Spring Security OAuth2整合JWT

最新推荐文章于 2024-08-29 15:59:49 发布
最新推荐文章于 2024-08-29 15:59:49 发布
阅读量1.8k 收藏 6
点赞数 2
分类专栏: security 文章标签: Spring Security OAuth2整合JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38927257/article/details/103194423
版权
本文详细介绍了如何使用Spring Security OAuth2与JWT进行整合,包括JWT的特性和组成,以及在Spring Security中实现JWT认证的过程,如TokenStoreConfig配置、自定义TokenEnhancer、认证服务器和资源服务器的配置等。还探讨了JWT的刷新令牌功能。
摘要由CSDN通过智能技术生成

文章目录

引言

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT的三个特点

自包含:

包含有意义的信息,令牌里面是有信息的,拿到这个令牌之后直接解析令牌就可以知道里边的信息是什么,不需要再去存储里边读一个东西

密签:

密签是一种签名而不是加密,JWT是一种开放的标准,发出去的秘钥信息是按照标准方式生成的,所有人是可以看到里边的信息,所以不要把敏感的信息放进去

签名:

防止别人篡改,发出去的令牌,如果里边信息被改变了,你是可以知道的

加密:

里边的信息别人不能被破解

可扩展:

可以自定义放进去的东西
在这里插入图片描述
默认方式生成一个令牌,因为是用UUID的方式,最后得到一个没有意义的串,这种机制的特点是:依赖一个存储,一旦存储出现问题了,这个串就没有任何意义了
在这里插入图片描述

JWT组成

在这里插入图片描述

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE1MTY3MjY4MTMsImJsb2ciOiJodHRwczovL2xvbmdmZWl6aGVuZy5naXRodWIuaW8vIiwiYXV0aG9yaXRpZXMiOlsiUk9MRV9VU0VSIl0sImp0aSI6ImJmZmY0NjRjLTFiNTktNGZkNy1hNTE4LWU3YjY5MDFiNzU3YyIsImNsaWVudF9pZCI6Im1lcnJ5eW91In0.gp5t9nY9mGp5O2-yqdflc0nEAsTeCQG7VugA8q8XcF4

Header

Header 包含了一些元数据,至少会表明 token 类型以及 签名方法。

{
   
 "typ": "JWT",
 "alg": "HS256"
}

Claims (Payload)

Claims部分包含了一些跟这个 token有关的重要信息。

{
   
 "user_name": "admin",
 "scope": [
  "all"
 ],
 "exp": 1516726813,
 "blog": "https://longfeizheng.github.io/",
 "authorities": [
  "ROLE_USER"
 ],
 "jti": "bfff464c-1b59-4fd7-a518-e7b6901b757c",
 "client_id": "merryyou"
}

Signature

JWT标准遵照 JSON Web Signature (JWS) 标准来生成签名。签名主要用于验证 token是否有效,是否被篡改。

JWT流程示意图

在这里插入图片描述

Spring Security Oauth2 实现JWT

配置TokenStoreConfig用于存储Token

@Configuration
public class TokenStoreConfig {
   
    /**
     * redis连接工厂
     */
    @Autowired
    private RedisConnectionFactory redisConnectionFactory;

    /**
     * 用于存放token
     * @return
     */
    @Bean
    @ConditionalOnProperty(prefix = "merryyou.security.oauth2", name = "storeType", havingValue = "redis")
    public TokenStore redisTokenStore() {
   
        return new RedisTokenStore(redisConnectionFactory);
    }

    /**
     * jwt TOKEN配置信息
     */
    @Configuration
    @ConditionalOnProperty(prefix = "merryyou.security.oauth2", name = "storeType", havingValue =
最低0.47元/天 解锁文章
Kevin-Zeng
关注
专栏目录
Spring Security OAuth2结合Jwt实现权限控制和安全保护
xiumeiyun的博客
10-19 505
SpringCloud 开源脚手架,在网关处统一进行鉴权,授权服务器可单独部署或者走网关,具体见 https://github.com/beifei1/fire-cloud 如果对你有所帮助,点个star再走哦 本文基于Spring Cloud Security OAuth2实现微服务应用的保护,具体概念理解可参考 深入理解Spring Cloud Security OAuth2及JWT 应用版本 Spring Boot: 2.1.1.RELEASE Spring Cloud:Greenwich.SR2 应
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring SecurityOAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
Spring SecurityJWTOAuth 2.0 整合详解:构建安全可靠的认证与授权机制
微笑听雨
06-13 5160
JWT(JSON Web Token)与 OAuth 2.0 整合Spring Security 中可以为应用程序提供强大的认证和授权功能。以下是详细的整合步骤和代码示例。
Springboot整合Oauth2.0+jwt
最新发布
RossiLover的博客
08-29 432
Springboot整合Oauth2.0+JWT实现服务权限认证
Spring Cloud SecurityOauth2结合JWT使用
smart_an的专栏
04-18 1263
JWT是JSON WEB TOKEN的缩写,它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象,由于使用了数字签名,所以是可信任和安全的。
Spring Security OAuth2:整合jwt
乌龟的专栏
08-12 845
接着上一篇博客:https://www.cnblogs.com/wwjj4811/p/14505081.html 1|0JWT介绍 JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名,防止被篡改 1|1构成 JWT 有三部分构成:头部、有效载荷、签名 头部:包含令牌的类
springsecurity_oauth2_jwt整合_推特雪花
窗外有风景,笔下有前途,低头是题海,抬头是未来
07-04 608
微服务授权技术框架整合 1. 整合oauth2+springsecurity+jwt 1.1 创建一个用于认证的服务 创建工程security-auth-server-2001 1.1.1 导入相应的依赖包 <!-- oauth2的依赖包--> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oa
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring Security OAuth2整合JWT实战教程
"这篇教程详细介绍了如何在Spring Security OAuth2框架中集成JWT(JSON Web Tokens)的示例代码。" 在现代Web应用中,安全性和权限管理是至关重要的部分,Spring Security OAuth2提供了强大的安全解决方案。同时,...
spring security oauth2 整合 JWT
本郡主是喵
06-20 1079
我们新建JwtTokenEnhancer.java,指定扩容的内容。 在AuthenticationServer.java ,配置中,加入你的扩容配置,和token转换器。 新建 JwtTokenEnhancer.java
权限管理SpringSecurity Oauth2整合JWT实战总结(三)
FlyingFish868的博客
03-26 1097
1、JWT 1.1、基本的认证机制 1) HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放RESTful API时,尽量避免采用HTTP Basic Auth。 2) Cookie Auth Cookie认证机制就是为
SpringSecurity + Oauth2 + jwt实现单点登录
꯭ 瞎꯭扯꯭蛋꯭的博客
04-26 2535
在如今前后端分离架构越来越成为开发的主流模式,因此以前基于session的权限管理已经不适合前后端分离架构了,springsecurity oauth2 的出现帮我们解决了这个问题。本文采用oauth2 + jwt实现单点登录。
Spring Security + OAuth2.0 + JWT
qq_42155347的博客
05-06 3348
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、Spring Security是什么?1.认证1.1基于Session认证1.2基于Token认证2.授权3.基于角色访问控制二、OAuth2.0是什么?三、JWT是什么?四、代码实现1.创建Spring Boot项目2.Spring Security实现2.1基本使用2.2 前言 基于Spring Boot项目使用Spring Security+OAuth2.0+JWT搭建用户认证中心。 一、Spring Securi
Spring Security OAuth2实现使用JWT
热门推荐
不想当码农的程序员
11-22 4万+
1、概括在博客中,我们将讨论如何让Spring Security OAuth2实现使用JSON Web Tokens。2、Maven 配置首先,我们需要在我们的pom.xml中添加spring-security-jwt依赖项。<dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-
SpringSecurityOauth2整合JWT
qq_42341853的博客
06-09 218
JJWT demo SpringSecurityOauth2整合JWT
SpringSecurity+Oauth2+JWT
m0_54765221的博客
07-03 813
SpringSecurity+Oauth2+JWTSpringSecurity+Oauth2+JWT快速入门自定义登入自定义登入成功失败处理器权限判断自定义异常返回自定义方法实现权限控制注解实现权限控制记住我实现退出登入CSRFOauth2认证Oauth2入门授权码模式Oauth2密码模式Jwt入门Oauth2整合JwtJwt扩展存储内容Jwt解析SpringSecurityOauth2整合SSOSecurity+Jwt SpringSecurity+Oauth2+JWT 快速入门 1. 创建基础项目 fi
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值