java author 认证_HTTP API 授权认证有哪些方式?(Authoration, Authentication)

最新推荐文章于 2023-04-10 17:30:56 发布
最新推荐文章于 2023-04-10 17:30:56 发布
阅读量748 收藏
点赞数
文章标签: java author 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35927509/article/details/114511728
版权

1.用什么方式记录登录状态?

在刚开始进行java web 开发时我们会使用基于session 的登录认证机制,会将一个 sessionId 保存到cookie 中,后端则保存对应的会话在session 中。

后来在开发前后端分离或app 接口时,登录成功后后端会生成一个uuid token 返回给前端,每次请求通过参数传递给后端,在后端将传过来的token 与保存在内存,数据库或redis中的token 进行比对相同则表示认证通过。我就会想这是不是最好的方式,或者这是不是其他人也在用的方式,这就是我写这篇文章的初衷,如果有其他或更好的方案希望能多多交流,如有错误请多指正。

Basic Authentication

Digest Authentication

JWT (Json Web Tokens)

OAuth2

其他方式

2. Basic Authentication

这是 HTTP 基本授权,定义在 RFC 2617 中。

在每次请求时都需要传递一个 HTTP HEADER 例如

Authorization: Basic

credentials 为用户名拼接上一个冒号再加上密码,再对整个字符串进行 Base64编码

Authorization: Basic Base64(username:password)

服务端在未授权时返回 HTTP 401 及如下 HTTP HEADER

WWW-Authenticate: Basic realm="User Visible Realm"

这时浏览器会自动弹出一个输入用户名密码的对话框,不需要任何登录界面

这种授权方式每次请求都需要传递用户名密码,而且Base64编码是可逆的,所以等于是明文传递密码,非常的不安全,只适合内部简单应用或必须在 HTTPS 下使用。

3. Digest Authentication

这是 HTTP 数字授权,定义在 RFC 2069中,后来在RFC 2617中被重新定义,比 Basic Auth 还要早,此方法适用了数字签名的方式保护了信息的安全性,具体步骤如下

首先请求服务器地址,不带任何参数,例如

GET /dir/index.html HTTP/1.0

Host: localhost

服务器会返回如下 401 未授权信息

HTTP/1.0 401 Unauthorized

Server: HTTPd/0.9

Date: Sun, 10 Apr 2014 20:26:47 GMT

WWW-Authenticate: Digest realm="testrealm@host.com",

qop="auth,auth-int",

nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",

opaque="5ccc069c403ebaf9f0171e9517f40e41"

Content-Type: text/html

Content-Length: 153

Error

401 Unauthorized.

随后客户端需要利用 WWW-Authenticate header 中的信息进行签名,默认使用 MD5 散列算法(根据服务器返回的参数签名方式有可能会有微小的区别 具体请参考 维基百科中的介绍)

HA1 = MD5(username:realm:password)

HA2 = MD5(method:digestURI)

response = MD5(HA1:nonce:HA2)

并请求如下

GET /dir/index.html HTTP/1.0

Host: localhost

Authorization: Digest username="Mufasa",

realm="testrealm@host.com",

nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",

uri="/dir/index.html",

qop=auth,

nc=00000001,

cnonce="0a4f113b",

response="6629fae49393a05397450978507c4ef1",

opaque="5ccc069c403ebaf9f0171e9517f40e41"

这种方式应该算是比较安全,可以有效的防止重放攻击,但是比较繁琐,每次请求都要先获取 nonce 随机参数并进行签名,比较适合请求量较小安全需求较高的接口使用

4. JWT (Json Web Tokens)

JWT 是基于开源标准(RFC 7519)自包含紧凑的通过json 传递安全信息的一种方式,因为它使用了数字签名所以可以被信任,JWTs 可以使用带密钥的数字签名(例如HMAC)或者非对称密钥对(RSA 或者 ECDSA)进行签名,因为不需要存储所以在分布式以及集群服务的应用中不会有单点数据节点的问题,而且不去要频繁的查询只是需要频繁的验证签名

JWT 由三个部分组成

Header

Payload

Signature

Header

定义token类型(typ)及签名方式(alg 设置为 HSMAC 或者 RSA)

{

"alg": "HS256",

"typ": "JWT"

}

Payload

在这里可以包含一些可供用的信息如下,或者 exp(过期时间),aud(受众)或其他

{

"sub": "1234567890",

"name": "John Doe",

"admin": true

}

Signature

secret 为保存在服务端的密钥,拼接字符串并生成签名

HMACSHA256(

base64UrlEncode(header) + "." +

base64UrlEncode(payload),

secret)

完整的 JWT

对三组字符串进行 base64 url 编码并且用 “.”链接在一起

base64UrlEncode(header) + "." +

base64UrlEncode(payload) + "." +

base64UrlEncode(Signature)

71254888b9cc

jwt

一般建议将 JWT 作为 Bearer token 通过 Authorization header 传递给服务器

Authorization: Bearer

JWT 相对于 随机数 token 有一些优势,比如token 中可以自包含一些信息,还有在服务端不需要保存token,只需要使用相同的密钥进行验证签名就可以相信token 中的内容,但是为了保证其安全性需要设置较短的失效时间建议设置为 15分钟,这会导致需要频繁获取token 的问题发生,token 的刷新及失效还有在客户端中如何保存的具体实践可以参考这篇文章 The Ultimate Guide to handling JWTs on frontend clients (GraphQL)

5. OAuth2

如果大家对接过第三方登录,那应该就有了解过 OAuth,因为最新的 OAuth版本为 2.0 并且与 1.0并不是向后兼容,而且使用OAuth2协议的比较多在这里就介绍一下 OAuth2(RFC 6749) 如果想了解 1与2的区别可以阅读这篇文章 What’s the difference between OAuth 1.0 and OAuth 2.0

在OAuth2 中主要分为 4个角色,下面使用微信第三方登录来举例进行说明

resource owner

资源拥有者,微信账号拥有者即用户,他希望在第三方平台使用 微信账号进行登录

resource server

资源服务器,微信资源服务器,保存着资源拥有者的信息,包括微信头像,微信名等等信息

client(consumer)

客户端,消费者,对接了微信登录的平台,需要得到授权并获取微信用户的信息

authorization server

授权认证服务器,微信登录认证服务器,可以给第三方平台授权

下面是简易协议流程

71254888b9cc

Protocol Flow

(A) client 向 resource owner 所求认证(吊起微信 app 请求获取 code)

(B) resource owner 返回给 client grant(认证凭证)(在微信中是个 code)

(C) client 使用 grant 向 authorization 请求 access token(使用在微信平台登记的 appId,密钥,code 进行签名后向微信授权服务器请求)

(D) authorization 返回给 client access_token(在微信中可能还包含 openId,refresh_token 等等)

(E) client 使用 access_token 获取 resource server 中的资源(使用access_token 和 openId 获取微信头像等信息)

(F) resource server 返回给 client 资源(微信资源服务器返回给第三方平台 微信用户数据)

这只是大体的一个流程,在流程 A 中如果未登录微信则还需要重定向到登录页面等的流程,在流程 B 中的 grant 也会分很多种,access_token 的实现细节也可以有多种,这些细节可以参考 RFC 或者其他文章的详细介绍

OAuth2 一般应用在第三方登录,第三方数据获取等方面,也可以实现多系统的单点登录,掌握这个协议应该是非常有用的。

6. 其他方式

还有很多第三方 Server—to-Server API 的认证机制是使用 appId 以及 appSecret 和其他参数哈希签名或非对称加密的方式,此类API 并没有使用已有的安全协议,只要appId 与 appSecret 不被泄漏应该也是比较安全的方式。

还有在 mobile api 接口中常用的uuid token 也是经常用的方式,只要保证 token 的安全也并没有太大的问题,只是相对于 jwt 没有什么优势。

7. 参考

伊 航
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java authorization_OkHttp3 之 Authorization处理认证(四)
weixin_34397537的博客
02-21 1800
处理验证这部分和HTTP AUTH有关.HTTP AUTH使用HTTP AUTH需要在server端配置http auth信息, 其过程如下:客户端发送http请求服务器发现配置了http auth, 于是检查request里面有没有”Authorization”的http header如果有, 则判断Authorization里面的内容是否在用户列表里面, Authorization heade...
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
webapi jwt身份验证请求token(亲测通过)源码
simple_token_authentication:使用Devise对Rails应用程序或API进行简单(但安全)的令牌认证
01-30
简单令牌认证 出于安全原因,已从删除了令牌身份验证支持。 在,Devise的解释了如何执行令牌认证以保持安全。 该gem打包了要点的内容,并提供了一组方便的选项以提高灵活性。 免责声明:我不是JoséValim,他也不参与宝石捆绑过程。 实施错误(如有)是我的; 欢迎捐款。 安装 简而言之 首先安装并使用所需的任何模块进行配置,然后将gem添加到Gemfile并bundle install : # Gemfile gem 'simple_token_authentication' , '~> 1.0' # see semver.org 完成此操作后,只需两个步骤即可设置令牌身份验证: 可验证(支持ActiveRecord和Mongoid) (支持Rails,Rails API和ActionController::Metal ) 如果您想进一步了解宝石的工作原理,请继续阅读! 概述之后,我们将执行以下两个步骤。 总览 简单令牌身份验证提供了从模型实例管理authentication_token 。 启用了该功能的模型被称为令牌可认证的(通常,将使User模型成为令牌可认
java实现HTTP 基本认证 (Basic Authentication)
01-24
java实现HTTP 基本认证 (Basic Authentication) 大家在登录网站的时候,大部分时候是通过一个表单提交登录信息。 但是有时候浏览器会弹出一个登录验证的对话框,如下图,这就是使用 HTTP 基本认证。 下面来看看一看这个认证的工作过程: 第一步: 客户端发送 http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话, 服务器会返回一个 401 Unauthozied 给客户端,并且在 Response 的 header "WWW-Authenticate" 中添加信息。 如下图。 第二步:浏览器在接受到 401 Unauthozied 后,会弹出登录验证的对话框。用户输入用户名和密码后, 浏览器用 BASE64 编码后,放在 Authorization header 中发送给服务器。如下图: 第三步:服务器将 Authorization header 中的用户名密码取出,进行验证, 如果验证通过,将根据请求,发送资源
JWT_authentication_API_bolilerplate:具有JTW认证的NodeJS样板
05-24
自述文件 项目名称 JWTauthentication API脚本 安装 要脱机运行演示Web应用程序,您需要安装以下内容; 确保已安装 6.0.0及更高版本应该可以使用。 我们建议您使用Node.js的最新"Active LTS"版本。 确保已安装npm (注意: npm与Node.js一起分发,这意味着当您下载Node.js时,会自动在计算机上安装npm)。 检查您是否已安装节点和npm 要检查是否已安装Node.js,请在终端中运行以下命令: node -v 要确认您已安装npm,可以在终端中运行以下命令: npm -v 快速开始 npm install node index (建议安装nodemon) 打开 概述 该项目是JWT用户身份验证API入门板,可以在需要的节点项目中使用。 该应用程序具有以下结构: ├── app │   ├── controller
http basic authentication通过post方式访问api示例分享 basic认证示例
09-04
在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供以用户名和口令形式的凭证,这篇文章主要介绍了http basic authentication通过post方式访问api示例,大家参考使用吧
HTTP基本认证(Basic Authentication)的JAVA示例
热门推荐
交换一个思想,能得到俩思想
06-04 7万+
HTTP基本认证工作原理以及用JAVA如何实现
谈谈 Java HTTP 基本认证
m0_69860228的博客
04-22 856
今天我们将看一下 HTTP 基本认证。指北君将会讲讲它是如何工作的,并且一步步教大家如何使用。 什么是 HTTP 基本认证 HTTP 基本认证是一种简单的认证方法。客户端可以通过用户名和密码进行认证。这些凭证以特定的格式在 Authorization HTTP Header 中发送。一般它以 Basic 关键字开始,后面是一个 base64 编码的用户名:密码值。冒号字符在这里很重要。头部应该严格遵循这个格式。 例如,要用 javanorth 用户名和 http 密码进行认证,我们必须发送这个 Hea
Author权限认证
m0_65545927的博客
03-07 796
Author权限认证,用户权限授权
认证 (authentication) 和授权 (authorization) 的区别
weixin_66107760的博客
04-10 171
在标准系统中,用户组和角色有关联也有区别,用户组用于描述用户群集,而角色用于描述服务群集,给用户组或用户赋予角色的过程就是授权。你要登机,你需要出示你的 passport 和 ticket,passport 是为了证明你张三确实是你张三,这就是 authentication;你要登陆论坛,输入用户名张三,密码1234,密码正确,证明你张三确实是张三,这就是 authentication;在标准系统中,用户和账户相互关联,账户是用于认证的凭据,而用户是标识账户身份的信息。
http请求添加Authorization验证
papasnowboy的专栏
12-16 2万+
接触java一年有余,如今第一次动手写相关博客。以往都是在各为前辈的文章里寻求帮助,现在我来分享一些自己遇到的问题。 问题的经过是这样,我写的一个小程序要去公司的一台服务器上抓取一个页面数据,这台服务器前段时间因为故障重启了一下,不知为何再去抓取的时候会报io异常,信息代码401,在网上查了一下,是需要Authorization验证。和同事问到了验证的用户密码,但是不知道怎样在请求时添加认
JAVA Http的Post请求传参、添加Authorization Basic Auth总结
qq_38841868的博客
03-08 4595
PostMan添加Authorization验证 HttpClient调用三方接口设置Header String url ="URL路径"; Map<String, String> prarms = new HashMap<>(); prarms.put("userName","案例"); prarms.put("age", "18"); String jsonPrarms = JSON.toJSONString(prarms); CloseableHttpClient
http基本认证 java_HTTP基本认证(Basic Authentication)的JAVA演示样例
weixin_33623088的博客
02-13 381
大家在登录站点的时候。大部分时候是通过一个表单提交登录信息。可是有时候浏览器会弹出一个登录验证的对话框。例如以下图,这就是使用HTTP基本认证。以下来看看一看这个认证的工作过程:第一步: client发送http request 给server,server验证该用户是否已经登录验证过了,假设没有的话,server会返回一个401 Unauthozied给client,而且在Response 的...
JAVA Http的Post请求传参添加Authorization Basic Auth验证
聆听
07-30 8926
pom.xml添加依赖包 <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-io</artifactId> <version>1.3.2</version> </dependency> 通过PostMethod的方式(工具类) package com.topnet.utils; im.
Java调用webApi接口,接口需要令牌验证Authorization
happy_zds的博客
02-14 569
【代码】Java调用webApi接口,接口需要令牌验证Authorization。Bearer
java获取authorization_Java架构笔记:用JWT对SpringCloud进行认证和鉴权
weixin_39818691的博客
11-26 415
JWT(JSON WEB TOKEN)是基于RFC 7519标准定义的一种可以安全传输的小巧和自包含的JSON对象。由于数据是使用数字签名的,所以是可信任的和安全的。JWT可以使用HMAC算法对secret进行加密或者使用RSA的公钥私钥对来进行签名。JWT通常由头部(Header),负载(Payload),签名(Signature)三个部分组成,中间以.号分隔,其格式为Header.Payloa...
authorization方法java_WEB应用中的身份验证(1)--基本身份验证BASIC authorization method
weixin_39946964的博客
02-27 434
在任何一种WEB应用开发中,不论大中小规模的,每个开发者都会遇到一些需要保护程序数据的问题,涉及到用户的LOGIN ID和PASSWORD。那么如何执行验证方式更好呢?实际上,有很多方式来实现。在本文里,我们不会把所有的验证方法都考虑到,我们的目的是让你学会如何以最简单最方便的验证方法来完成。下面将讨论基本验证方式之一(BASIC authorization method)要搭建整个流程需要四个阶...
Java+HttpClient学习笔记04-基础认证
梦忆安凉的博客
08-14 416
没有找到关于基础认证API,就自己写了一下。 HTTP的部分认证需要使用Authorization请求头字段 基础认证 HTTP的基础认证需要通过请求头Authorization:一定规则后加密后的值 1、将用户名和密码已 用户名:密码的形式进行Base64加密 2、将Basic+空格+加密后的值形式拼接 3、Authorization:Basic 加密后的值 这种加密方式应...
JWT授权为啥要在 Authorization标头里加个Bearer 呢
Java__EE小白成长之路
07-16 9537
JWT授权为啥要在 Authorization标头里加个Bearer 呢
Spring Security中还有哪些常用的认证方式
最新发布
04-19
5. 基于CAS(Central Authentication Service)的认证:CAS是一种企业级的单点登录解决方案,它通过一个中央认证服务器来管理用户的登录状态。Spring Security可以与CAS集成,实现基于CAS的认证授权

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值