从头搭架构SpringCloud(六):权限认证spring security + oauth2 +jwt之jwt及jwt加密

最新推荐文章于 2024-04-18 08:02:30 发布
最新推荐文章于 2024-04-18 08:02:30 发布
阅读量330 收藏
点赞数
分类专栏: Spring Cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011217058/article/details/118414562
版权

JWT,全称是Json Web Token,是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;

JWT的token包含三部分数据:

  1. Header:头部,JWT 头描述了 JWT 元数据,是一个 JSON 对象通常头部有两部分信息,它的格式如下:
    • 声明类型,这里是JWT
    • 加密算法,自定义
 json{
   “alg”:“HS256”,“typ”:“JWT”}
  alg 属性表示签名所使用的算法,JWT 签名默认的算法为 HMAC SHA256 , alg 属性值 HS256 就是 HMAC SHA256 算法。
  typ 属性表示令牌类型,这里就是 JWT。
  1. Payload:有效载荷是 JWT 的主体,同样也是个 JSON 对象。有效载荷包含三个部分:
1.标准注册声明
标准注册声明不是强制使用是的,但是我建议使用。它一般包括以下内容:
iss:jwt的签发者/发行人;
sub:主题;
aud:接收方;
exp:jwt过期时间;
nbf:jwt生效时间;
iat:签发时间
jti:jwt唯一身份标识,可以避免重放攻击
2.公共声明:
可以在公共声明添加任何信息,我们一般会在里面添加用户信息和业务信息,但是不建议添加敏感信息,因为公共声明部分可以在客户端解密。
3.私有声明:
私有声明是服务器和客户端共同定义的声明,同样这里不建议添加敏感信息。
  1. Signature:签名,是整个数据的认证信息。一般根据前两步的数据, 再加上服务的的密钥(secret)
    (不要泄漏,最好周期性更换),通过加密算法生成。用于验证整个数据完整和可靠性(不要泄漏,最好周期性更换),
    通过加密算法生成。用于验证整个数据完整和可靠性

JWT 注意事项

JWT 默认不加密,如果要写入敏感信息必须加密,可以用生成的原始令牌再次对内容进行加密;
JWT 无法使服务器保存会话状态,当令牌生成后在有效期内无法取消也不能更改;
JWT 包含认证信息,如果泄露了,任何人都可以获得令牌所有的权限;因此 JWT 有效期不能太长,对于重要操作每次请求都必须进行身份验证。

加密方式

  • 对称加密,如AES

基本原理:将明文分成N个组,然后使用密钥对各个组进行加密,形成各自的密文,最后把所有的分组密文进行合并,形成最终的密文。
优势:算法公开

最低0.47元/天 解锁文章
小林一
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2:使用JWT加密签名
冲出仁川,走出马德里,故事还会再继续
03-05 5041
OAuth2:使用JWT加密签名1、简介2、使用JWT以及对称密钥签名的令牌2.1 使用JWT2.2 实现授权服务器以颁发JWT2.2.1 项目依赖2.2.2 配置JwtTokenStore2.2.3 为授权服务器配置用户管理2.2.4 启动项目获取访问令牌2.3 实现使用JWT的资源服务器2.3.1 项目依赖2.3.2 添加测试端点2.3.3 资源服务器的配置类2.3.4 测试3、使用通过JWT和非对称密钥签名的令牌3.1 什么是非对称密钥对?3.2 生成密钥对3.3 实现使用私钥的授权服务器3.3.1
十七.SpringCloud+Security+Oauth2实现微服务授权 -非对称加密生成JWT令牌
墨家巨子@俏如来
11-30 3097
仅做学习使用,老鸟飞过,欢迎交流 前言 在之前的微服务授权方案《SpringCloud+Security+Oauth2实现微服务授权 - 授权服务配置》中我们使用的是Oauth+JWT方式完成,今天介绍一下使用非对称加密方式RSA来生成JWT令牌 一.对称和非对称加密 1.对称加密 早期的加密方式都是使用对称加密即: 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密加密算法是公开的,使用一个秘钥加密,必须使用相同的秘钥才能解密,通过秘钥来保证
Spring Cloud SecurityOauth2结合JWT使用
最新发布
smart_an的专栏
04-18 599
JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。
SpringBoot+SpringSecurity+SpringCloudOauth2密码模式使用(三)整合JWT格式的Token
鹏举的博客
06-09 710
Jwt介绍 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密JWT的构成 第一部分我们称它为头部(header),通过base64加密 第二部
Spring Security Oauth2 JWT
dadawdawdadadw的博客
08-16 82
什么是单点登录 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。 SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统 单点登录实现方案 自己平台权限对接 1、Apache Shiro框架 2、CAS 框架(耶鲁大学的开源项目) 3、Spring security CAS (spring的开源项目) 第三方平台对接 springSecurityOauth2框架 此框架可以对接第三方登录平台,也可以让其他服务对接
认证服务器 - Spring Security Oauth2.0 集成 Jwt 之 【密码认证流程】 总结
qq_42378797的博客
12-24 401
建介绍流程之前,确保您已经建了一个 Eureka 注册中心,因为没有注册中心的话会报错(也有可能我建的认证服务器是我项目的一个子模块的原因):Request execution error. endpoint=DefaultEndpoint{ serviceUrl='http://localhost:8761/eureka/} http://localhost:8761/eureka/ 是因为配置文件未提供注册中心地址,springcloud 默认的注册中心地址就是这个 另外:文末会提供所有代码 .
Springboot整合Spring security+Oauth2+JWT认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT认证服务器,网关,微服务之间权限认证及授权
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
验证服务:Spring Security + OAuth2.0 + JWT
02-21
更改日志2018.9.1版本升到2.0-SNAPSHOT ,要使用sb1.5.x版本,请切换到TAG 1.0-RELEASE Spring Cloud Security升级到Finchley.RELEASE ,Spring Boot由1.5.X升级到2.0.X。 < dependency> < groupId>org.spring...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
SpringSecurity+OAuth2+JWT分布式权限控制
JWT令牌(Oauth2的令牌加密
thm0805的博客
09-12 295
前言 通过我们创建Oauth2服务器,我们已经完成了利用Oauth2颁发和验证令牌 但是我们登录成功用户的信息仍然保存在了服务器内存中 其实就是我们看到的令牌是UUID作为的key,用户的信息是内存中的value 本质上是使用这个uuid获得内存中的用户 为了实现刚开始的目标,解放内存,我们需要使用JWT令牌 什么是JWT令牌 JWT(Json Web Token) ·是一种json格式,保存用户信...
spring security oauth2 password模式简单入门二(jwt对称以及非对称加密配置)
zuoyigehaizei的博客
09-10 1893
spring security oauth2 改进 使用JWT认证 接着上一篇spring security oauth2 入门,之后网上查阅了一些资料,准备对oauth2修改使用jwt的模式认证,使用jwt有两种认证方式1,对称加密方式。2,非对称加密方式,本文将逐一介绍 1,对称加密方式,此种方式很简单,因为配置资源服务器和认证服务器在同一个应用中,所以只要在认证服务器配置中稍作修改...
php 前后端 请求 加密_SpringBootSecurity学习(16)前后端分离版之 OAuth2.0 加密配置...
weixin_39517199的博客
11-26 148
示例代码的改进前面使用spring cloud securityspring cloud oauth2写了一个第三方授权的例子,例子非常的简单,主要目的是用来熟悉OAuth2.0 申请授权的整个流程,这个简单的示例肯定是不能直接用于生产环境的,还有很多需要改进的地方,我们来总结一下:1、只演示了授权码的形式,其它的三种(隐藏式,密码式,客户端凭证)并没有熟悉2、密码和秘钥是未加密的3、oauth...
《深入理解 Spring Cloud 与微服务构建》第十八章 使用 Spring Security OAuth2 和 JWT 保护微服务系统
313YPHU3的博客
12-06 609
《深入理解 Spring Cloud 与微服务构建》第十八章 使用 Spring Security OAuth2 和 JWT 保护微服务系统
Springcloud+ Springsecurity oauth2.0 + jwt简单实现认证
killdrsa的博客
04-09 3841
基于Springcloud+ Springsecurity oauth2.0 + jwt 实现一个认证授权手脚架 一.用户的认证与授权 什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认 证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权? 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允...
Oauth2+JWT 加密token
技术札记
07-08 9192
JWT 对称加密 JWT将 相关信息放在 令牌里 jwt全称 JSON Web Token。这个实现方式不用管如何进行存储(内存或磁盘), 因为它可以把相关信息数据编码存放在令牌里 。JwtTokenStore 不会保存任何数据, 但是它在转换令牌值以及授权信息方面与 DefaultTokenServices 所扮演的角色是一样的。 安全性 OAuth2提供了JwtAccessTokenCo.........
从头架构SpringCloud(六):权限认证spring security + oauth2 +jwt
摩尔__摩尔的博客
07-02 191
待完善
前后端AES加密传输
01-26 1719
还记得上次面试时面试官问我相关的问题,当时回答的一团糟。正好最近新找了一家公司,前后端传输是经过加密的,具体操作很简单,前端传输过来的数据使用了AES加一串字符串进行加密,后端公司自己写了request和response,然后在过滤器中进行解密。 大概代码如下: package com.poplar.utils; import org.apache.tomcat.util.codec.binar...
Spring Security+OAuth2 + JWT认证以及携带用户信息
热门推荐
buxiaoxia的专栏
03-20 3万+
基于Spring SecurityOAuth2.0+JWT认证方式实现 提供认证服务端,资源服务端的配置 提供JWT对称加密、非对称加密方式
springboot整合spring security+oauth2+jwt认证服务器,网关,微服务之间权限
11-21
Spring Boot是一个用于构建独立的、生产级别的基于Spring的应用程序的框架,而Spring SecuritySpring的一个强大的安全框架,用于身份验证和授权。OAuth2是一种用于授权的开放标准,JWT是一种用于在用户和服务器之间传递安全信息的开放标准。这些技术的整合可以帮助我们构建一个完善的认证服务器,网关和微服务之间的权限认证系统。 首先,我们可以使用Spring Boot整合Spring Security来构建认证服务器。通过Spring Security提供的各种认证和授权功能,我们可以实现用户的身份验证和授权管理。然后,结合OAuth2的开放标准,我们可以实现用户的授权码、密码、客户端凭证和刷新令牌等授权方式,从而提高系统的安全性和灵活性。 接着,我们可以利用Spring Boot建网关来统一管理微服务之间的访问权限。通过网关,我们可以对各个微服务进行统一的权限验证和访问控制,从而实现统一的安全管理和监控。 最后,我们可以在微服务中集成JWT来实现基于令牌的安全验证。JWT可以帮助我们在客户端和服务器之间传递安全信息,并通过签名和加密保障信息的安全性。 总之,通过Spring Boot整合Spring SecurityOAuth2和JWT,我们可以构建一个完善的认证服务器、网关和微服务之间的权限认证系统,从而实现系统的安全可靠和权限灵活控制。这将有助于我们构建高效、安全的微服务架构,并为用户提供更加可靠的服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值