OAuth2与JWT(单点登录)

最新推荐文章于 2024-03-29 20:02:07 发布
最新推荐文章于 2024-03-29 20:02:07 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: java 文章标签: java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42296117/article/details/107677950
版权

什么是单点登录?

  • 现在的应用几乎都是分布式,实现一方遍登录,分布的模块都不需要在进行登录授权
  • 比如你在百度贴吧上登录了你的百度账号,在进入到贴吧的网页版,此时你是不需要重新登录就可以访问贴吧模块

那么单点登录的实现?

  • 1:使用session广播:将存入sesion的信息分发到各分布的模块中,进行复制。这种方式的话在如今局限比较大,在并发小的时候是可以用。因为这种方式限制了横向应用的扩张,每个模块中的session都是所有模块的session信息
  • 2:使用redis+cookie实现:使用redis作为session缓存,redis的优势就是读操作快,多个模块公用同个redis服务器,同时在扩张方面可以redis集群
  • 3:第三种:使用自包含令牌,通过客户端保存数据,而服务器不保存会话数据(Token
    (1)生成按照一定规则的字符串,比如字符串包含用户名+id,对字符串进行base64编码,url编码
    (2)每次发送请求的时候,带着这个生成的字符串发送请求

现代微服务中系统微服务化以及应用的形态和设备类型增多,不能用传统的登录方式核心的技术不是用户名和密码,而是token,由AuthServer颁发token,用户使用token进行登录

在这里插入图片描述

经典的应用场景就是:

微信/支付宝/微博…授权登录

先简单的介绍下OAuth2

再融资的过程中为了向投资人解释OAuth2是什么,于是写了一篇文章,《OAuth2最简向导》可以参考此篇文章,通熟易懂

OAuth2是什么,做什么事情
(1)OAuth2是针对特定问题的一种解决方案
(2)OAuth2现主要用于解决两个问题

第一个 开放系统间授权问题

  • lucy把自己照片存储到云盘上,通过网络上打印服务打印云盘里面照片,默认肯定不能访问云盘的
    lucy需要对打印服务进行授权,OAuth2解决如何进行授权问题

第二个 单点登录的问题

在这里插入图片描述
简单来理解:OAuth是一种解决授权问题的方案/协议,而JWT(JSON Web Token)就是具体的实施手段

JSON Web Token(JWT)

  • 典型的,一个JWT看起来如下图:

在这里插入图片描述
该对象为一个很长的字符串,字符之间通过"."分隔符分为三个子串。
每一个子串表示了一个功能块,总共有以下三个部分:JWT头、有效载荷和签名

JWT头

JWT头部分是一个描述JWT元数据的JSON对象,通常如下所示。


{
  "alg": "HS256",
  "typ": "JWT"
}

在上面的代码中,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为JWT。最后,使用Base64 URL算法将上述JSON对象转换为字符串保存。

有效载荷Playload

有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。

iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

除以上默认字段外,我们还可以自定义==私有字段(也就是可以自己方识别这个用户的相关信息字段),==如下例:

{
  "sub": "1234567890",
  "name": "Helen",
  "admin": true
}

请注意,默认情况下JWT是未加密的,任何人都可以解读其内容,因此不要构建隐私信息字段,存放保密信息,以防止信息泄露。

JSON对象也使用Base64 URL算法转换为字符串保存。

签名哈希Signature

签名哈希部分是对上面两部分数据签名,通过指定的算法生成哈希,以确保数据不会被篡改。

首先,需要指定一个密码(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用标头中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(claims), secret)

在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象。

JWT的用法

客户端接收服务器返回的JWT,将其存储在Cookie或localStorage中。

此后,客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中,就可以自动发送,但是不会跨域,因此一般是将它放入HTTP请求的Header Authorization字段中。当跨域时,也可以将JWT被放置于POST请求的数据主体中。

JWT问题和趋势

JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
生产的token可以包含基本信息,比如id、用户昵称、头像等信息,避免再次查库
存储在客户端,不占用服务端的内存资源
JWT默认不加密,但可以加密。生成原始令牌后,可以再次对其进行加密。
当JWT未加密时,一些私密数据无法通过JWT传输。
JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
JWT本身包含认证信息,token是经过base64编码,所以可以解码,因此token加密前的对象不应该包含敏感信息,一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。
为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。

所以OAuth2与JWT的关系:OAuth提供的是方案,而JWT是具体实施

编程菜农
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于JWT OAUTH2 SpringSecurity单点登录
01-30
基于JWT OAUTH2 SpringSecurity单点登录 . 单点登录流: 1. 访问client1 2. `client1`将请求导向`sso-server` 3. 同意授权 4. 携带授权码`code`返回`client1` 5. `client1`拿着授权码请求令牌 6. 返回`JWT`令牌 7. ...
spring security oauth2以及jwt实现sso单点登陆的功能
05-07
该资源实现了一个sso单点登陆的功能,类似于在淘宝网登陆之后可以不需要登陆天猫即可访问天猫网;使用了spring security oauth2以及jwt
OAuth2结合JWT
Curtisjia的博客
11-01 2505
OAuth2结合JWT 无状态登录 什么是有状态 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 session,然后下次请求,用户携带 cookie 值来(这一步有浏览器自动完成),我们就能识别到对应 session,从而找到用户的信息。这种方式目前来看最方便,但是也有一些缺陷,如下: 服
OAuth2+JWT新一代认证技术
a154555的博客
09-19 3003
认证方式: 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
OAuth2 vs JWT,到底怎么选?,java架构师面试宝典和答案
最新发布
m0_60567796的博客
03-29 680
在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。但是你要学习的往往不止这一点,还有一些主流框架的使用,Spring源码的学习,Mybatis源码的学习等等都是需要掌握的,我也把这些知识点都整理起来了24b (备注Java)**[外链图片转存中…(img-UJ6MYTqZ-1711713716991)]在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。
SpringSecurity OAuth2+JWT+网关实现认证授权中心
我神级欧文的博客
02-17 7715
之前利用SpringSecurity OAuth2搭建了一个认证服务器,并且结合网关搭建了一个安全认证的架构,而这个架构也是有缺点的,很明显的就是用户的信息是通过加在请求头到微服务去取出来的,这样就会容易泄露用户的信息并且很容易被别人截获请求伪造用户信息,而且网关每一次都要请求认证服务器去验证token是否正确,加重了认证服务器的负担。那么这里我们解决这两个问题用的就是jwt。 什么是JWT? ...
OAuth2 vs JWT,到底怎么选?
m0_71777195的博客
06-15 3681
本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT)假设:要比较JWTOAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。先来搞清楚JWTOAuth2究竟是干什么的~JWT在标准中是这么定义的:JWT是一种安全标准。基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个Token(令牌),用户可以使用这个token访问服务器上受保护的资源。一个token的例子: 一个
浅析单点登录(重点讲解OAuth2+JWT
m0_49499183的博客
01-14 2805
一、登录的常见方式 1、单一服务器模式 使用session对象实现。 在登录成功后,把用户数据放到session里面 session.setAttribute("user", user); 当需要判断是否登录时,就从session里面取数据,如果可以获取到,就是已经登录了。 session.getAttribute("user"); 早期单一服务器(例如只有一台Tomcat)常用这种用户认证模式。 ...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
Spring Security基于JWT实现SSO单点登录详解
08-25
主要介绍了Spring Security基于JWT实现SSO单点登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
OAuth2.0实战,使用JWT令牌认证
终码一生
12-15 4935
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! 今天这篇文章介绍一下OAuth2.0如何集成JWT颁发令牌,这也是目前企业中主流的令牌形式。 文章目录如下: 什么是JWTOAuth2.0体系中令牌分为两类,分别是透明令牌、不透明令牌。 不透明令牌则是令牌本身不存储任何信息,比如一串UUID,上篇文章中使用的InMemoryTokenStore就类似这种。 因此资源服务拿到这个令牌必须调调用认证授权服务的接口进行令牌的校验,高并发的情况下延迟很高,性能很低,正如上篇
JWTOAuth2.0
Kard的博客
12-31 8014
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。 OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
OAuth2与JWT的区别JWT的适用场景及好处(九)
FAIRYTAIL的博客
08-28 6685
什么是jwtjwt相对于oauth2和session的好处
OAuth2和JWT
Minor的Java技术博客
07-25 1549
这种模式需要客户端、服务端、三方服务器共同协调完成,这种模式需要三方应用客户端通过授权得到一个Code码,客户端拿着这个code请求自己公司的服务端,服务器通过code去三方应用获取一个Access_Token,得到三方的Access_Token以后,服务器就可以调用API获取用户的一些非敏感信息了,例如可以拿到用户的头像、用户名、账号ID、open_id、union_id等。目前主流的版本是OAuth2。这种模式抛弃了用户的概念,客户端以自己的名义发起授权请求,这种模式适用于命令行的一些基础应用。...
SpringSecurity-Oauth2 之JWT令牌详解
qq_42861526的博客
08-06 3425
这两个时机的执行都是依靠JwtAccessTokenConverter来完成的注意:上面说的只是组件,JWT暴露给SpringSecurity的服务是tokenService,SpringSecurity也是通过tokenService来完成token的生成、解析以及存储的 (二) 组件之间的依赖关系 JWT暴露给tokenService使用的类是tokenStore,而tokenStore又依赖于accessTokenConvert和authenticationConvert完成token的生成和解析
Spring Security OAuth2.0(四)-----OAuth2+JWT
qq_42264638的博客
05-08 1923
Spring Security OAuth2.0(四)-----OAuth2+JWT
Oauth2.0 + JWT 实现单点登录
m0_37122623的博客
02-25 3429
上一节,我们讲述了Oauth2.0 配合security的使用,配合redis去存token,或者配合Jwt去存token。这篇文章,我们主要来系统的串起来讲一下,从宏观的层面来讲述一下单点登录,并且来实现一个demo。 首先,我们来借助一个真实的案例来切入: 相信大家都登录过码云吧:(https://gitee.com/) 在登录选项里我们选择使用三方账号进行登录(QQ) 然后他就会跳转到下面这个地址: https://graph.qq.com/oauth2.0/show?which=Login&amp
OAuth2:使用JWT令牌
Leon_Jinhai_Sun的博客
07-31 668
OAuth2:使用JWT令牌
oauth2 + jwt 单点登录 怎么获得jwt
07-20
### 回答1: OAuth 2.0是一种授权框架,用于授权第三方应用程序访问用户在其他应用程序上的资源。当用户使用OAuth 2.0登录并授权后,被请求访问的资源将生成一个访问令牌(access token),用于后续的访问请求。 JWT(JSON Web Token)是一种用于在不同系统之间安全传输信息的标准。它是由三部分组成的字符串,包括头部(header)、载荷(payload)和签名(signature)。其中,载荷部分包含一些声明性的信息,用于标识用户或其他相关信息。签名部分则用于验证令牌的真实性和完整性。 单点登录(Single Sign-On,简称SSO)是一种身份验证机制,在一次登录后,允许用户访问多个相关系统,而无需重新进行身份验证。当用户进行初始身份验证后,一个包含JWT的令牌将生成并返回给用户。 想要获得JWT,用户需要先通过OAuth 2.0进行身份验证和授权。用户在第三方应用程序上进行登录,该应用程序将向授权服务器发送身份验证请求。授权服务器将验证用户的身份并颁发访问令牌。然后,用户将该令牌发送到资源服务器上进行鉴权。资源服务器将验证令牌的有效性,并使用私钥对JWT进行签名,保证其真实性。最后,资源服务器会返回给用户一个含有JWT的响应。 用户在后续的访问请求中,只需携带JWT即可进行授权,无需再次进行身份验证。资源服务器接收到带有JWT的请求后,将对其进行验证,并根据令牌中的声明信息进行相应的授权操作。 通过OAuth 2.0和JWT单点登录实现了用户在多个应用程序之间的无缝访问,提供了便捷的用户体验和更高的安全性。 ### 回答2: OAuth 2.0是一种用于授权的开放标准,用于允许用户提供给第三方应用程序已授权访问特定资源的权限。它使用Access Token来表示用户的授权凭证。 要获得JWT(JSON Web Token),首先需要进行OAuth 2.0的认证和授权流程。以下是一般的流程: 1. 用户访问应用程序,并选择使用单点登录进行身份验证。 2. 应用程序将用户重定向到认证服务器,以获取授权。 3. 用户在认证服务器上登录,并确认授权访问应用程序所需的资源。 4. 认证服务器将授权码(Authorization Code)传递给应用程序的回调URL。 5. 应用程序使用授权码向认证服务器请求访问令牌(Access Token)。 6. 认证服务器验证应用程序的身份,并向应用程序颁发访问令牌。 7. 应用程序将访问令牌保存在安全的位置,以供将来的API调用使用。 8. 应用程序使用访问令牌向API服务器请求受保护资源。 9. API服务器对访问令牌进行验证,并返回请求的资源。 10. 如果访问令牌有效,则应用程序可以将其作为JWT进行使用。 获得JWT的过程实际上是通过OAuth 2.0的授权流程获得访问令牌,然后将访问令牌转换为JWT格式。JWT是一种用JSON表示的安全令牌,它包含有关用户身份、权限和其他相关信息的声明。 在将访问令牌转换为JWT时,应用程序需要使用加密算法(如HMAC或RSA)对访问令牌进行签名,以确保令牌的完整性和安全性。 总之,要获得JWT,首先需要进行OAuth 2.0的认证和授权流程,获取访问令牌,然后将访问令牌转换为JWT格式。JWT可以用于实现单点登录和安全访问控制。 ### 回答3: OAuth 2.0和JWT是用于实现单点登录的两种常见的身份验证和授权机制。下面是关于如何获得JWT的简要解释。 在OAuth 2.0流程中,客户端首先将用户重定向到认证服务器以进行身份验证。用户成功登录后,认证服务器将授权码返回给客户端。接下来,客户端使用该授权码请求访问令牌,同时提供其客户端凭据。认证服务器根据验证客户端凭据,并验证授权码的有效性后,颁发一个访问令牌给客户端。访问令牌可以用于访问受保护的资源服务器。然而,JWT并不是OAuth 2.0规范的一部分,它是作为一种安全令牌的表示形式,可以用于在认证(Authentication)和授权(Authorization)之间传输和存储信息。 在实现单点登录中,当用户通过身份验证获得访问令牌后,应用程序使用该令牌向身份提供者(例如认证服务器)请求JWT令牌。身份提供者使用该访问令牌生成一个JWT令牌,并将其返回给应用程序作为响应。这个JWT令牌包含有关用户身份的信息。应用程序可以将该令牌存储在客户端的会话中,以便在其他资源服务器上验证用户身份时使用。 获得JWT的过程需要通过OAuth 2.0进行授权并使用访问令牌来请求JWT令牌。要么应用程序直接与身份提供者交互来获取JWT,要么使用一些第三方库或框架来实现该过程。无论是直接与身份提供者交互还是使用第三方库,都需要遵循OAuth 2.0和JWT的相应规范和流程,以确保安全性和正确性。 总之,获得JWT的过程包括通过OAuth 2.0获得访问令牌,并用该令牌向身份提供者请求生成JWT令牌。这个JWT令牌可以用于实现单点登录,并在其他资源服务器上验证用户身份。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值