对比三种认证方式:传统token认证,jwt认证,oauth认证

已于 2023-12-11 15:18:01 修改
阅读量2.2k 收藏 10
点赞数 1
分类专栏: MYLinux 文章标签: 认证
于 2023-12-11 15:15:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1319713925/article/details/134922508
版权

1. Token基本原理

1、客户端使用用户名跟密码请求登录;

2、服务端收到请求,去验证用户名与密码;

3、验证成功,服务端会签发一个Token(也就是随机生成一个字符串)保存到(Session,redis,mysql…)中,然后再把这个 Token 发送给客户端;

4、客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里;

5、客户端每次向服务端请求资源的时候需要带着服务端签发的 Token;

6、服务端收到请求,验证密客户端请求里面带着的 Token和服务器中保存的Token进行对比校验, 如果验证成功,就继续执行客户端请求的业务逻辑,否则就是验证失败报错返回给客户端;

1.1 token示例

传统的token认证,这个token就是一个随机字符串。服务端收到后,直接拿去查库比对,确认用户信息。

2. jwt认证原理

1、客户端使用用户名跟密码请求登录;

2、服务端收到请求,去验证用户名与密码;

3、验证成功,服务端会在配置文件中配置一个jwt的secret。根据secret签发一个JwtToken,无须存储到服务器,直接再把这个JwtToken发送给客户端;

4、客户端收到JwtToken以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里;

5、客户端每次向服务端请求资源的时候需要带着服务端签发的JwtToken;

6、服务端收到请求,使用jwt的secret验证密客户端请求里面带着的 JwtToken,如果验证成功,就继续执行客户端请求的业务逻辑,否则就是验证失败报错返回给客户端;

2.2 jwt token示例

这个服务端和客户端一直传输的jwttoken长啥样呢?长下面这样。

就是一个字符串,分三个部分,通过.连接起来。

Header.Payload.Signature

拆解如下:

base64UrlEncode(header)   + .  + base64UrlEncode(payload)   + .  + 签名(HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret))

2.2.1 header
# JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。
{
   "alg": "HS256",
   "typ": "JWT"
}
# 1)alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);
# 2)typ属性表示令牌的类型,JWT令牌统一写为JWT。
# 3)最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。
2.2.2 Payload
#1、有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认 字段供选择。
'''
iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT
ID用于标识该JWT
'''

#2、除以上默认字段外,我们还可以自定义私有字段,如下例:
{
"sub": "1234567890",
"name": "chongchong",
"admin": true
}
#3、注意 默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防 止信息泄露。
JSON对象也使用Base64 URL算法转换为字符串保存
2.2.3 签名哈希

签名=HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

# 1.签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。
# 2.首先,需要指定一个密码(secret),该密码仅仅为保存在服务器中,并且不能向用户公开。
# 3.然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。
# 4.HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)
# 5.在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分 隔,就构成整个JWT对象

这样一个结构,服务端拿到这个jwt token后,结合自己的secret 对前面两部分进行签名,再和jwt token中的签名进行对比,就能直接判断这个jwt token的真实性。而不再像传统认证那样去查库才能认证了。

3oauth认证原理


 OAuth(开放授权)是一个开放标准,用于授权一个应用程序或服务访问用户在另一个应用程序中的资源,而无需提供用户名和密码。这使得用户可以安全地分享他们的数据资源,同时保持对其数据的控制。OAuth 2.0在现代互联网应用中被广泛使用,例如,你可以使用你的Google账号登录到其他网站,这就是OAuth的一种应用。

简单来说:OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据。

token&jwt  都是系统自己的用户的认证方式。

oauth   是系统允许其他系统的用户来登录自己的系统。比如很多系统需要微信授权登录,实际上就是用户用微信的用户信息,登录自己的系统。作为自己系统的用户。

允许其他用户登录自己系统,还有单点登录。

单点登录,登录一个系统后,自动登录其他系统。

OAuth 2.0广泛应用于各种场景,以下是一些常见的应用场景:

  • 社交登录:用户可以使用他们的社交媒体帐户登录到其他应用程序,例如使用Google或Facebook登录。

  • API访问:开发人员可以使用OAuth 2.0来访问第三方API,例如使用GitHub API或Twitter API。

  • 单点登录:用户可以使用一个身份验证提供商登录到多个相关的应用程序,而无需多次输入凭证。

  • 授权访问:应用程序可以请求用户授权访问其资源,例如Google云存储或Dropbox。

  • 移动应用授权:移动应用程序可以安全地请求访问用户数据,如照片、联系人或位置信息。

3.1认证原理

OAuth 的核心就是向第三方应用颁发令牌。

而oauth定义了获得令牌的四种授权方式:

  • 授权码(authorization-code)
  • 隐藏式(implicit)
  • 密码式(password):
  • 客户端凭证(client credentials)

最常用的是授权码模式。

3.1.1. 授权码模式

用户访问想要访问a系统,a系统上有可以用b系统(微信)来登录。用户选择b系统登录,跳转到b系统去授权,用户点击同意授权,接着会返回到b系统中,拿到授权码。这时候用户继续访问a系统。a系统用这个授权码访问b系统(微信)。微信判断这个授权码正确,然后派发token。返回正确。a系统则可以用这个token访问用户在B系统(微信)上的资源。

慢!有杀气
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 生成token 实例_Java大白话—–Token入门案例(附demo下载)
weixin_29447313的博客
02-16 1316
Java大白话—–Token入门案例Token入门案例今天为大家介绍一下Token的基本原理(以最直白的方式)两片同样的钥匙这是一家神奇的酒店,所有的客房居然都没有钥匙孔,可是每间房们前都做着一位钥匙匠。这种革命性的酒店安全管理方式是这样的:客人来到大厅,告诉前台他的账号与密码,前台给了他一把钥匙他拿着钥匙来到房门前,钥匙匠询问了他的姓名,随即做出了一把钥匙,再与前台的钥匙进行比对,如果一致,用户...
微服务架构下鉴权与认证方案对比:Oauth2 VS JWT
chengpingdu7094的博客
08-03 410
转载于:https://my.oschina.net/neverforget/blog/1501559
传统tokenJwt区别及优缺点
qq_41369135的博客
05-08 4037
一、传统token 例子:传统token登陆过程 前端点击登陆,服务器验证账号密码成功 服务器生成令牌,本质是一个32位的uuid 将该令牌存到数据库或redis中,key是uuid,value是userId 把令牌返给客户端,客户端把令牌存在cookie中。 下次请求的时候就把令牌放在请求头里带上 从redis中验证该令牌是否过期 获取value内容userId 根据userId查询用户信息,再返回客户端 传统toke.
Token验证流程、代码示例、优缺点和安全策略,一文告诉你。
最新发布
贝格前端工场的博客
05-29 1277
Token是一种用于身份验证和授权的令牌,通常用于在客户端和服务器之间进行安全的通信。在Web开发中,Token通常指的是JSON Web TokenJWT),它是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。JWT通常由三部分组成,通过句点(.)分隔开来:1包含了Token的类型和使用的加密算法等信息。2.包含了要传输的信息,例如用户的身份信息、权限等。
shiro-jwt-oauth权限认证
11-11
包含两个项目模块,一个是基于jwttoken认证方式,一个是基于shiro-jwt-oatuh的认证方式
(36.2)【Token漏洞专题】Token原理认证过程、爆破过程
04-17 4334
【专题】Token爆破专题
JWTtoken的区别及优缺点
kymengfw的博客
05-19 1564
JWTtoken的区别及优缺点 TOKEN 概念: 令牌, 是访问资源的凭证。 1、Token认证流程: 用户输入用户名和密码,发送给服务器。 服务器验证用户名和密码,正确的话就返回给客户端一个签名过的token。 浏览器客户端拿到这个token,存储到cookie或者localStorage中。 客户端后续每次请求中,会在 header中携带token发送给服务器。 服务器器验证token并解析出用户ID等相关信息,通过调取数据库信息比对,如果有效那么
JWTOAuth2.0的理解
weixin_43361158的博客
02-09 2410
JWT 无状态 1. 识别用户的身份信息是由客户端自己去携带 服务端不保存客户端请求的用户信息 客户端的每次请求必须具备自描述信息,通过这些信息识别客户端身份 2. 好处: 客户端请求不依赖服务端的信息,任何多次请求不需要必须访问到同一台服务 服务端的集群和状态对客户端透明 服务端可以任意的迁移和伸缩 减小服务端存储压力 3. 无状态的实现 无状态登录的流程: 当客户端第一次请求服务时,服务端对用户进行信息认证(登录) 认证通过,将用户信息进行加密形成token,返回给客户端,作为登录凭证 以后每
基于token认证原理是怎样的?
fly_zhaohy的博客
01-15 982
它的交互流程是,用户认证成功后,服务端生成一个token发给客户端,客户端可以放到 cookie 或 localStorage等存储中,每次请求时带上 token,服务端收到token通过验证后即可确认用户身份。 ...
什么是token认证
weixin_47427787的博客
07-30 3113
token认证
于 Spring Boot 开发的 OAuth 认证服务器
11-05
OAuth 2.0 提供了一种安全地获取和使用访问令牌的方式来保护数据。 2. **Spring Security OAuth2** Spring Security OAuth2 是Spring生态系统中的一个模块,它提供了实现OAuth 2.0协议所需的所有组件。我们可以...
Oauth-jwt网关鉴权等项目系统认证的知识
09-01
OAuth(开放授权)和JWT(JSON Web Token)是两种广泛用于身份验证和授权的技术,通常会在网关层进行整合,以实现高效、安全的系统认证OAuth 2.0 是一个授权框架,允许第三方应用在用户许可的情况下访问其私有...
详解SpringCloud服务认证JWT
08-28
在微服务架构中,服务认证是非常关键的一环,SpringCloud提供了多种认证方式,其中JWT(JSON Web Token)因其独特的优势被广泛应用。JWT是一种基于JSON的开放标准(RFC 7519),主要用于在网络应用环境中安全地传输...
Spring Cloud下基于OAUTH2认证授权的实现示例
08-27
Spring Cloud下基于OAUTH2认证授权的实现示例 本文主要介绍了Spring Cloud下基于OAUTH2认证授权的实现示例,主要分为四大部分:服务注册和发现、OAUTH2认证授权中心、普通微服务和边界网关。通过OAUTH2实现多个...
基于Token的身份验证:安全与效率的结合
你若盛开,清风自来
03-09 2085
🔍本文深入探讨了基于Token的身份验证机制,解析了Token的作用原理和优势,以及如何实现安全、高效的用户认证。了解这一技术,有助于我们构建更安全、更灵活的Web应用。🌟Token是一种用于识别用户身份的小型数据片段,它可以代表用户的权限和状态信息。Token在用户和服务器之间传递,实现了用户认证和授权的功能。Token,通常称为令牌,是一种对用户进行身份验证的方法。在计算机科学中,Token通常是一种轻量级的认证方法,它可以在客户端和服务器之间传递,以确认用户的身份。
Token验证与用户名加密码验证的区别
ly_twt的博客
10-06 5518
1、什么是Token验证? Token是一种用户身份的验证方式,通常叫做令牌验证。当用户第一次登录成功后,服务器会生成一个Token并将此Token返回给用户,以后用户只需要带上这个Token前来请求数据即可,无需再用用户名和密码。 2、Token验证过程 ①首次登录时,客户端通过用户名与密码请求登录 ②服务端收到请求并验证用户名与密码 ③若验证通过,服务端会签发一个Token,该Tok...
前端应该学习的 Token 登录认证知识
04-12 384
使用基于Token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:1.前端使用用户名跟密码请求首次登录2.后服务端收到请求,去验证用户名与密码是否正确3.验证成功后,服务端会根据用户id、用户名、定义好的秘钥、过期时间生成一个Token,再把这个Token发送给前端4.前端收到 返回的Token,把它存储起来,比如放在Cookie里或者里resources?: string[];5.前端每次路由跳转,判断有无token,没有则跳转到登录页。有则请求获取用户信息,改变登录状态;
Oauth2系列9:JWT令牌各种实现
weigeshikebi的博客
10-07 1673
Oauth2系列1:初识Oauth2Oauth2系列2:授权码模式Oauth2系列3:接入前准备Oauth2系列4:密码模式Oauth2系列5:客户端凭据模式Oauth2系列6:隐式模式Oauth2系列7:授权码和访问令牌的颁发流程是怎样实现的?Oauth2系列8:何谓JWT令牌?
基于springboot+oauth2.0+jwttoken鉴权认证开发的后台接口
08-17
基于Spring Boot、OAuth2.0和JWT Token鉴权认证开发的后台接口是一种使用现代化技术实现的身份验证和授权机制。下面是关于这种后台接口的一些说明: 首先,Spring Boot是一个基于Spring框架的快速开发框架,提供了简化的配置和自动化的特性,使开发者能够更快速高效地开发后台接口。 OAuth2.0是一种开放标准的授权协议,它允许用户授权第三方应用访问他们在资源拥有者上存储的信息,而不需要将用户名和密码提供给第三方。 JWT Token(JSON Web Token)是一种用于在网络应用间安全传递声明的一种方式。它被用作身份验证和授权的令牌,通过加密并以JSON格式存储信息,确保信息的完整性和安全性。 基于以上技术,我们可以开发出具有强大安全认证能力的后台接口。首先,用户在访问接口时,需要提供他们的身份证明,这可以是用户名和密码。接口服务器会使用OAuth2.0协议进行身份验证,并颁发JWT Token给用户。用户在未来的请求中,可以使用该Token进行身份验证,而无需每次都提供用户名和密码。 接口服务器会对JWT Token进行验证,以确保Token的完整性和有效性。如果Token失效或被伪造,访问将被拒绝。如果验证通过,接口服务器会正常处理用户的请求。 使用Spring Boot和OAuth2.0进行开发,可以方便地设置权限和角色。可以根据用户的角色和权限,限制他们对某些资源的访问。 总之,基于Spring Boot、OAuth2.0和JWT Token鉴权认证开发的后台接口提供了一种安全可靠的身份验证和授权机制,能够有效保护后台接口的安全性,防止非法访问和数据泄露。这种技术组合在开发现代化的网络应用时非常有用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值