http基本认证Authentication OAuth JWT

最新推荐文章于 2022-04-27 16:52:09 发布
最新推荐文章于 2022-04-27 16:52:09 发布
阅读量1.1k 收藏 3
点赞数 2
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmardrid/article/details/107027420
版权

Authentication:

http是一种无状态的协议, 浏览器和web server可以通过cookie来识别身份。

应用程序一般不会使用cookie识别身份,通常是把 "用户名+密码"用BASE64编码放在请求头的Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authentication)。

1.client发送http request到web server 。

2.request中没有包含Authorization头,  web server返回一个401 Unauthozied 给client,在response的头WWW-Authenticate中添加信息。

3.client把username和passwd用编码(或者加密)后,放在Authorization头中发送给web server。

4.web server将Authorization头中的username和passwd解码(或解密)进行验证, 如果验证通过,将根据请求发送资源给客户端。

这样的请求在网络上用HTTP传输是很不安全的。 一般会用HTTPS传输,。

https在http基础上面添加了ssl安全证书,请求并发一旦上去的话耗时要比http多出很多,缓存没有http好。有时https也是有一定的缺点,https真是请求响应内容进行加密的,但HTTPS协议的加密范围有限,ssl证书信用链体系并不绝对安全,在可以控制CA根证书的情况下,中间人攻击一样可行。即使https协议在黑客攻击、ddos/cc、服务器劫持等方面起不到什么作用。

最好的方式就是内容https加密+身份验证机制。特别是在防爬虫、突破权限获取数据效果最为明显

 

OAuth:

OAuth对于Http来说,放在Authorization头中的不是用username和passwd,而是一个token。

OAuth是一个开放标准,提供了一种简单和标准的安全授权方法,允许用户无需将某个网站的用户名密码提供给第三方应用就可以让该第三方应用访问该用户在某网站上的某些特定信息(如简单的个人信息)。

我们通常在网站上注册的时候,要填写邮箱user信息很多东西balabala...,如果使用oauth协议会省略这个比较麻烦的步骤。网站后台在处理登陆的时候,调用了oauth协议,用户在登陆的时候可以使用第三方账号登陆。例如:在我们访问博客or论坛想要发帖或者下载东西时,都需要在登录网站后才可以操作。我们经常在网站登陆页面上,显示可以选择QQ/微信/微博登陆,优化了用户对页面的体验。这就是使用了第三方的登陆,oauth第三方协议成了现在较为流行的一种登陆方式。

现在一般用的是OAuth2.0

OAuth2.0协议交互流程

+--------+                               +---------------+
     |        |--(A)- Authorization Request ->|   Resource    |
     |        |                               |     Owner     |
     |        |<-(B)-- Authorization Grant ---|               |
     |        |                               +---------------+
     |        |
     |        |                               +---------------+
     |        |--(C)-- Authorization Grant -->| Authorization |
     | Client |                               |     Server    |
     |        |<-(D)----- Access Token -------|               |
     |        |                               +---------------+
     |        |
     |        |                               +---------------+
     |        |--(E)----- Access Token ------>|    Resource   |
     |        |                               |     Server    |
     |        |<-(F)--- Protected Resource ---|               |
     +--------+                               +---------------+

Token为获取信息的凭证,如上图的Access Token,关于Token的具体使用有相应的RFC文件指导

OAuth1.0和OAuth2.0 官方RFC文档:

https://tools.ietf.org/html/rfc5849

https://tools.ietf.org/html/rfc6750

Token的类型可分为两种:

    1.Bearer 包含一个简单的Token字符串.

    2.MAC 由消息授权码(Message Authentication Code)和Token组成

Authorization: Bearer sF_6.B7f-8.9xmP
Authorization: MAC id="t67vi01hd3",nonce="849662:fs873ka",mac="NsdHsdndKBkjfKfhKJN="

Token的认证请求的方式有三种,客户端可以选择任意一种:

    1.放在URI

        GET /index.html?access_token=sF_6.B7f-8.9xmP
        Host: test.com
    2.放在请求头

        GET /index.html HTTP/1.1
        Host: test.com
        Authorization: Bearer sF_6.B7f-8.9xmP
    3.放在请求体

        POST /index.html HTTP/1.1
        Host: test.com
        Content-Type: application/x-www-form-urlencoded
        access_token=Bearer sF_6.B7f-8.9xmP

 

Spring Security OAuth框架学习:

 https://spring.io/projects/spring-security-oauth

 

JWT:

JWT: 是一个开放的标准,规定了一种Token实现方式,以JSON为格式。

官方RFC文档:

https://tools.ietf.org/html/rfc7519

原理:

    1.server给client分配一个加密的token。

    2.client保存这个token,以后的每个请求client都会发送这个token。

    3.server通过token判断是否是鉴权过的用户,并返回请求的响应数据。

可以通过url/请求头/post参数发送,数据量小传输速度快。
payload中包含了所有用户所需要的信息,由于JWT是自包含的避免了多次查询数据库。

 

JWT结构分为三部分:

    Header: 存放Token类型和加密算法。

    Payload: 用户身份信息。

    Signature: 签名是将前面的Header,Payload信息以及一个密钥组合起来并使用Header中的算法进行加密。

                    算法(base64UrlEncode(header) + "." +  base64UrlEncode(payload),  密钥)

Signature用于验证消息的发送者以及消息内容有没有经过篡改。如果黑客获取到了payload中的用户信息,并进行了篡改,那么经过Base64编码后也会发生变化,而签名是根据Header和Payload共同决定的,签名也会不一样,服务器就会判断出不一致。

完整的JWT格式,它拼接了之前的Header, Payload以及秘钥签名:

1)用户在client输入用户名和密码登录。

2)server认证通过后,返回给用户一个JWT。

3)client只需在本地保存该token,通常使用local storage也可以使用cookie。

4)当用户下次访问时,在Authorization头部使用Bearer模式添加JWT,格式Authentication: Bearer <token>。

5)server检查请求头Authentication中的JWT,如果合法则允许用户的行为。

 

 

 

 


 

 

 

 

 

securitysun
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pytest + yaml 框架 - 3.全局仅登录一次,在用例中自动在请求头部添加Authentication token认证
qq_27371025的博客
12-01 1226
我们在使用自动化测试框架的时候,经常会遇到一个需求,希望在全局用例中,仅登录一次,后续所有的用例自动带上请求头部token 或者cookies。
OAuth Authentication
pre_eminent的JAVA学习园地
03-26 1092
下图Twitter的OAuth的授权过程。 下图sina的OAuth的授权过程。 下图qq的OAuth的授权过程。 网页授权流程分为四步: 1、引导用户进入授权页面同意授权,获取code 2、通过code换取网页授权access_token 3、非必须,开发者可以刷新网页授权access_token,避免过期 4、通过网页授权access_token和openid
Oauth认证
点滴积累成就技术梦想
01-05 5696
一、Oauth简介 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。 与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的(没有涉及到用户密钥)。任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAU
Android 实现request HTTP authentication(授权认证开发)
jia635的专栏
12-06 2721
这几天开发对外的SDK,可以实现登陆,支付。类似开发一套QQ,微信第三方登陆。使用的是OAuth 2.0的授权协议。其中用到了 Http Authentication,查阅网上资料,各种答案都有,有的不知道有没有验证,有的相关API已经过期。 如果通过抓包工具(Charles)可对比观察Authentication请求效果           左图是有设置认证的Post请
oauth 认证
qq_36528073的博客
06-03 478
需求 在微服务架构中,我们有很多业务模块,每个模块都需要有用户认证,权限校验。有时候也会接入来自第三方厂商的应用。要求是只登录一次,即可在各个服务的授权范围内进行操作。看到这个需求,立马就想到了这不就是单点登录吗?于是基于这样的需求,作者使用spring-cloud-oauth2去简单的实现了下用户认证和单点登录。 相关介绍 OAuth2 OAuth2是一个关于授权的网络标准,他定制了设计思路和执行流程。OAuth2一共有四种授权模式:授权码模式(authorization code)、简化模式(impli
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring Security是Spring框架的一个模块,专门...
前端(ElementUI)后端(Spring Cloud Eureka、Gateway、OAuth2、JWTtoken、RSA)
04-03
后台:Spring Cloud,包括Eureka、Gateway(配置了Hystrix简单实现、跨域)、OAuth2(使用JWTtoken) 功能实现: 1、登录,密码使用RSA加密,重写DaoAuthenticationProvider解密验证,server-authentication => ...
web api JWT token认证
04-24
Web API中可以使用OAuth2或OpenID Connect库,如Microsoft.AspNetCore.Authentication.JwtBearer,来实现JWT验证中间件。该中间件会在每个请求中检查JWT,并在有效时设置ClaimsPrincipal,这样API就可以根据用户...
warden-jwt_auth:使用Warden进行JWT令牌认证
05-04
warden-jwt_auth是它使用扩展令牌进行用户认证。 它遵循原则。 当无法使用Cookie时,此gem只是它们的替代品。 作为cookie,以warden-jwt_auth过期的令牌将强制具有到期时间。 如果您需要用户永不注销,那么使用...
spring-authentication-oauth
04-10
在实际开发中,你可能还需要处理各种场景,例如社交登录集成(如Facebook、Google等)、JWT(JSON Web Tokens)用于无状态认证、以及错误处理和自定义逻辑。 理解并掌握Spring Security OAuth2可以帮助你构建健壮、...
http形式的oauth2客户端
lwy572039941的博客
10-08 1362
http形式的oauth2客户端 上篇博客讲到springboot+oauth2搭建oauth2客户端和服务端,但是现在很多公司都是前后端分离,这样可能无法使用java作为oauth2客户端,那怎么办呢?其实,oauth2就是一个协议,org.apache.oltu.oauth2包装的再好,本质上还是使用http交互,那么我用wireshark抓包工具来探索一下org.apache.oltu.oa...
HTTP下密码的安全传输、OAuth认证
weixin_30695195的博客
10-13 126
在复杂的web环境下,我们没有百分的把握保证信息在传输的过程中不被接货,那不是用明文如何告诉服务器自己的身份呢? 在一些高度通信安全的网络中,数据传输会使用HTTPS作为传输协议,但是通常情况下我们没必要使用HTTPS传输,虽说安全,但传输数据都需要加密解密,很费事。我们可以使用一些加密方式(md5)对密码进行加密即可。但是仅仅对密码加密没有任何作用,所以可以在密码中加入一些其他字符,合并之后是...
JWT token 相关配置 (全局配置 身份认证 重写Authenticate方法)
weixin_69282446的博客
04-27 1772
文章目录一. jwt 全局配置 判断用户是否登录1.settings配置二. 配置jwt过期时间 自定义返回的json数据1.utils.py函数编写,返回指定格式的json数据2.settings配置三. 配置django的认证后端 目的是只让管理员登录 自定义一个认证类 重写Authenticate方法1.utils.py类编写 重写Authenticate方法2.settings配置四. 路由配置五. 模型类1.models.py里定义用户类2.settings配置3 添加测试数据 一.
关于HTTPOauth,Session和Cookie, Proxy概念
weixin_34137799的博客
04-22 178
HTTP认证 HTTP基本认证 auth = (username, password) OAUTH认证 #直接编写 def build_uri(endpoint): return '/'.join([URL, endpoint]) def basic_oauth(): headers = {'Authorization': 'token ...........'} re...
java jwt实战,Spring Boot Security Jwt Authentication详解实战
weixin_35895485的博客
03-11 523
引言在这篇文章中,我们将通过JWT(JSOn Web Token)认证来保护我们的REST API 。我们将使用基于spring boot maven的配置来开发并保护我们的API,并提供单独的API用于注册并生成令牌。我们将扩展OncePerRequestFilter类,以使用JWT定义我们的自定义认证机制。认证机制可以应用于URL和方法。最后,我们将使用谷歌高级REST客户端测试实现。项目结构...
使用请求头认证来测试需要授权的 API 接口
Globalizationa的博客
03-28 220
使用请求头认证来测试需要授权的 API 接口 Intro 有一些需要认证授权的接口在写测试用例的时候一般会先获取一个 token,然后再去调用接口,其实这样做的话很不灵活,一方面是存在着一定的安全性问题,获取 token 可能会有一些用户名密码之类的测试数据,还有就是获取 token 的话如果全局使用同一个 token 会很不灵活,如果我要测试没有用户信息的话还比较简单,我可以不传递 token,如果token里有两个角色,我要测试另外一个角色的时候,只能给这个测试用户新增一个角色然后再获取token,这.
Http Basic Authentication 的请求头Authorization的状态保存问题:见‘斜粗下划线’部分说明
likaiwalkman@csdn - Code Study Area
08-27 1365
Basic access authentication From Wikipedia, the free encyclopedia HTTP PersistenceCompressionHTTPS Request methods OPTIONSGETHEADPOSTPUTDELETETRACECONNEC
登陆安全验证token(利用redis缓存和http请求头做的登陆验证)
weixin_30455067的博客
10-09 1699
基于token的数据通讯验证当用户登录成功后后端生成唯一token值 并缓存到redis中 以用户id为键名token为值存储为了避免token泄露尽量不要直接传输token值给前端 而是通过token生成签名 之后通过签名做身份验证 登录成功生成sign 并返回给前端 # 生成sign // 你的密钥 $key = 'Key_6@3.*78_xYQ98'; // 当前用户...
HttpClient添加OAuth身份验证支持
cuyi7076的博客
06-25 467
存档日期:2019年4月18日 | 首次发布:2010年12月14日 对于现代的Web应用程序,使用HTTP协议访问资源可能很麻烦。 在本文中,了解HttpClient的身份验证模块如何帮助提供OAuth身份验证支持。 学习扩展身份验证模块以使用定制的身份验证方案。 一个示例(包括示例代码)向您展示了如何使用oauth.net提供的开源库向HttpClient组件添加OAuth身份验证支持...
Spring Boot Security OAuth2 JWT完整示例
最新发布
05-25
Spring Boot Security是一个非常流行的安全框架,可以帮助开发人员实现各种安全功能。其中,OAuth2和JWT是两个非常重要的安全技术,可以用于实现授权和认证。下面是一个基于Spring Boot Security的完整示例,演示如何使用OAuth2和JWT实现安全功能。 1. 创建一个Spring Boot项目 使用Spring Initializr创建一个新的Spring Boot项目,添加以下依赖: - Spring Web - Spring Security - Spring Data JPA - H2 Database - Spring Security OAuth2 - jjwt 2. 添加配置文件 在application.properties文件中添加以下配置: ``` spring.datasource.url=jdbc:h2:mem:testdb spring.datasource.driverClassName=org.h2.Driver spring.datasource.username=sa spring.datasource.password= spring.jpa.database-platform=org.hibernate.dialect.H2Dialect spring.jpa.hibernate.ddl-auto=create-drop spring.h2.console.enabled=true spring.h2.console.path=/h2-console spring.security.oauth2.client.registration.myapp.client-id=myapp spring.security.oauth2.client.registration.myapp.client-secret=myappsecret spring.security.oauth2.client.registration.myapp.scope=read,write spring.security.oauth2.client.provider.myapp.authorization-uri=http://localhost:8080/oauth/authorize spring.security.oauth2.client.provider.myapp.token-uri=http://localhost:8080/oauth/token spring.security.oauth2.client.provider.myapp.user-info-uri=http://localhost:8080/userinfo spring.security.oauth2.client.provider.myapp.user-name-attribute=name ``` 这些配置将用于配置数据源、Hibernate、H2控制台和OAuth2。 3. 创建实体类和仓库 创建一个User实体类,用于表示用户信息: ```java @Entity @Table(name = "user") public class User { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(nullable = false, unique = true) private String username; @Column(nullable = false) private String password; @Column(nullable = false) private String email; // getters and setters } ``` 创建一个UserRepository接口,用于操作User实体类: ```java @Repository public interface UserRepository extends JpaRepository<User, Long> { Optional<User> findByUsername(String username); } ``` 4. 创建用户服务 创建一个UserService接口,用于定义获取用户和创建用户的方法: ```java public interface UserService { User createUser(String username, String password, String email); Optional<User> getUserByUsername(String username); } ``` 创建一个UserServiceImpl实现UserService接口,用于实现上述方法: ```java @Service public class UserServiceImpl implements UserService { @Autowired private UserRepository userRepository; @Autowired private PasswordEncoder passwordEncoder; @Override public User createUser(String username, String password, String email) { User user = new User(); user.setUsername(username); user.setPassword(passwordEncoder.encode(password)); user.setEmail(email); return userRepository.save(user); } @Override public Optional<User> getUserByUsername(String username) { return userRepository.findByUsername(username); } } ``` 5. 配置Spring Security 创建一个WebSecurityConfig类,用于配置Spring Security: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserService userService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/oauth/**").permitAll() .anyRequest().authenticated() .and() .csrf().disable() .formLogin().disable() .httpBasic().disable() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(username -> userService.getUserByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User not found: " + username))) .passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 这个配置类将所有请求都需要进行认证,但是允许OAuth2请求。同时,禁用了CSRF、表单登录、HTTP基本认证和会话管理。 6. 配置OAuth2 创建一个OAuth2Config类,用于配置OAuth2: ```java @Configuration @EnableAuthorizationServer public class OAuth2Config extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserService userService; @Autowired private PasswordEncoder passwordEncoder; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("myapp") .secret(passwordEncoder.encode("myappsecret")) .authorizedGrantTypes("authorization_code", "refresh_token") .scopes("read", "write") .redirectUris("http://localhost:8081/login/oauth2/code/myapp"); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager) .userDetailsService(username -> userService.getUserByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User not found: " + username))) .accessTokenConverter(accessTokenConverter()) .pathMapping("/oauth/token", "/signin"); } @Bean public JwtAccessTokenConverter accessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey("secret"); return converter; } @Bean public TokenStore tokenStore() { return new JwtTokenStore(accessTokenConverter()); } } ``` 这个配置类定义了一个OAuth2客户端,将授权码和刷新令牌作为授权类型,并允许读取和写入作用域。同时,定义了一个端点配置,将认证管理器、用户详情服务、访问令牌转换器和令牌存储配置到端点上。 7. 创建控制器 创建一个UserController类,用于处理用户相关的请求: ```java @RestController @RequestMapping("/users") public class UserController { @Autowired private UserService userService; @PostMapping public User createUser(@RequestBody UserDto userDto) { return userService.createUser(userDto.getUsername(), userDto.getPassword(), userDto.getEmail()); } @GetMapping("/{username}") public User getUser(@PathVariable String username) { return userService.getUserByUsername(username) .orElseThrow(() -> new NotFoundException("User not found: " + username)); } } ``` 这个控制器中定义了创建用户和获取用户的方法。 8. 创建JWT过滤器 创建一个JwtFilter类,用于在请求中验证JWT令牌: ```java public class JwtFilter extends OncePerRequestFilter { private static final String AUTHORIZATION_HEADER = "Authorization"; @Autowired private JwtAccessTokenConverter accessTokenConverter; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String authorizationHeader = request.getHeader(AUTHORIZATION_HEADER); if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { String token = authorizationHeader.substring(7); Authentication authentication = accessTokenConverter.extractAuthentication(token); SecurityContextHolder.getContext().setAuthentication(authentication); } filterChain.doFilter(request, response); } } ``` 这个过滤器会从请求头中获取JWT令牌,并使用令牌转换器验证令牌。如果验证通过,则将用户认证信息存储到Spring Security上下文中。 9. 注册JWT过滤器 在WebSecurityConfig类中,添加以下配置: ```java @Bean public JwtFilter jwtFilter() { return new JwtFilter(); } @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(jwtFilter(), UsernamePasswordAuthenticationFilter.class); // ... } ``` 这个配置将JwtFilter注册到Spring Security过滤器链中。 10. 创建JWT工具类 创建一个JwtUtils类,用于生成和解析JWT令牌: ```java public class JwtUtils { public static final String SUBJECT = "myapp"; public static String generateToken(User user) { Map<String, Object> claims = new HashMap<>(); claims.put("sub", SUBJECT); claims.put("id", user.getId()); claims.put("username", user.getUsername()); claims.put("email", user.getEmail()); Date now = new Date(); Date expiration = new Date(now.getTime() + 60 * 60 * 1000); return Jwts.builder() .setClaims(claims) .setIssuedAt(now) .setExpiration(expiration) .signWith(SignatureAlgorithm.HS256, "secret") .compact(); } public static Long getUserIdFromToken(String token) { Claims claims = Jwts.parser() .setSigningKey("secret") .parseClaimsJws(token) .getBody(); return claims.get("id", Long.class); } } ``` 这个工具类将用户信息存储到JWT令牌中,并使用HS256算法进行签名。 11. 创建DTO类 创建一个UserDto类,用于接收创建用户的请求: ```java public class UserDto { private String username; private String password; private String email; // getters and setters } ``` 12. 测试 启动应用程序,并使用以下命令创建一个用户: ``` curl -X POST -H 'Content-Type: application/json' -d '{"username":"test","password":"test123","email":"test@example.com"}' http://localhost:8080/users ``` 使用以下命令获取访问令牌: ``` curl -X POST -vu myapp:myappsecret http://localhost:8080/oauth/token -H 'Accept: application/json' -d 'grant_type=authorization_code&code={CODE}&redirect_uri=http://localhost:8081/login/oauth2/code/myapp' ``` 将{CODE}替换为授权码,并将返回的访问令牌用于获取用户信息: ``` curl -H 'Authorization: Bearer {ACCESS_TOKEN}' http://localhost:8080/users/test ``` 将{ACCESS_TOKEN}替换为访问令牌,在请求头中发送即可。 以上就是一个完整的Spring Boot Security OAuth2 JWT示例,演示了如何实现授权和认证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值