(Token鉴权解决方案)(中)
ywb201314的专栏
09-27 668
【方向盘】通俗易懂版讲解JWTOAuth2,以及他俩的区别和联系(Token鉴权解决方案)(中)
SpringSecurity+Jwt+Aouth2实现前后端分离的登录认证(有源码)
qq_44993268的博客
03-27 2900
基于springSecurity的简易登录系统
springboot集成oauth2和jwt
06-28
### 回答1: Spring Boot可以集成OAuth2和JWT,实现安全的身份验证和授权。OAuth2是一种授权框架,允许用户授权第三方应用程序访问他们的资源。JWT是一种JSON Web Token,用于在客户端和服务器之间传递安全信息。 要集成OAuth2和JWT,需要使用Spring Security和Spring Boot Starter Security。首先,需要配置OAuth2客户端和服务器端,以便客户端可以通过服务器端进行身份验证和授权。然后,需要配置JWT令牌,以便客户端可以使用令牌来访问受保护的资源。 在配置完成后,可以使用Spring Security的注释和过滤器来保护应用程序的资源。例如,可以使用@PreAuthorize注释来限制只有特定角色或权限的用户才能访问某些资源。 总之,Spring Boot集成OAuth2和JWT可以帮助开发人员实现安全的身份验证和授权,保护应用程序的资源免受未经授权的访问。 ### 回答2: SpringBoot是一种用于构建微服务的框架,它提供了许多便捷的功能,比如自动配置、内嵌容器等。OAuth2和JWT是现代Web应用程序中的两个关键技术,用于确保安全性和授权。本文将介绍如何使用SpringBoot集成OAuth2和JWTOAuth2是一个用于授权的开放标准,它让第三方可以利用某个授权服务器允许的授权进行访问。OAuth2有四种授权模式:授权码、简化模式、密码模式和客户端模式。其中,授权码模式和简化模式是最常用的。 为了实现集成OAuth2,我们需要以下几个步骤: 1. 添加Maven依赖。我们需要添加spring-security-oauth2和spring-security-jwt的依赖,这两个依赖用于构建我们的安全框架。 2. 创建一个安全配置类。我们可以使用@EnableAuthorizationServer和@EnableResourceServer注释来标记该类。这两个注释指示SpringBoot使用OAuth2和JWT作为授权和安全框架。 3. 配置OAuth2的凭据和权限。我们需要提供OAuth2服务器的凭据,这些凭据将用于授权客户端和资源服务器。此外,我们还需要配置每个客户端的权限。我们可以使用AuthorizationServerConfigurerAdapter类中的configure(ClientDetailsServiceConfigurer)方法来完成此操作。 4. 配置JWT的秘钥。JWT是一种基于JSON的开放标准,用于安全地传输信息。为了确保JWT的安全性,我们需要使用签名算法生成JWT的签名。我们可以使用AuthorizationServerConfigurerAdapter类中的tokenStore()方法和JwtAccessTokenConverter类来配置JWT。 以上就是SpringBoot集成OAuth2和JWT的基本步骤。集成后我们可以通过OAuth2获取访问令牌,并使用JWT对其进行签名和验证。这种集成为我们的应用程序带来了更高的安全性和授权功能,是现代Web应用程序中不可或缺的技术之一。 ### 回答3: OAuth2是目前公认的授权协议标准之一,它通过提供授权访问令牌的方式,实现了无需暴露用户凭证即可访问受保护的数据资源。 Spring Boot提供了许多集成Spring Security的方式,其中就包括对OAuth2的支持。Spring Boot OAuth2集成可帮助我们在应用程序中实现授权和认证的功能。 JWT是一种轻量级的认证和授权机制,在认证成功后,服务器会生成一个基于JSON的令牌,该令牌包含有关用户身份的信息,然后将其发送回客户端。客户端使用此令牌可以访问应用程序的资源。 Spring Boot同样支持对JWT的集成,以便在服务器端和客户端之间完成对称加密和解密的过程。 Spring Boot集成OAuth2和JWT通常需要实现以下步骤: 1. 添加依赖关系:为了使用OAuth2和JWT,我们需要在项目中添加相应的依赖关系。可以使用Maven或Gradle工具来添加依赖关系。 2. 配置OAuth2:在配置文件中添加OAuth2支持的客户端信息、访问令牌的有效期、授权服务器地址、安全配置和JWT密钥等信息。 3. 实现授权服务器:我们需要在应用程序中实现授权服务器,以便为已注册的客户端颁发令牌。这通常需要实现一些Spring Security过滤器,并添加一些额外的配置类来处理OAuth2请求和响应。 4. 注册用户服务:可以使用内存或数据库来存储用户信息,并使用Spring Security提供的相关类来注册用户服务。 5. 实现保护资源:添加Spring Security配置类以保护资源,访问这些资源需要提供有效的令牌。 6. 添加自定义JWT:如果需要自定义JWT,则需要添加Spring Security配置类,并实现相关的JWT生成和验证代码。 总之,Spring Boot的OAuth2和JWT支持让我们在应用程序中实现强大的授权和认证功能,保护我们的数据资源免受未经授权的访问。这些功能可以通过简单的配置和自定义实现来满足不同应用程序的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值