OAuth2与JWT(单点登录)

最新推荐文章于 2024-07-28 02:09:01 发布
最新推荐文章于 2024-07-28 02:09:01 发布
阅读量1.6k 收藏 4
点赞数 1
分类专栏: java 文章标签: java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42296117/article/details/107677950
版权

什么是单点登录?

  • 现在的应用几乎都是分布式,实现一方遍登录,分布的模块都不需要在进行登录授权
  • 比如你在百度贴吧上登录了你的百度账号,在进入到贴吧的网页版,此时你是不需要重新登录就可以访问贴吧模块

那么单点登录的实现?

  • 1:使用session广播:将存入sesion的信息分发到各分布的模块中,进行复制。这种方式的话在如今局限比较大,在并发小的时候是可以用。因为这种方式限制了横向应用的扩张,每个模块中的session都是所有模块的session信息
  • 2:使用redis+cookie实现:使用redis作为session缓存,redis的优势就是读操作快,多个模块公用同个redis服务器,同时在扩张方面可以redis集群
  • 3:第三种:使用自包含令牌,通过客户端保存数据,而服务器不保存会话数据(Token
    (1)生成按照一定规则的字符串,比如字符串包含用户名+id,对字符串进行base64编码,url编码
    (2)每次发送请求的时候,带着这个生成的字符串发送请求

现代微服务中系统微服务化以及应用的形态和设备类型增多,不能用传统的登录方式核心的技术不是用户名和密码,而是token,由AuthServer颁发token,用户使用token进行登录

在这里插入图片描述

经典的应用场景就是:

微信/支付宝/微博…授权登录

先简单的介绍下OAuth2

再融资的过程中为了向投资人解释OAuth2是什么,于是写了一篇文章,《OAuth2最简向导》可以参考此篇文章,通熟易懂

OAuth2是什么,做什么事情
(1)OAuth2是针对特定问题的一种解决方案
(2)OAuth2现主要用于解决两个问题

第一个 开放系统间授权问题

  • lucy把自己照片存储到云盘上,通过网络上打印服务打印云盘里面照片,默认肯定不能访问云盘的
    lucy需要对打印服务进行授权,OAuth2解决如何进行授权问题

第二个 单点登录的问题

在这里插入图片描述
简单来理解:OAuth是一种解决授权问题的方案/协议,而JWT(JSON Web Token)就是具体的实施手段

JSON Web Token(JWT)

  • 典型的,一个JWT看起来如下图:

在这里插入图片描述
该对象为一个很长的字符串,字符之间通过"."分隔符分为三个子串。
每一个子串表示了一个功能块,总共有以下三个部分:JWT头、有效载荷和签名

JWT头

JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。


{
  "alg": "HS256",
  "typ": "JWT"
}

在上面的代码中,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为JWT。最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。

有效载荷Playload

有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。

iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

除以上默认字段外,我们还可以自定义==私有字段(也就是可以自己方识别这个用户的相关信息字段),==如下例:

{
  "sub": "1234567890",
  "name": "Helen",
  "admin": true
}

请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。

JSON对象也使用Base64 URL算法转换为字符串保存。

签名哈希Signature

签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。

首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(claims), secret)

在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象。

JWT的用法

客户端接收服务器返回的JWT,将其存储在Cookie或localStorage中。

此后,客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段中。当跨域时,也可以将JWT被放置于POST请求的数据主体中。

JWT问题和趋势

JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库
存储在客户端,不占用服务端的内存资源
JWT默认不加密,但可以加密。生成原始令牌后,可以再次对其进行加密。
当JWT未加密时,一些私密数据无法通过JWT传输。
JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
JWT本身包含认证信息,token是经过base64编码,所以可以解码,因此token加密前的对象不应该包含敏感信息,一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。
为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。

所以OAuth2与JWT的关系:OAuth提供的是方案,而JWT是具体实施

编程菜农
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Oauth2+Jwt实现单点登录
qq_57756904的博客
08-24 2451
SON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为 JSON 对象。此信息可以验证和信任,因为它是数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
基于JWT OAUTH2 SpringSecurity单点登录
01-30
基于JWT OAUTH2 SpringSecurity单点登录 . 单点登录流: 1. 访问client1 2. `client1`将请求导向`sso-server` 3. 同意授权 4. 携带授权码`code`返回`client1` 5. `client1`拿着授权码请求令牌 6. 返回`JWT`令牌 7. `client1`解析令牌并登录 8. `client1`访问`client2` 9. `client2`将请求导向`sso-server` 10. 同意授权 11. 携带授权码`code`返回`client2` 12. `client2`拿着授权码请求令牌 13. 返回`JWT`令牌 14. `client2`解析令牌并登录
Oauth2.0 + JWT 实现单点登录
m0_37122623的博客
02-25 3573
上一节,我们讲述了Oauth2.0 配合security的使用,配合redis去存token,或者配合Jwt去存token。这篇文章,我们主要来系统的串起来讲一下,从宏观的层面来讲述一下单点登录,并且来实现一个demo。 首先,我们来借助一个真实的案例来切入: 相信大家都登录过码云吧:(https://gitee.com/) 在登录选项里我们选择使用三方账号进行登录(QQ) 然后他就会跳转到下面这个地址: https://graph.qq.com/oauth2.0/show?which=Login&amp
Java中的单点登录实现:OAuth2与JWT
最新发布
weixin_40406575的博客
07-28 41
Java中的单点登录实现:OAuth2与JWT 大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!今天我们来探讨在Java中如何使用OAuth2与JWT实现单点登录(SSO)。 一、单点登录概述 单点登录(Single Sign-On, SSO)是一种认证机制,允许用户在多个应用系统中使用一个账...
SpringSecurityOauth2+JWT实现单点登录
夙梦-小白的博客
04-17 3170
单点登录的介绍 单点登录(Single Sign On),简称为 SSO,SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 OAuth2 相关解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Clie...
浅析单点登录(重点讲解OAuth2+JWT
m0_49499183的博客
01-14 2978
一、登录的常见方式 1、单一服务器模式 使用session对象实现。 在登录成功后,把用户数据放到session里面 session.setAttribute("user", user); 当需要判断是否登录时,就从session里面取数据,如果可以获取到,就是已经登录了。 session.getAttribute("user"); 早期单一服务器(例如只有一台Tomcat)常用这种用户认证模式。 ...
OAuth2和JWT
Minor的Java技术博客
07-25 1800
这种模式需要客户端、服务端、三方服务器共同协调完成,这种模式需要三方应用客户端通过授权得到一个Code码,客户端拿着这个code请求自己公司的服务端,服务器通过code去三方应用获取一个Access_Token,得到三方的Access_Token以后,服务器就可以调用API获取用户的一些非敏感信息了,例如可以拿到用户的头像、用户名、账号ID、open_id、union_id等。目前主流的版本是OAuth2。这种模式抛弃了用户的概念,客户端以自己的名义发起授权请求,这种模式适用于命令行的一些基础应用。...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring Security OAuth2基于JWT实现单点登录
weixin_38927257的博客
11-22 1330
文章目录引言Security OAuth2 单点登录流程示意图Security OAuth2 实现单点登录项目结构sso-server认证服务器security配置SsoUserDetailsServiceapplication.ymlsso-client1SsoClient1Applicationapplication.ymlsso-client2同sso-client1一致 引言 单点登录...
spring security oauth2以及jwt实现sso单点登陆的功能
05-07
SSO(Single Sign-On)单点登录是一种身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次进行身份验证。在本项目中,通过集成Spring Security OAuth2和JWT(JSON Web Token)技术,实现了...
Spring Security基于JWT实现SSO单点登录详解
08-25
Spring Security 基于 JWT 实现 SSO 单点登录详解 基于 Spring Security 框架和 JWT(JSON Web Token)技术,可以实现 SSO(Single Sign-On)单点登录系统。SSO 是一种常见的身份验证机制,允许用户使用同一个...
Spring Cloud Security:Oauth2结合JWT使用
smart_an的专栏
04-18 1136
JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。
jwt oauth2 对接_JWTOauth2的区别和联系
weixin_39688750的博客
12-20 186
既然是区别和联系,首先就要分别对双方的内容思想有所了解:Oauth2:是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。它详细描述了系统中不同角色、用户、服务前端应用(比如API),以及客户端(比如网站或移动App)之间怎么实现相互认证。Oauth2定义了一组想当复杂的规范。涉及到:Roles角色、Client Types客户端类型、...
jwt实现oauth2.0 java_基于JWT实现SSO单点登录流程图解
weixin_39908070的博客
02-17 403
一、基于JWT实现SSO单点登录原理1、什么是单点登录所谓单点登录就是有多个应用部署在不同的服务器上,只需登录一次就可以互相访问不同服务器上的资源。2、单点登录流程当一个访问请求发给应用A,如果这个请求需要登录以后才能访问,那么应用A就会向认证服务器请求授权,这时候就把用户引导到认证服务器上。用户在认证服务器上完成认证并授权。认证授权完成后,认证服务器返回给应用A一个授权码,应用A携带授权码到认证...
Auth2.0之JWT
weixin_32822759的博客
05-20 3093
一、前言 前面讲了一篇关于auth2.0入门博客,实际上在使用中,用得不是很多,因为被调用的了系统在接收到请求的时候,都需要把传入的access_token拿到认证中心去校验一下合法性,如果合法的话,则允许调用,反之将拒绝访问,这样子的架构方式会拖慢整个系统的响应速度。为了避免这个频繁的校验过程,现在常用的是Auth2结合jwt的方式,它的优点就是在消费方请求的时候,去认证中心获得一个access_token,这个token遵守一定的结构,而下游的服务接收到请求的时候,只需要把这个toke...
springsecurity oauth2使用jwt实现单点登录
weixin_44837750的博客
07-15 985
在如今前后端分离架构越来越成为开发的主流模式,因此以前基于session的权限管理已经不适合前后端分离架构了,springsecurityoauth2的出现帮我们解决了这个问题。本文采用springsecurityoauth2+jwt实现单点登录,适合前后端分离的项目。...
Spring Security + OAuth2.0 + JWT 实现单点登录
随笔
07-21 4208
使用 Spring Security + OAuth2.0 + JWT 实现单点登录
OAuth2 vs JWT,到底怎么选?
m0_71777195的博客
06-15 3740
本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT)假设:要比较JWTOAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。先来搞清楚JWTOAuth2究竟是干什么的~JWT在标准中是这么定义的:JWT是一种安全标准。基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个Token(令牌),用户可以使用这个token访问服务器上受保护的资源。一个token的例子: 一个
SpringSecurity + Oauth2 + jwt实现单点登录
꯭ 瞎꯭扯꯭蛋꯭的博客
04-26 2141
在如今前后端分离架构越来越成为开发的主流模式,因此以前基于session的权限管理已经不适合前后端分离架构了,springsecurity oauth2 的出现帮我们解决了这个问题。本文采用oauth2 + jwt实现单点登录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值