JWT原理 对比 appid secretkey 鉴权

最新推荐文章于 2024-04-15 08:18:56 发布
最新推荐文章于 2024-04-15 08:18:56 发布
阅读量3.8k 收藏 5
点赞数 1
分类专栏: 加密解密 文章标签: JWT appid secretKey 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waltonhuang/article/details/107168352
版权

参考

看东西就先看官网

小结

大概思想就是

1、客户端用用户名密码请求server,server校验通过之后,返回JWT,里面包含着用户信息(base64编码的payload可破解,不应该包含敏感信息)
2、客户端从此在header上带着这个JWT请求server
3、server拿到JWT,解密成功则说明鉴权成功,否则鉴权失败

问题

流程是这么个流程,但感觉疑点重重

问题1、具体应用场景是啥,JWT里存什么呢

参考这个:比较正确的用法

我是单纯瞎想的,没有实证。拿钉钉做例子吧,有点类似于单点登录的感觉

假设用户登录了钉钉之后,其实可以以钉钉的身份登录别的应用如钉钉日历访问资源,其实没有必要再登录钉钉日历的系统了。具体应该怎么做呢?

我们可以想象有一个钉钉统一的passport模块,用户登录了钉钉之后,实际上就是在passport模块输入用户密码校验成功,然后passport模块返回一个JWT,payload里记录了用户可以访问的应用,如{“auth_apps”: [钉钉日历钉钉文档]},那么当用户带着这个JWT去访问钉钉日历的时候,实际上钉钉日历的后端系统可以解密出用户有权限的app,发现包含钉钉日历,于是允许访问。(当然先要校验签名:拿payload里的用户id去数据库中找到JWT对应的secretKey,然后用相同的方法做出签名,如果签名和JWT的第三个签名部分相等,说明这个JWT有效。)

这么做是否有问题呢?别人是否能够通过修改payload里的auth_apps来访问原来没有权限的app,如在auth_apps里加上钉钉顺风车? 答案应该是不行的,因为如果篡改了payload,签名就会发生改变,签名也就失效了。

问题2、这个跟appid+secretKey的鉴权有啥区别?

一般的openapi模块,会给不同的应用方分配appid+secretkey,同时开放加密算法,应用方将请求内容+appid等信息拼接字符串后,用secretKey签名(加密算法与JWT类似,如HMAC SHA256之类的),然后server端做鉴权的时候用相同的加密算法加密一遍得到token,与应用方传过来的token做比对,实现鉴权。

这里的appid有点像JWT里的payload。都是明文可获取的。但是JWT不要求客户端保存secretKey和加密算法,只需要保存JWT这个字符串就行了。加密的过程都在server端。

JWT会定时过期,过期后需要向server重新申请新的JWT。

小结2

可以对比 CAS 的方案,各种有啥优缺点?

后面有新的想法可以to be continued

stevewongbuaa
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT身份认证的使用方式
qq_58946786的博客
09-19 1031
JWT概述说明,组成部分,安装导入相关包,定义secret秘钥,获取用户信息,捕获解析JWT失败后产生的错误
jwt 私钥_关于JWT鉴权安全问题
weixin_31485835的博客
12-30 1292
什么是JWT JSON Web Token(JWT ? https://jwt.io )是一种跨域身份验证解决方案,其主要认证原理是提供一个可信签名,利用存在客户端的secret_key将明文的鉴权数据做一个签名,用于跨域校验权限的合法性。 举一个例子:Authorizatione: yJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIj...
腾讯云如何查看secretKey(只能查看secretIdsecretKey无法查看)
lightlyg的博客
04-04 1834
在这个页面中以前是可以查看APPIDSecretId以及secretKey,但是现在只能查看APPIDSecretId,无法查看secretKey。为降低密钥泄漏的风险,自2023年11月30日起,新建的密钥只在创建时提供SecretKey,后续不可再进行查询,请保存好SecretKey。查看APPIDSecretId的方法,查看链接。
jwt的概念、非对称加密与对称加密(详细介绍)_jwt 非对称加密
最新发布
2401_83739434的博客
04-15 303
首先得把依赖导入进来。
解锁互联网安全的新钥匙:JWT(JSON Web Token)
weixin_74268571的博客
10-13 1718
JWT互联网安全,JWT的简介,并讲解了JWT的工作原理JWT是如何工作的,JWT认证和session认证又有什么区别。介绍了JWT的结构和工具类的使用,以及案例的讲解
JSON WEB TOKEN
weixin_34273481的博客
03-19 725
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
通过code和小程序的appIdsecretKey获取用户的openid、access_key等信息
qq_42856647的博客
11-02 7708
/** * 通过code和小程序的appIdsecretKey获取用户的openid、access_key等信息 * @author LCW * @since 2020/11/2 21:39 **/ public class WxOpenIdUtils { public static String login(String code, String appId, String secretKey) { // 创建Httpclient对象 Closeable.
JWT创建token报错:secret key byte array cannot be null or empty.
weixin_61321344的博客
09-14 861
**在springboot项目的测试单元中,测试一个利用JWT来产生token报错:java.lang.IllegalArgumentException: secret key byte array cannot be null or empty.**
JWTUtil定时生成并更新秘钥KEY
阿水的博客
05-06 1376
在实际应用中,为了保证密钥的安全性,我们需要定期更换密钥。可以通过定时任务或者其他方式,在系统每隔一段时间后自动生成一个新的密钥,然后将新的密钥存储在配置文件或者数据库中。同时,为了避免旧的密钥被误删或遗漏,最好也要将历史密钥进行备份和存储。
php实现JWT(json web token)鉴权实例详解
10-16
JSON Web Token (JWT) 是一种安全的身份验证和授权机制,常用于API的无状态认证。在PHP中实现JWT鉴权,通常涉及以下几个关键步骤和概念: 1. **JWT的结构**: JWT由三部分组成:Header、Payload和Signature。...
详解用JWT对SpringCloud进行认证和鉴权
08-26
"详解用JWT对SpringCloud进行认证和鉴权" 本文主要介绍了使用JSON WEB TOKEN(JWT)对SpringCloud进行认证和鉴权的详细过程。JWT是一种基于RFC 7519标准定义的可以安全传输的小巧和自包含的JSON对象。由于数据是...
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
//We will sign our JWT with our ApiKey secret byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(apiKey.getSecret()); Key signingKey = new SecretKeySpec(apiKeySecretBytes, signature...
JWT授权鉴权--相当nice
08-14
综上所述,JWT是一种强大且灵活的身份验证和授权工具,理解其原理和使用方法对于任何IT专业人士来说都是非常有价值的。在设计和实施身份验证系统时,应考虑其优势和挑战,确保系统的安全性和用户体验。
微服务JWT安全密钥认证授权详解
马哥在编程
07-19 5039
微服务JWT安全密钥认证授权 本篇文章以一个简单的wx小程序作为演示 微服务登录分为有状态以及无状态登录方法 有状态 有状态登录方法依赖Session,将登录状态信息放置在Session中,并使用一个Session Store存储 无状态 服务器端不用去存储session状态,不会出现上述的负载均衡后服务器登录失效问题 优缺点对比 处处安全 外部无状态,内部有状态 网关认证授权,内部裸奔 内部裸奔改进 先在认证授权中心登录,登陆成功,颁发Token,用户携带Token去访问微服务
简单说基于JWTappkey、sercurtyKey的SSO、身份认证方案
weixin_34168880的博客
01-23 426
环境介绍, 一个大的系统由多个子系统组成。典型地,假设有一个平台,其上接入了多个应用。则有几个常见的问题需要处理, 1、SSO(包括单个应用退出时,需要处理为整个系统退出); 2、平台跳转到应用、及应用间互相跳转时的身份验证; 3、应用调用平台接口时的身份/权限认证。 方案有很多,例如基于OAuth2的单点与接口授权,基于cas的认证等。下面简单说一下基于jwtappkey、sercu...
jwt 私钥_什么是基于JWT的身份验证的密钥,以及如何生成密钥?
weixin_39609887的博客
12-21 1074
Recently I started working with JWT based authentication. After user login, a user token is generated which will look like"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ikpv...
开放api接口平台都会有appidappkeyappsecret,这几个参数都有什么用,是怎么生成的?
热门推荐
伏xx的博客
03-31 3万+
作者:肖旭 链接:https://www.zhihu.com/question/27814664/answer/140795440 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 正文: app_id, app_key, app_secret , 对于平台来说, 需要给你的 你的开发者账号分配对应的权限: 1. app_id  是用来标记你的开发者账号
关于JWT
qq_45891099的博客
06-07 1034
数据加密的基本过程,就是对原来为明文的文件或者数据按某种算法进行处理,使其成为不可读的一段代码。通常称为密文,通过这样的处理,来达到保护数据不被非法人窃取的目的。加密算法分为对称加密和非对称加密,其中对称加密算法的加密和解密的密钥相同,非对称加密算法的密钥不同,常见的 对称加密 算法主要有 、、 等,常见的非对称算法主要有 、 等.对称加密算法又称为共享密钥加密算法,在对称加密算法中,使用的密钥是同一个,发送和接收双方用这个密钥对数据进行加密和解密,这就要求双方事先都知道这个密钥。数据加密过程:在对称加密算
鉴权公钥和私钥_带你了解前后端鉴权那点事儿
weixin_39760295的博客
01-10 879
世界上最快的捷径,就是脚踏实地本文已收录主站:https://www.jiagoujishu.com引言前后端鉴权是一个很大的话题,不同组织的鉴权方式各不相同,甚至对同一协议的业务实现也可能相去甚远。本文尝试从认证与授权两个维度来描述标题中的鉴权,大部分篇幅还是偏认证。文章主要包含三部分内容:区分认证与授权常见的认证及授权方式企业应用中常见的单点登录(SSO)方案。1 认证与授权首先,我...
使用springboot前端写一个访问wx.login()的实例
05-17
首先需要明确,wx.login()是微信小程序的API,不能直接在前端使用,需要在小程序内部调用。如果你需要在前端中与小程序进行交互,可以使用微信小程序提供的开放能力,例如小程序登录、解密用户数据等。 如果你想要使用Spring Boot来实现小程序的登录功能,可以参考以下步骤: 1. 在小程序中调用wx.login()获取code,并将code发送到后端。 2. 在后端中编写一个接口,接收小程序发送的code,并使用code调用微信提供的登录接口,获取session_key和openid。 3. 将session_key和openid保存到后端的数据库中,生成一个自定义的token,并将token返回给小程序。 4. 小程序在后续的请求中携带token,后端可以通过token验证用户身份,并返回对应的数据。 下面是一个简单的实现示例: 1. 在小程序中调用wx.login()获取code,并将code发送到后端。 ```javascript // 小程序中的代码 wx.login({ success: function(res) { if (res.code) { wx.request({ url: 'https://yourbackend.com/login', data: { code: res.code }, success: function(res) { console.log(res.data) } }) } else { console.log('登录失败!' + res.errMsg) } } }) ``` 2. 在后端中编写一个接口,接收小程序发送的code,并使用code调用微信提供的登录接口,获取session_key和openid。 ```java // 后端中的代码 @RestController public class LoginController { @PostMapping("/login") public ResponseEntity<String> login(@RequestParam("code") String code) { String url = "https://api.weixin.qq.com/sns/jscode2session?appid=APPID&secret=SECRET&js_code=JSCODE&grant_type=authorization_code"; String appid = "your appid"; String secret = "your secret"; url = url.replace("APPID", appid).replace("SECRET", secret).replace("JSCODE", code); RestTemplate restTemplate = new RestTemplate(); ResponseEntity<String> response = restTemplate.getForEntity(url, String.class); return response; } } ``` 3. 将session_key和openid保存到后端的数据库中,生成一个自定义的token,并将token返回给小程序。 ```java // 后端中的代码 @RestController public class LoginController { @Autowired private UserService userService; @PostMapping("/login") public ResponseEntity<String> login(@RequestParam("code") String code) { String url = "https://api.weixin.qq.com/sns/jscode2session?appid=APPID&secret=SECRET&js_code=JSCODE&grant_type=authorization_code"; String appid = "your appid"; String secret = "your secret"; url = url.replace("APPID", appid).replace("SECRET", secret).replace("JSCODE", code); RestTemplate restTemplate = new RestTemplate(); ResponseEntity<String> response = restTemplate.getForEntity(url, String.class); String responseBody = response.getBody(); JSONObject jsonObject = JSON.parseObject(responseBody); String openid = jsonObject.getString("openid"); String sessionKey = jsonObject.getString("session_key"); User user = userService.getUserByOpenid(openid); if (user == null) { user = new User(openid); userService.saveUser(user); } String token = createToken(user.getId(), sessionKey); return ResponseEntity.ok(token); } private String createToken(Long userId, String sessionKey) { String token = Jwts.builder() .setSubject(userId.toString()) .claim("sessionKey", sessionKey) .setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000)) .signWith(SignatureAlgorithm.HS512, "your secret key") .compact(); return token; } } ``` 4. 小程序在后续的请求中携带token,后端可以通过token验证用户身份,并返回对应的数据。 ```javascript // 小程序中的代码 wx.request({ url: 'https://yourbackend.com/data', header: { 'Authorization': 'Bearer ' + token }, success: function(res) { console.log(res.data) } }) ``` ```java // 后端中的代码 @RestController public class DataController { @Autowired private DataService dataService; @GetMapping("/data") public ResponseEntity<List<Data>> getData(@AuthenticationPrincipal Jwt jwt) { Long userId = Long.parseLong(jwt.getSubject()); User user = userService.getUserById(userId); String sessionKey = jwt.getClaim("sessionKey").asString(); List<Data> dataList = dataService.getData(user, sessionKey); return ResponseEntity.ok(dataList); } } ``` 以上是一个简单的实现示例,实际应用中还需要考虑很多细节和安全问题,例如token的过期时间、token的加密方式、接口的安全性等等。希望能对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值