OAuth2与JWT的区别和联系

最新推荐文章于 2024-08-01 09:58:08 发布
最新推荐文章于 2024-08-01 09:58:08 发布
阅读量2.2w 收藏 38
点赞数 14
分类专栏: 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tales522/article/details/89737759
版权

JWT:JSON Web Token // 是一种具体的Token实现框架
OAuth2:Open Authorization // 是一种授权协议,是规范,不是实现
Spring Security OAuth2:Spring 对 OAuth2 的开源实现,优点是能与Spring Cloud技术栈无缝集成
Spring Security:前身是 Acegi Security ,能够为 Spring企业应用系统提供声明式的安全访问控制
这里需要理解两个概念:

Authentication:用户认证,一般是通过用户名密码来确认用户是否为系统中合法主体,
Authorization:用户授权,一般是给系统中合法主体授予相关资源访问权限。

jwt是基于token的认证协议的实现,OAuth2是一种授权框架,提供了一套详细的授权协议标准(指导)。

jwt的基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个Token(令牌),用户可以使用这个token访问服务器上受保护的资源。

对于OAuth2的使用场景,官方文档都提到针对第三方应用,需要强调的是,这个第三方应用,不要只当作一个完全不相干的应用,这里除了服务本身外的应用,就算第三方应用,即使是你自己的应用,也是第三方应用,不要把第三方应用只当作其他公司开发的应用或系统,如果这样就对OAuth的理解太狭隘了。从广义上讲,你自己开发的客户端也是一种第三方,只是你的客户端是可以输入用户名密码获取令牌的,而真正的第三方是不可以使用用户名和密码获取令牌的(这样暴露用户密码给第三方了),一般是通过审核过后的开发者id来获取令牌的,所以他们在流程上是有很大一部分是相似的。

Oauth2的几种授权模式:

授权码模式(Authorization Code)(正统方式)(支持refresh token)
授权码简化模式(Implicit)(为web浏览器设计)(不支持refresh token)
Pwd模式(Resource Owner Password Credentials) (基本不用)(支持refresh token)
Client模式(Client Credentials) (为后台api调用设计)(不支持refresh token)
扩展模式(Extension)(自定义模式)

Oauth的几个概念:

Roles角色
应用程序或者用户都可以是下边的任何一种角色:
    资源拥有者
    资源服务器
    客户端应用
    授权服务器
Client Types客户端类型
这里的客户端主要指API的使用者。它可以是的类型:
    私有的
    公开的
Client Profile客户端描述
OAuth2框架也指定了集中客户端描述,用来表示应用程序的类型:
    Web应用
    用户代理
    原声应用
Authorization Grants认证授权
认证授权代表资源拥有者授权给客户端应用程序的一组权限,认证授权方式可以是下边几种形式:
    授权码
    隐式授权
    资源拥有者密码证书
    客户端证书
Endpoints终端
OAuth2框架需要下边几种终端:
    认证终端
    Token终端
    重定向终端

 

诗人不写诗
关注
专栏目录
Spring Security OAuth2 开发指南
dibimian8850的博客
09-27 2488
官方原文:http://projects.spring.io/spring-security-oauth/docs/oauth2.html 翻译及修改补充:Alex Liao. 转载请注明来源:http://www.cnblogs.com/xingxueliao/p/5911292.html Spring OAuth2.0 提供者实现原理: Spring OAuth2.0提供...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring Security是Spring框架的一个模块,专门...
JWTOauth2的区别联系
Aplumage的专栏
06-10 5677
既然是区别联系,首先就要分别对双方的内容思想有所了解: Oauth2: 是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。它详细描述了系统中不同角色、用户、服务前端应用(比如API),以及客户端(比如网站或移动App)之间怎么实现相互认证。 Oauth2定义了一组想当复杂的规范。涉及到:Roles角色、Client Types客户端类型、Client Profile客户端描述、Authorization ...
OAuth2的四种认证方式
最新发布
你的指尖有改变世界的力量
08-01 589
介绍了OAuth2常见的四种认证方式
JWTOAuth2.0
Kard的博客
12-31 9134
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。 OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
OAuth2 和 JWT - 如何设计安全的 API?
芋艿V
02-04 232
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 8:55 更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2020 超神之路,很肝~中...
OAuth2 vs JWT,到底怎么选?,java架构师面试宝典和答案
m0_60567796的博客
03-29 1296
在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。但是你要学习的往往不止这一点,还有一些主流框架的使用,Spring源码的学习,Mybatis源码的学习等等都是需要掌握的,我也把这些知识点都整理起来了24b (备注Java)**[外链图片转存中…(img-UJ6MYTqZ-1711713716991)]在这里,由于面试中MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。
JWTOAuth区别
weixin_43674794的博客
09-19 5824
基于 Token 的 JWT 认证协议与 OAuth2.0 授权框架不恰当比较 2018-02-21JHipster►TokenJWT,OAuth20评论 Authentication(认证)& Authorization(鉴权) Authentication(认证) 关心你是谁 Authorization(鉴权) 关心你能干什么 ...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
springcloud整合oauth2和jwt
04-09
本篇文章将深入探讨如何在Spring Cloud项目中整合OAuth2和JWT,以及与MyBatis的集成。 首先,OAuth2是一个开放标准,主要用于授权。它允许第三方应用在用户许可的情况下访问其私有资源,而无需获取用户的用户名和...
security-oauth2-jwt-server.zip
09-04
认证授权与资源服务源码,个人项目分享,开箱简单配置即可使用,因为作为demo发布,所以认证和资源在同一个服务,如果需要分开服务,则只需要把ResServerConfig类单独提取到资源服务器即可,同时打开注释jwttoken,...
java实现oauth2.0服务端+客户端(含JWT
12-15
基于MAVEN+OLTU开源代码实现javaOauth2.0前后端,数据加密使用MD5。
jwt oauth2区别_OAuth2.0 看这篇就够了
weixin_39847945的博客
12-03 952
随着互联网技术的发展,微服务架构已经成为每个互联网公司的标配。伴随着服务粒度的细化,服务的安全和鉴权问题,以及客户端与服务之间的认证问题已经成为必不可少的一项工作。说起认证和鉴权,那怎么少得了 OAuth 2.0 协议呢?火锅店旁边的照片打印机这个案例想必大家都遇到过,在商场里面或者餐馆门口会看到一些可以打印照片的设备。想要设备打印出照片那么必须传输照片给设备,但是假如此时由于你的手机设备存储有限...
OAuth2与JWT区别JWT的适用场景及好处(九)
FAIRYTAIL的博客
08-28 7169
什么是jwtjwt相对于oauth2和session的好处
浅谈OAuth 2.0与JWT
qq_36551991的博客
11-17 302
OAuth 2.0是一个关于授权的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。其最终目的是颁发一个有时效性的令牌(access_token),第三方应用根据这个access_token就可以去获取用户的相关资源,如用户显示名称、email这些信息
JWTOAuth2比较
fengyingkong的博客
02-25 7767
JWT: JWT是一种认证协议,定义如下: JSON Web Token (JWT) is a compact URL-safe means of representing claims to be transferred between two parties. The claims in a JWT are encoded as a JSON object that is digital...
jwt oauth2 对接_JWTOauth2的区别联系
weixin_39688750的博客
12-20 190
既然是区别联系,首先就要分别对双方的内容思想有所了解:Oauth2:是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。它详细描述了系统中不同角色、用户、服务前端应用(比如API),以及客户端(比如网站或移动App)之间怎么实现相互认证。Oauth2定义了一组想当复杂的规范。涉及到:Roles角色、Client Types客户端类型、...
OAuth2 vs JWT,到底怎么选?
m0_71777195的博客
06-15 3747
本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT)假设:要比较JWTOAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。先来搞清楚JWTOAuth2究竟是干什么的~JWT在标准中是这么定义的:JWT是一种安全标准。基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个Token(令牌),用户可以使用这个token访问服务器上受保护的资源。一个token的例子: 一个
谈谈OAuth1,OAuth2异同
mmzz_tsz的博客
08-01 3946
一、写在前面 在收集资料时,我查询和学习了许多介绍OAuth的文章,这些文章有好有坏,但大多是从个例出发。因此我想从官方文档出发,结合在stackoverflow上的一些讨论,一并整理一下。整理的内容分为OAuth1.0a和OAuth2两部分。 OAuth 1.0a:One Leg ->Two Leg -> Three Legged OAuth 2:Two Leg ->Th...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值