Spring Security OAuth2整合JWT

最新推荐文章于 2024-03-21 15:17:27 发布
VIP文章 最新推荐文章于 2024-03-21 15:17:27 发布
阅读量1.6k 收藏 6
点赞数 2
分类专栏: security 文章标签: Spring Security OAuth2整合JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38927257/article/details/103194423
版权

文章目录

引言

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT的三个特点

自包含:

包含有意义的信息,令牌里面是有信息的,拿到这个令牌之后直接解析令牌就可以知道里边的信息是什么,不需要再去存储里边读一个东西

密签:

密签是一种签名而不是加密,JWT是一种开放的标准,发出去的秘钥信息是按照标准方式生成的,所有人是可以看到里边的信息,所以不要把敏感的信息放进去

签名:

防止别人篡改,发出去的令牌,如果里边信息被改变了,你是可以知道的

加密:

里边的信息别人不能被破解

可扩展:

可以自定义放进去的东西
在这里插入图片描述
默认方式生成一个令牌,因为是用UUID的方式,最后得到一个没有意义的串,这种机制的特点是:依赖一个存储,一旦存储出现问题了,这个串就没有任何意义了
在这里插入图片描述

JWT组成

在这里插入图片描述

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX25hbWUiOiJhZG1pbiIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE1MTY3MjY4MTMsImJsb2ciOiJodHRwczovL2xvbmdmZWl6aGVuZy5naXRodWIuaW8vIiwiYXV0aG9yaXRpZXMiOlsiUk9MRV9VU0VSIl0sImp0aSI6ImJmZmY0NjRjLTFiNTktNGZkNy1hNTE4LWU3YjY5MDFiNzU3YyIsImNsaWVudF9pZCI6Im1lcnJ5eW91In0.gp5t9nY9mGp5O2-yqdflc0nEAsTeCQG7VugA8q8XcF4

Header

Header 包含了一些元数据,至少会表明 token 类型以及 签名方法。

{
   
 "typ": "JWT",
 "alg": "HS256"
}

Claims (Payload)

Claims部分包含了一些跟这个 token有关的重要信息。

{
   
 "user_name": "admin",
 "scope": [
  "all"
 ],
 "exp": 1516726813,
 "blog": "https://longfeizheng.github.io/",
 "authorities": [
  "ROLE_USER"
 ],
 "jti": "bfff464c-1b59-4fd7-a518-e7b6901b757c",
 "client_id": "merryyou"
}

Signature

JWT标准遵照 JSON Web Signature (JWS) 标准来生成签名。签名主要用于验证 token是否有效,是否被篡改。

JWT流程示意图

在这里插入图片描述

Spring Security Oauth2 实现JWT

配置TokenStoreConfig用于存储Token

@Configuration
public class TokenStoreConfig {
   
    /**
     * redis连接工厂
     */
    @Autowired
    private RedisConnectionFactory redisConnectionFactory;

    /**
     * 用于存放token
     * @return
     */
    @Bean
    &#
最低0.47元/天 解锁文章
Kevin-Zeng
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
SpringSecurity OAuth2 整合JWT,获取token,解析token(密码模式为例子)
longqiyuye925的博客
06-26 4180
我前面的文章曾自己引入JWT,并且定义规则,并用于权限判断(想了解的可以看看源码),这篇将重点记录下,当我发现SpringSecurity可以使用业界公认的OAuth2规范来自动生成token,并且可以整合JWT,我是如何把它用于项目里的。 源码地址: https://github.com/longqiyuye925/blogServer 直接从依赖开始: 这些都是我所用到的相关包,注意下我这篇文章的时间,如果和你当前时间很接近而且你是新建的SpringBoot项目,不要使用最新版本,应该使用2.5.X,否
spring security oauth2 整合 JWT
本郡主是喵
06-20 947
我们新建JwtTokenEnhancer.java,指定扩容的内容。 在AuthenticationServer.java ,配置中,加入你的扩容配置,和token转换器。 新建 JwtTokenEnhancer.java
Spring Cloud入门-Oauth2授权之JWT集成(Hoxton版本),java面试个人优势
最新发布
I8929545452_VD的博客
03-21 330
每年转战互联网行业的人很多,说白了也是冲着高薪去的,不管你是即将步入这个行业还是想转行,学习是必不可少的。作为一个Java开发,学习成了日常生活的一部分,不学习你就会被这个行业淘汰,这也是这个行业残酷的现实。如果你对Java感兴趣,想要转行改变自己,那就要趁着机遇行动起来。或许,这份限量版的Java零基础宝典能够对你有所帮助。是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。**[外链图片转存中…(img-gJBf8RfE-1711005436613)]
spring security oauth2.0整合jwt实现登录
weixin_43083853的博客
03-02 830
本文需要读者具备一定的Oauth2.0相关的技术支持,以下不多阐述登录功能是项目中必不可少的一环,本文以Spring Security Oauth2 + JWT为例实现密码登录,验证码登录和授权码登录获取token并以gateway作为资源服务器统一验证和鉴权的功能。可以用jdk自带的工具keytool生成私钥公钥的文件,即jks证书,再后续的jwt加密方式和token的验证方式需要用到生成方式: 管理员身份打开jdk的bin目录执行一下命令-alias: 别名 -keyalg: 指定密钥的算法 -keyp
Spring Security OAuth2.0(四)-----OAuth2+JWT
qq_42264638的博客
05-08 1855
Spring Security OAuth2.0(四)-----OAuth2+JWT
权限管理SpringSecurity Oauth2整合JWT实战总结(三)
FlyingFish868的博客
03-26 829
1、JWT 1.1、基本的认证机制 1) HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放RESTful API时,尽量避免采用HTTP Basic Auth。 2) Cookie Auth Cookie认证机制就是为
【安全框架】Spring SecurityOauth2、JWT 这一篇就够了
小源同学的博客
01-17 5952
文章目录Spring Security1. 安全框架概述2. Spring Security 简述3.Spring Security3.1 创建项目3.2 项目依赖3.3 页面3.3.1 login.html3.3.2 main.html3.4 测试3.4.1 启动项目3.4.2 打开浏览器3.5 自定义登录逻辑3.5.1 Security 的配置类3.5.2 UserDetailsService 的实现类3.5.3 重启测试3.6 自定义登陆页面3.6.1 login.html3.6.2 Security
深入理解Spring Security OAuth2及JWT
森屿@光年的博客
11-02 5301
什么是OAuth2? OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。主要涉及的RFC规范有RFC6749(整体授权框架),RFC6750(令牌使用),RFC6819(威胁模型)这几个,一般我们需要了解的就是RFC6749。获取令牌的方式主要有四种,分别是授权码模式,简单模式,密码模式和客户端模式,如何获取token不在本篇文章的讨论范围,我们这里假定客户
Spring Security OAuth2:整合jwt
乌龟的专栏
08-12 772
接着上一篇博客:https://www.cnblogs.com/wwjj4811/p/14505081.html 1|0JWT介绍 JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名,防止被篡改 1|1构成 JWT 有三部分构成:头部、有效载荷、签名 头部:包含令牌的类
Spring Security Oauth2 JWT
chinusyan的专栏
12-14 5036
1 用户认证分析 1.1 认证与授权 身份认证 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。说通俗点,就相当于校验用户账号密码是否正确。 用户授权 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问,这个过程叫用户授权。 1.2 单点登录 用户访问的项目中,至少有3个微服 务需要识别用户身份,如果用户访问每个微服务都登录一次就太麻烦了,
OAuth2结合JWT
Curtisjia的博客
11-01 2483
OAuth2结合JWT 无状态登录 什么是有状态 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 session,然后下次请求,用户携带 cookie 值来(这一步有浏览器自动完成),我们就能识别到对应 session,从而找到用户的信息。这种方式目前来看最方便,但是也有一些缺陷,如下: 服
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
spring security oauth2 实现jwt sso
11-14
该资源实现了一个sso单点登陆的功能,类似于在淘宝网登陆之后可以不需要登陆天猫即可访问天猫网;使用了spring security oauth2以及jwt
Spring Security OAuth2实现使用JWT的示例代码
08-27
主要介绍了Spring Security OAuth2实现使用JWT的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity 实战项目(一)
weixin_38927257的博客
12-02 4930
文章目录SpringSecurity 验证帐号密码security认证过程:[《Spring Security认证过程》](https://blog.csdn.net/weixin_38927257/article/details/102960752) 本文使用springboot+mybatis+SpringSecurity 实现用户权限数据库管理 实现用户和角色用数据库存储,而资源(url)和...
Spring Security认证过程
weixin_38927257的博客
11-08 4312
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Spring Security实现短信登录
weixin_38927257的博客
11-18 2466
文章目录一、理论说明1.1 用户名密码登录逻辑1.2 短信验证码登录逻辑二、代码实战2.1 SmsAuthenticationToken2.2 SmsAuthenticationFilter2.3 SmsAuthenticationProviderhardcode的方式来模拟手机号查询用户信息2.4 成功与失败处理逻辑2.5 SmsCodeAuthenticationSecurityConfig将...
SpringSecurity 实战项目(四)——Redis+解决Session共享问题
weixin_38927257的博客
12-06 1887
文章目录源码地址:security认证过程:security授权过程:JWT全面解读、详细使用步骤:重要一、分析redis依赖二、 修改1. 修改CustomUserService2. 修改JWTAuthenticationFilter3. 创建JwtUserDto4. 修改UserDaoMapper.xml,实体对象变成JwtUser5. 创建RedisService6. 创建ImoocAuth...
springsecurity oauth2和jwt
06-28
### 回答1: Spring Security是一个基于Spring框架的安全框架,它提供了一系列的安全服务,包括身份认证、授权、攻击防护等。OAuth2是一种授权协议,它允许用户授权第三方应用访问他们的资源,而不需要将用户名和密码提供给第三方应用。JWT是一种轻量级的身份验证和授权机制,它使用JSON对象作为令牌,可以在客户端和服务器之间传递信息。 Spring Security OAuth2和JWT都是用于安全认证和授权的工具,但它们的实现方式不同。Spring Security OAuth2是基于OAuth2协议实现的,它提供了一系列的OAuth2相关的类和接口,可以方便地实现OAuth2的授权流程。而JWT则是一种轻量级的身份验证和授权机制,它使用JSON对象作为令牌,可以在客户端和服务器之间传递信息。 在实际应用中,可以根据具体的需求选择使用Spring Security OAuth2或JWT来实现安全认证和授权。如果需要实现OAuth2的授权流程,可以选择使用Spring Security OAuth2;如果只需要简单的身份验证和授权,可以选择使用JWT。 ### 回答2: Spring Security OAuth2 是一个基于 Spring SecurityOAuth2 插件,它支持客户端和服务器端的 OAuth2 协议,提供了丰富的授权和认证功能。Spring Security OAuth2 的主要作用是,用于处理 OAuth2 的认证和授权流程,在 OAuth2 的基础上实现了更加丰富的授权和认证策略,使得开发者可以更好地在其应用中使用 OAuth2,保证了应用的可靠性和安全性。 JWT(JSON Web Token)是一种特定的 JSON 格式,用于在发送方和接收方之间传输信息,并且可以可靠地验证该信息是否被篡改。JWT一般由三部分组成,分别为 header、payload 和 signature 三个部分。JWT 的主要作用是用于进行安全授权和身份认证,可以通过 JWT 验证和解析信息、用户认证等操作。在 Web 应用中,JWT 被广泛应用于前后端分离的开发模式中,以及 API 的安全验证。 相较于 Spring Security OAuth2,JWT 更加灵活和简单,因为它不需要进行额外的认证和授权流程。JWT 的认证和授权流程可一步完成,因此适用于分布式系统等场景下的认证和授权。另外,JWT 可以自定义 payload 的内容,可以传输更为复杂和丰富的信息,因此在一些特定的应用场景中,JWT 更具优势。 综上所述,Spring Security OAuth2 适用于需要更强大的授权和认证流程的场景,而 JWT 更适合简单的认证和授权场景,也更加灵活和方便。在实际场景中,可以根据应用的实际需求选择使用合适的安全解决方案。 ### 回答3: Spring Security是一个基于Spring框架的安全框架,可以为Web应用程序提供身份验证、授权、防护和其他安全的处理。OAuth2是一种为Web应用程序提供授权访问的开放标准,用于客户端访问受保护的资源。JWT是一种简单的基于Web标准的和可移植的身份验证和授权方案,用于无状态身份验证。 Spring Security OAuth2和JWTSpring Security框架中用于身份验证和授权的两种解决方案。Spring Security OAuth2基于OAuth2标准,通过token的方式进行身份验证和授权,而JWT则是一种常见的token。 在Spring Security OAuth2中,客户端通过OAuth2服务机构获取访问资源的token。而在JWT中,token是由服务端生成的,包含了用户的身份信息和其他相关信息。在使用Spring Security OAuth2时,需要通过OAuth2服务机构来获取token,而在使用JWT时,可以通过服务端直接生成token,具有更高的效率。 Spring Security OAuth2和JWT都能够为Web应用程序提供身份验证和授权功能,但Spring Security OAuth2较为复杂,需要先配置服务机构才能使用,而JWT则较为简单,可以直接在服务端生成token。因此,选择何种方案需要根据实际情况进行权衡。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值