OAuth2.0、和jwt、spring security之间的区别和联系

最新推荐文章于 2024-03-29 20:02:07 发布
最新推荐文章于 2024-03-29 20:02:07 发布
阅读量416 收藏
点赞数
分类专栏: spring family 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65775063/article/details/133834210
版权

OAuth2.0的概念

OAuth 2.0开放授权,OAuth 2.0 是一种授权框架,用于授权第三方应用程序访问用户资源而无需共享用户的凭据。它为用户提供了更好的隐私和安全性,并允许用户对授权进行细粒度的控制,颁发的token是第三方应用程序颁发的token,当然如果是第一方的服务,都是由第一放颁发token,可以采用密码模式

OAuth2.0的四种角色

  • 资源所有者 (Resource Owner):可以指拥有资源的用户
  • 客户端 (Client):可以理解为第三方系统/软件
  • 授权服务器 (Authorization Server):权限校验和授权系统(认证服务中心)
  • 资源服务器 (Resource Server):受保护的资源,用户在系统上所具有的资源/或者能够访问的资源

OAuth 2.0 通过授权服务器颁发访问令牌 (Access Token),该令牌用于访问受保护的资源服务器上的资源

OAuth2.0的四种授权模式 

授权码模式

授权服务器将授权码(AuthorizationCode)转经浏览器发送给client,客户端拿着授权码向授权服务器索要访问access_token,这种模式是四种模式中最安全的一种模式。一般用于Web服务器端应用或第三方的原生App调用资源服务的时候

密码模式

资源拥有者将用户名、密码发送给客户端,客户端拿着资源拥有者的用户名、密码向授权服务器请求令牌(access_token),密码模式使用较多,适应于第一方的单页面应用以及第一方的原生App

客户端模式

客户端向授权服务器发送自己的身份信息,并请求令牌(access_token),确认客户端身份无误后,将令牌(access_token)发送给client,这种模式是最方便但最不安全的模式。因此这就要求我们对client完全的信任,而client本身也是安全的。因此这种模式一般用来提供给我们完全信任的服务器端服务

简化模式

资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,授权服务器将授权码将令牌(access_token)以Hash的形式存放在重定向uri的fargment中发送给浏览器

更详细的介绍请移步:OAuth2.0四种授权模式

JWT(JSon Web Token)

JWT 是一种基于 JSON 的开放标准 (RFC 7519),用于在各方之间安全地传输信息。JWT 包含了经过数字签名或加密的 JSON 对象,可以安全地在各个系统之间传递。JWT 的格式由三部分组成:头部 (Header)、载荷 (Payload) 和签名 (Signature)。它可以用于验证和确定发送方的身份以及传输的数据是否被篡改

spring security

Spring Security 是一个用于在 Java 应用程序中处理身份验证和授权的强大框架。它提供了一套全面的安全特性,用于保护应用程序免受各种安全威胁,并支持各种身份验证和授权机制。Spring Security 可以与 OAuth 2.0 和 JWT 等技术集成,以实现更加灵活和安全的身份验证和授权流程。

小趴菜不能喝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security oauth2以及jwt实现sso单点登陆的功能
05-07
该资源实现了一个sso单点登陆的功能,类似于在淘宝网登陆之后可以不需要登陆天猫即可访问天猫网;使用了spring security oauth2以及jwt
OAuth2 vs JWT,到底怎么选?
m0_71777195的博客
06-15 3681
本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT)假设:要比较JWT和OAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。先来搞清楚JWT和OAuth2究竟是干什么的~JWT在标准中是这么定义的:JWT是一种安全标准。基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个Token(令牌),用户可以使用这个token访问服务器上受保护的资源。一个token的例子: 一个
OAuth2 vs JWT,到底怎么选?,java架构师面试宝典和答案
最新发布
m0_60567796的博客
03-29 678
在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。但是你要学习的往往不止这一点,还有一些主流框架的使用,Spring源码的学习,Mybatis源码的学习等等都是需要掌握的,我也把这些知识点都整理起来了24b (备注Java)**[外链图片转存中…(img-UJ6MYTqZ-1711713716991)]在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。
Token、CAS、JWT和OAuth 2.0认证系统认证中心系统设计对比与实践总结
qq_33665793的博客
02-07 1291
为了解决身份认证的需求,开发人员可以选择不同的认证系统,如Token、CAS(Central Authentication Service)和JWT(JSON Web Token)OAuth 2.0认证系统。Token、CAS、JWT和OAuth 2.0认证系统认证系统都是常见的身份认证解决方案,每种认证系统都有其优点和适用场景。- 技术栈和生态系统:考虑到技术栈和生态系统的因素,选择能够与现有技术栈无缝集成的认证系统。- 安全性:不同的认证系统有不同的安全特性,需要根据项目的安全需求选择合适的认证系统。
OAuth2JWT区别JWT的适用场景及好处(九)
FAIRYTAIL的博客
08-28 6684
什么是jwtjwt相对于oauth2和session的好处
Spring Security OAuth2 开发指南
dibimian8850的博客
09-27 2447
官方原文:http://projects.spring.io/spring-security-oauth/docs/oauth2.html 翻译及修改补充:Alex Liao. 转载请注明来源:http://www.cnblogs.com/xingxueliao/p/5911292.html Spring OAuth2.0 提供者实现原理: Spring OAuth2.0提供...
JWTOAuth2.0
Kard的博客
12-31 8008
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。 OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
OAuth2JWT
Minor的Java技术博客
07-25 1549
这种模式需要客户端、服务端、三方服务器共同协调完成,这种模式需要三方应用客户端通过授权得到一个Code码,客户端拿着这个code请求自己公司的服务端,服务器通过code去三方应用获取一个Access_Token,得到三方的Access_Token以后,服务器就可以调用API获取用户的一些非敏感信息了,例如可以拿到用户的头像、用户名、账号ID、open_id、union_id等。目前主流的版本是OAuth2。这种模式抛弃了用户的概念,客户端以自己的名义发起授权请求,这种模式适用于命令行的一些基础应用。...
JWT、CAS、Oauth2、SAML单点登录SSO对比分析
07-17 4883
单点登录(SSO),英文全称为 Single Sign On。 SSO 是指在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。目前主流的SSO技术有JWT、CAS、Oauth2、SAML等,这些SSO技术的原理是什么,有什么优缺点,如何选择?...
微服务中鉴权方式OAtuh2JWT的比较
Enzo
07-15 957
统一认证与授权是微服务架构的基础功能,微服务架构不同于单体应用的架构,认证和授权非常集中。当服务拆分之后,对各个微服务认证与授权变得非常分散,所以在微服务架构中,将集成统一认证与授权的功能,作为横切关注点。 常见的认证与授权方案 常见的认证与授权方案有 OAuth、分布式 Session、OpenID 和 JWT 等 OAtuh2 OAuth2 相关理论的介绍主要来自于OAuth2官方文档,相关地址为https://tools.ietf.org/html/rfc6749。 OAuth2是当前授权的行业标准,
验证服务:Spring Security + OAuth2.0 + JWT
02-21
更改日志2018.9.1版本升到2.0-SNAPSHOT ,要使用sb1.5.x版本,请切换到TAG 1.0-RELEASE Spring Cloud Security升级到Finchley.RELEASE ,Spring Boot由1.5.X升级到2.0.X。 < dependency> < groupId>org.spring...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
SpringSecurity+OAuth2+JWT分布式权限控制
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
OAuth2.0实战(三)-使用JWT
JavaEdge全是干货的技术号
10-19 2823
授权服务的核心就是颁发访问令牌,而OAuth 2.0规范并没有约束访问令牌内容的生成规则,只要符合唯一性、不连续性、不可猜性。可以灵活选择令牌的形式,既可以是没有内部结构且不包含任何信息含义的随机字符串,也可以是具有内部结构且包含有信息含义的字符串。 之前生成令牌的方式都是默认一个随机字符串。而在结构化令牌这方面,目前用得最多的就是JWT令牌。 什么是JWT? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑、自包含的方式,作为JSON对象在各方之间安全地传输信息,
OAuth2jwtspringsecurity之间区别联系
qq_56533553的博客
06-24 1518
OAuth 2.0 的核心概念包括资源所有者 (Resource Owner)、客户端 (Client)、授权服务器 (Authorization Server) 和资源服务器 (Resource Server)。Spring Security 可以与 OAuth 2.0 和 JWT 等技术集成,以实现更加灵活和安全的身份验证和授权流程。OAuth 2.0、JWT (JSON Web Token) 和 Spring Security 是安全相关的概念和技术,它们有着不同的功能和用途。
Spring Security 和 OAuth2的简单介绍
weixin_44699348的博客
01-05 7309
Spring Security 和 OAuth2的简单介绍 Spring Security Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。 它是一个专注于为Java应用程序提供认证和授权的框架。像所有的Spring项目一样,Spring Security的真正威力在于它可以很容易地扩展以满足客户的需求。 做web应用时,一般都需要用到安全框架,而现在web应用中,主要
springsecurity oauth2.0 jwt
03-16
Spring Security是一个基于Spring框架的安全框架,它提供了一系列的安全服务,包括身份认证、授权、攻击防护等。OAuth2.是一种授权协议,用于授权第三方应用访问用户资源。JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,它可以在客户端和服务器之间传递信息,以便在不同的系统之间进行安全认证。在Spring Security中,可以使用OAuth2.和JWT来实现安全认证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值