JSON Web Token(JWT)对比Opaque Token

已于 2022-05-13 13:38:26 修改
阅读量2.2k 收藏 2
点赞数
分类专栏: java choho 文章标签: web安全 spring
于 2022-05-12 20:45:19 首次发布
原文链接:https://medium.com/@piyumimdasanayaka/json-web-token-jwt-vs-opaque-token-984791a3e715
版权

身份验证通常用来验证某人或某事是否如它所说的那样是谁或者是什么。
身份验证技术通过测试查看用户的凭据是否与经过身份验证的用户数据库或服务器中的凭据相匹配,从而提供设备访问控制。
基于token的身份验证的工作原理是,确保每个到服务器的请求后面都有一个签名的令牌,服务器验证该令牌的有效性,然后才响应请求。
token是一段本身没有什么意义或用途的数据,但它根据正确的令牌化方法,在保护应用程序方面发挥了关键作用。

为什么用token而不是传统方式?
  • 令牌是无状态的:令牌是自包含的,包括所需的所有身份验证信息。对于可伸缩性,这是完美的,因为它使您的服务器不必存储会话状态
  • 令牌可以从任何地方生成:令牌的生成与令牌身份验证解耦,允许您在单独的服务器上管理令牌签名,甚至通过另一家公司(如Auth0)
  • 细粒度访问控制:您可以轻松地在令牌有效负载(payload)中定义用户角色和权限,以及用户可以访问的服务
有很多相关技术,但主要是两种:
  1. JWT: Json Web Tokens
  2. Opaque Tokens

让我们学习一下这些令牌是什么,以及在不同情况下做出不同的技术选择。

1.JWT(Json Web Tokens)

实际上,JWT令牌是一个完整

最低0.47元/天 解锁文章
逍遥云中君
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-oauth2-authorization-server(二)Token生成分析之JWT TokenOpaque Token
weixin_42229668的博客
09-17 3749
因为SpringBoot3.x是目前最新的版本,整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot高版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供一个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。前面一篇文章。
Angular 2 OpaqueToken & InjectionToken
weixin_34409703的博客
03-09 237
在 Angular 2 中,provider 的 token 的类型可以是字符串或 Type 类型。我们可以根据实际应用场景,选用不同的类型。假设我们有一个服务类 DataService,并且我们想要在组件中注入该类的实例,我们可以这样使用: @Component({ selector: 'my-component', provi...
[Angular 2] Understanding OpaqueToken
weixin_34082695的博客
09-18 108
When using provider string tokens, there’s a chance they collide with other third-party tokens. Angular has with the concept of opaque tokens, that allow us to make whatever token we use unique, so we...
基于SpringSecurity OAuth2 + OpaqueToken实现的统一认证中心
向心行者
12-24 2915
1、项目模块规划 qriver-common 基础通用模块,通用代码,比如工具类、通用异常处理等。 qriver-auth 权限模块,分为qriver-auth-server、qriver-res-auth和qriver-auth-client三个子模块 qriver-auth-server 授权服务器 qriver-res-auth 资源服务器,可以与授权服务器合并 qriver-auth-client 需要授权的客户端的通用jar,在需要授权的客户端引入该jar包即可。 qriver-sys 系
基于SpringSecurity OAuth2 + JWT实现统一认证中心
向心行者
12-24 2914
1、前言   在《基于SpringSecurity OAuth2实现的统一认证中心》中,已经实现了基于opaqueToken的统一认证方式,这里我们将基于这篇内容,进行基于JWT方式的实现。相似的内容,这里将不再重复,所以看这篇内容的童鞋,请先移步《这里》了解基于opaqueToken方式的实现过程。 2、JWT 简介   Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该Token被设计为紧凑且安全的,特别适用于分布式站点
token主动失效的方案
lzf的博客
01-12 3186
众所周知,在 OAuth2 体系中认证通过后返回的令牌信息分为两大类:不透明令牌(opaque tokens)和透明令牌(not opaque tokens)。 不透明令牌 是一种无可读性的令牌,一般来说就是一段普通的 UUID 字符串。使用不透明令牌时资源服务不知道这个令牌是什么,代表谁,需要调用认证服务器校验、获取用户信息。使用不透明令牌采用的是 中心化 的架构。 透明令牌 一般指的是我们常说的 JWT Token,用户信息保存在 JWT 字符串中,资源服务器自己可以解析令牌不再需要去认证服务器校..
c# JSON WEB TOKEN JWT.dll
07-18
生成token工具,webapi 接口 token JWTWeb API身份验证Json Web Token(jwt)是一种不错的身份验证及授权方案,简单的说就是调用端调用api时,附带上一个由api端颁发的token,以此来验证调用者的授权信息。
php实现JWT(json web token)鉴权实例详解
01-03
JWTjson web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT可用于身份验证、授权,以及...
单点登录中的JSON WEB TOKEN的使用方法C#版
03-21
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。本实例还原了整个的使用流程。建议...
No6-3.从零搭建spring-cloud-alibaba微服务框架,实现资源端用户认证与授权等(三,no6-3)
键上艺术家
10-28 1573
之前只零碎的学习过spring-cloud-alibaba,并没有全面了解过,这次学习pig框架时,想着可以根据这个项目学习一下,练练手,于是断断续续的用了几天时间搭建了一下基础框架。目前就先重点记录一下遇到的问题吧,毕竟流程也不是特别复杂,就是有的东西没遇到过了解的也不深~由于微服务包括认证这里内容太多,所以分了好几篇~文章包括:1.将服务系统注册到nacos注册中心;2.通过nacos实现配置动态更新;3.添加fegin服务,实现服务之间调用;
Kubernetes中Secret使用详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
JWT与不透明访问令牌:在Spring Boot中同时使用
culiu9261的博客
07-22 2012
The topic of validating an OAuth 2.0 access tokens comes up frequently on the Okta developer blog. Often we talk about how to validate JSON Web Token (JWT) based access tokens; however, this is NOT pa...
No2.搭建基本的资源端解析token(资源服务端)
键上艺术家
09-24 2201
首先,请求接口时只携带并解析accesstoken,使用授权服务端默认的OAuth2TokenIntrospectionEndpointFilter过滤器,无用户持久化操作,仅认证无鉴权;仅作为最基本的资源服务端。注意:授权服务端、资源服务端、客户端:我的理解是,资源服务器是跟随授权服务端搭建的,可以和授权服务共属于同一个系统环境下,例如数据库可共用、公共包可共用。
对比三种认证方式:传统token认证,jwt认证,oauth认证
最新发布
qq1319713925的博客
12-11 2287
详解几种认证方式的原理和区别
spring security 5 oauth2 资源服务器无法正确处理用户授权 报错insufficient_scope
路过君的博客
11-23 2566
现象 客户端通过授权码模式获取不透明令牌(opaque token),使用令牌访问资源服务器 资源服务器安全配置只能处理客户端scope授权,如果添加用户授权的判定规则,则报错 www-authenticate: Bearer error=“insufficient_scope”,error_description=“The request requires higher privileges than provided by the access token.”,error_uri=“https://t
JWTJson Web Token)实现状态保持
MrNoboday
08-12 4679
JWT简介 Json web token (JWT), 是为了在网络应用间传递声明的基于JSON的开放标准,该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。其中的分布式站点的单点登陆的状态保持,在这里简单介绍下:举京东的例子,主页www.jd.com作为一个站点部署在单独的服务器上,其购物车www.car.jd.com作为单独的一个站点部署在单独的服务器上。那么单...
使用postman请求头部带有token的后台接口时,后台jwt toekn解析乱码
热门推荐
awocbb的博客
06-22 4万+
原因:如果是bearer等token,不要在postman的Authorization中放token,而在Headers中加上Authorization这个字段,加上token信息 后台报错: io.jsonwebtoken.MalformedJwtException: Unable to read JSON value: �z��'G�#�$�uB"�&�r#�$�3#S...
JSON Web Token简单案例
05-25
好的,下面是一个简单的基于 JSON Web TokenJWT)的身份验证案例: 1. 安装所需的库 ``` pip install pyjwt ``` 2. 生成JWT Token ```python import jwt import datetime # 定义过期时间 expire_time = datetime.datetime.utcnow() + datetime.timedelta(minutes=30) # 定义payload payload = { 'user_id': '123456', 'username': 'john', 'exp': expire_time } # 生成token jwt_token = jwt.encode(payload, 'secret_key', algorithm='HS256') print(jwt_token) ``` 上述代码中,我们使用了 pyjwt 库来生成 JWT Token。它的 encode() 方法接收三个参数:payload、密钥和算法。payload 是一个字典,包含我们想要在 Token 中存储的信息,例如用户ID、用户名、过期时间等等。密钥是一个字符串,用于加密 Token。算法是指用于加密 Token 的算法,这里我们选择了 HS256。 3. 验证JWT Token ```python import jwt # 定义Token jwt_token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoiMTIzNDU2IiwidXNlcm5hbWUiOiJqb2huIiwiZXhwIjoxNjMxMzEwMDUzfQ.XsDEjcd7jH8qC-6pZlWjZaFvDz-pT8NvQYrWb8I3-5c' # 验证Token try: decoded_token = jwt.decode(jwt_token, 'secret_key', algorithms=['HS256']) print(decoded_token) except jwt.ExpiredSignatureError: print('Token已过期') except jwt.InvalidTokenError: print('无效的Token') ``` 上述代码中,我们使用了 pyjwt 库的 decode() 方法来验证 Token。它接收三个参数:Token、密钥和算法。如果 Token 有效,则返回包含信息的字典。如果 Token 过期或无效,则会引发 jwt.ExpiredSignatureError 或 jwt.InvalidTokenError 异常。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值