JSON Web Token(JWT)对比Opaque Token

已于 2022-05-13 13:38:26 修改
阅读量2.7k 收藏 3
点赞数
分类专栏: java choho 文章标签: web安全 spring
于 2022-05-12 20:45:19 首次发布
原文链接:https://medium.com/@piyumimdasanayaka/json-web-token-jwt-vs-opaque-token-984791a3e715
版权
本文探讨了基于token的身份验证,重点比较了JWT和Opaque Tokens两种技术。JWT是自包含的JSON对象,适合分布式微服务环境,但其不可撤销和大小限制可能带来挑战。而Opaque Tokens作为不可读的键,依赖数据库存储用户信息,允许更灵活的角色管理和数据流量控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

身份验证通常用来验证某人或某事是否如它所说的那样是谁或者是什么。
身份验证技术通过测试查看用户的凭据是否与经过身份验证的用户数据库或服务器中的凭据相匹配,从而提供设备访问控制。
基于token的身份验证的工作原理是,确保每个到服务器的请求后面都有一个签名的令牌,服务器验证该令牌的有效性,然后才响应请求。
token是一段本身没有什么意义或用途的数据,但它根据正确的令牌化方法,在保护应用程序方面发挥了关键作用。

为什么用token而不是传统方式?
  • 令牌是无状态的:令牌是自包含的,包括所需的所有身份验证信息。对于可伸缩性,这是完美的,因为它使您的服务器不必存储会话状态
  • 令牌可以从任何地方生成:令牌的生成与令牌身份验证解耦,允许您在单独的服务器上管理令牌签名,甚至通过另一家公司(如Auth0)
  • 细粒度访问控制:您可以轻松地在令牌有效负载(payload)中定义用户角色和权限,以及用户可以访问的服务
有很多相关技术,但主要是两种:
  1. JWT: Json Web Tokens
  2. Opaque Tokens

让我们学习一下这些令牌是什么,以及在不同情况下做出不同的技术选择。

1.JWT(Json Web Tokens)

实际上,JWT令牌是一个完整的JSON对象,使用base64编码,然后使用对称共享密钥或公共/私有密钥对签名。不同之处在于,如果您的客户需要验证令牌是否已签名,但不允许该客户生成令牌,那么您可以向该客户提供不能生成但仍然验证令牌的公钥。
JWT由三个部分组成: HeaderPayloadSignature
报头和有效负载由Base64编码,然后按时间连接,最后以算法方式对结果进行签名,以header.claims.signature的形式创建一个令牌。报头由用于对令牌进行签名的元数据组成,包括令牌形式和散列算法。有效负载包括关于令牌编码的语句的信息。
看这个JWT:header.claims.signature

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
.eyJtZXNzYWdlIjoiSldUIFJ1bGVzISIsImlhdCI6MTQ1OTQ0ODExOSwiZXhwIjoxNDU5NDU0NTE5fQ
.-yIVBD5b73C75osbmwwshQNRC7frWUYrqaTjTpza2y4

JWT的优点:
它们可以在没有备用商店的情况下使用。令牌本身内部是验证用户所需的所有信息。它使得在分布式微服务环境中很容易不依赖集中的身份验证服务器和数据库。为了处理令牌的验证,单个微服务只需要一些中间件(JWT库对从Express到JVM MVC框架的任何东西都是公开访问的)和验证所需的密钥。
JWT的缺点:

  • jwt的一个缺点是,如果您需要立即执行操作,那么阻止用户或添加/删除角色会比较困难。要知道,JWT有一个预定义的过期日期,可以设置为未来一周。由于令牌存储在客户端,即使您在数据库中将用户标记为禁用,也没有办法直接使令牌无效。相反,您必须等待它过期。特别是,在开发公共API时,这可能会影响体系结构,而单个高级用户或重要的电子商务应用程序可能无法满足这种需求。
  • 另一方面,如果你有一个包含多个职位的企业应用,比如管理员、项目所有者、服务客户经理,你想要立即产生影响,那么创建它可能会很棘手。特别是,考虑这样一种情况:管理员正在更改其他人(例如他/她的直接报告)的授权角色。因此,如果不刷新JWT,更新后的用户甚至不会意识到他/她的角色发生了变化。
  • 第二个缺点是,随着添加更多字段,令牌将扩展。在无状态应用程序中,令牌几乎对每个请求都发送,因此可能会对数据流量大小产生影响。例如,我们前面提到的企业应用程序可能有几个功能,这可能会增加要存储在令牌中的内容的膨胀和复杂性。考虑设计用于备份AWS或Azure的Web门户的api。对于每个用户的每个资源,您都有目标权限。

2.Opaque Tokens

正如我在前面所解释的,JWT具有可读的内容。每个人都可以解码token并读取其中的信息。另一方面,不透明令牌具有您不打算读取的格式。只有颁发者知道格式。
从字面上看,不透明令牌就像它们听起来那样。不透明令牌只是一个主键,它引用具有数据的数据库条目,而不是在令牌中存储用户标识和声明。像Redis这样的快速键值存储对于利用O(1)搜索payload的内存哈希表来说是完美的。由于角色是直接从数据库中读取的,所以可以修改角色,只要将修改传播到后端,用户就可以看到新的角色。

在Auth0的情况下,不透明令牌可以与/userinfo端点一起使用,以返回用户的配置文件。
如果你收到一个不透明的访问令牌,你不需要验证它。您可以将它与/userinfo端点一起使用,剩下的工作由Auth0负责。

不透明的JWT刷新令牌是一个矛盾。这里的实际意思是,在一些JWT框架中,只有身份验证令牌是JWT,但作为刷新令牌,它们使用不透明令牌。
一文精通JWT Token、ID Token、Access Token、Refresh Token
FeelTouch Labs
02-21 1735
用于授权访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授权范围、有效期,以及其他授权事项;一个 Bearer 在存储和传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更新。
微服务架构中的身份验证问题 :JSON Web Tokens( JWT)
热门推荐
灯塔的CSDN博客
12-07 6万+
本文翻译自:http://www.svlada.com/jwt-token-authentication-with-spring-boot/ 场景介绍软件安全是一件很负责的问题,由于微服务系统中每个服务都要处理安全问题,所以在微服务场景下会更加复杂,一般我们会四种面向微服务系统的身份验证方案。 在传统的单体架构中,单个服务保存所有的用户数据,可以校验用户,并在认证成功后创建HTTP会话。在微服务架
spring-security-oauth2-authorization-server(二)Token生成分析之JWT TokenOpaque Token
weixin_42229668的博客
09-17 7113
因为SpringBoot3.x是目前最新的版本,整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot高版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供一个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。前面一篇文章。
深入解析JWT安全令牌设计的取舍之道
qq_62775328的博客
03-03 807
JWTJSON Web Token)是一种开放标准(RFC 7519),用于在各方之间安全传输JSON对象。Signature考量维度选择JWT的场景避免JWT的场景吊销需求无需实时吊销需要即时失效令牌网络延迟高频API调用需要低延迟可接受服务端校验延迟客户端环境可信客户端(如自家APP)不可控客户端(如浏览器)数据敏感性仅包含非敏感标识需要携带敏感信息黄金准则严格控制Payload内容采用短期有效+自动刷新机制结合黑名单等吊销方案优先使用RS256等非对称算法。
对比三种认证方式:传统token认证,jwt认证,oauth认证
qq1319713925的博客
12-11 4488
详解几种认证方式的原理和区别
Angular 2 OpaqueToken & InjectionToken
weixin_34409703的博客
03-09 261
在 Angular 2 中,provider 的 token 的类型可以是字符串或 Type 类型。我们可以根据实际应用场景,选用不同的类型。假设我们有一个服务类 DataService,并且我们想要在组件中注入该类的实例,我们可以这样使用: @Component({ selector: 'my-component', provi...
[Angular 2] Understanding OpaqueToken
weixin_34082695的博客
09-18 130
When using provider string tokens, there’s a chance they collide with other third-party tokens. Angular has with the concept of opaque tokens, that allow us to make whatever token we use unique, so we...
基于SpringSecurity OAuth2 + OpaqueToken实现的统一认证中心
向心行者
12-24 3189
1、项目模块规划 qriver-common 基础通用模块,通用代码,比如工具类、通用异常处理等。 qriver-auth 权限模块,分为qriver-auth-server、qriver-res-auth和qriver-auth-client三个子模块 qriver-auth-server 授权服务器 qriver-res-auth 资源服务器,可以与授权服务器合并 qriver-auth-client 需要授权的客户端的通用jar,在需要授权的客户端引入该jar包即可。 qriver-sys 系
token jwt的区别
01-12
Token 是一种广泛使用的身份验证机制,而 JSON Web Token (JWT) 则是一种特定类型的 tokenJWT 的核心特点是自包含性,这意味着它可以在 payload 中携带声明信息[^1]。 对于传统的 session-based tokens 或者 ...
SpringCloud Alibaba 实战 - 如何让 jwt token 失效?
BUG指挥课堂
01-24 3052
知识回顾 众所周知,在 OAuth2 体系中认证通过后返回的令牌信息分为两大类:不透明令牌(opaque tokens) 和 透明令牌(not opaque tokens)。 不透明令牌 是一种无可读性的令牌,一般来说就是一段普通的 UUID 字符串。使用不透明令牌时资源服务不知道这个令牌是什么,代表谁,需要调用认证服务器校验、获取用户信息。使用不透明令牌采用的是 中心化 的架构。 透明令牌 一般指的是我们常说的JWT Token,用户信息保存在 JWT 字符串中,资源服务器自己可以解析令牌不再需要去
SpringCloud Alibaba 实战:如何让 jwt token 主动失效?
Java4396的博客
01-21 1865
前言 有一个看我SpringCloud alibaba系列文章的粉丝私下问我:如何处理jwt失效的问题?修改密码或退出登录后需要将之前的jwt token失效掉,不允许使用旧token登录系统。 我说:很简单呀,咱们直接 无为而治,用户退出或修改密码的时候前端直接删除这个token不就完了吗?后端啥都不用管,啥也不用做。 他说:别闹,你的每篇文章我都给你一键三连。 我当时就被感动了,既然是这样的好读者,我果断答应专门给他写篇文章来分享一下我这个不太成熟的做法,改造一下这个SpringCloud a.
基于SpringSecurity OAuth2 + JWT实现统一认证中心
向心行者
12-24 3253
1、前言   在《基于SpringSecurity OAuth2实现的统一认证中心》中,已经实现了基于opaqueToken的统一认证方式,这里我们将基于这篇内容,进行基于JWT方式的实现。相似的内容,这里将不再重复,所以看这篇内容的童鞋,请先移步《这里》了解基于opaqueToken方式的实现过程。 2、JWT 简介   Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该Token被设计为紧凑且安全的,特别适用于分布式站点
token主动失效的方案
lzf的博客
01-12 3368
众所周知,在 OAuth2 体系中认证通过后返回的令牌信息分为两大类:不透明令牌(opaque tokens)和透明令牌(not opaque tokens)。 不透明令牌 是一种无可读性的令牌,一般来说就是一段普通的 UUID 字符串。使用不透明令牌时资源服务不知道这个令牌是什么,代表谁,需要调用认证服务器校验、获取用户信息。使用不透明令牌采用的是 中心化 的架构。 透明令牌 一般指的是我们常说的 JWT Token,用户信息保存在 JWT 字符串中,资源服务器自己可以解析令牌不再需要去认证服务器校..
SpringSecurity最新学习,spring-security-oauth2-authorization-server【spring-security-oauth2升级】
小道仙的后宫
07-03 1626
默认获取token是在 header中,还要拼接一个前缀 Bearer, 假如想改为从 url中获取 access_token, 只需要重写BearerTokenResolver// URI 中 Token 的参数名@Override// 从 URI 参数中获取 Token= null &&!上面的流程完成了授权和鉴权,但我们拿不到有用的参数,何为有用的参数比如: 用户的 userId不管是Opaque还是Jwt都可以在里面设置一些我们自己的参数——把参数放到 【claims】Opaque
No6-3.从零搭建spring-cloud-alibaba微服务框架,实现资源端用户认证与授权等(三,no6-3)
键上艺术家
10-28 1876
之前只零碎的学习过spring-cloud-alibaba,并没有全面了解过,这次学习pig框架时,想着可以根据这个项目学习一下,练练手,于是断断续续的用了几天时间搭建了一下基础框架。目前就先重点记录一下遇到的问题吧,毕竟流程也不是特别复杂,就是有的东西没遇到过了解的也不深~由于微服务包括认证这里内容太多,所以分了好几篇~文章包括:1.将服务系统注册到nacos注册中心;2.通过nacos实现配置动态更新;3.添加fegin服务,实现服务之间调用;
Kubernetes中Secret使用详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
JWT与不透明访问令牌:在Spring Boot中同时使用
culiu9261的博客
07-22 2110
The topic of validating an OAuth 2.0 access tokens comes up frequently on the Okta developer blog. Often we talk about how to validate JSON Web Token (JWT) based access tokens; however, this is NOT pa...
SpringSecurity6.0 通过JWTtoken进行认证授权
最新发布
java scala
04-03 883
之前写过一个文章,从SpringSecurity 5.x升级到6.0,当时是为了配合公司的大版本升级做的,里面的各项配置都是前人留下来的,其实没有花时间进行研究SpringSecurity的工作机制。现在新东家有一个简单的系统要搭建,用户的认证授权流程也比较简单,通过用户/密码进行登录,登录后生成JWT token返回给前端,后续认证通过token进行,就把SpringSecurity重新捡了起来,搭建整个系统的安全认证框架。
JWT那些事儿
crystal_shrimps的博客
03-16 279
1 从个小问题开始 Json web token 是一种跨域认证解决方案。 1.1 提问? 判断一个用户是否已经授权登录有几种方式? cookie session token 1.2 基于token的鉴权机制 基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值