jwt获取token_JWT和HMAC(AK/SK)认证方式使用场景

最新推荐文章于 2025-04-04 16:55:27 发布
最新推荐文章于 2025-04-04 16:55:27 发布 · 1k 阅读 · 0
文章标签:

#jwt获取token #物流信息 缺少jwt参数

本文讨论了JWT和HMAC(AK/SK)的使用场景。JWT一般用于单一服务的登陆和认证,包含三段信息,通过自定义秘钥保证完整性和认证。HMAC通过签名完成认证请求,可避免重放攻击,安全性高。还介绍了二者结合实现跨系统调用的方法,以及认证和授权的区别。

本文主要讨论一下jwt和HMAC(AK/SK)的使用场景

jwt

一般是由用户先发送用户名、秘密,认证通过后服务器返回jwt,其中包含三段信息:

Header,记录jwt元数据
Payload,记录真实要传递的数据
Signature,记录数据签名

其中Signature是根据jwt签名算法+服务端自定义的秘钥生成的hash信息

关键就是这个服务器自定义秘钥,达到两个效果:

  1. 完整性验证,如果传输过程中被篡改,签名会对不上(这个由hash算法保证)
  2. 验证成功,同时也意味着认证成功

由于自定义秘钥,也限制了jwt一般用于单一服务的登陆和认证,对于多个服务,可能由于各自的秘钥不一致,甚至Payload信息不一样,无法在多个服务之间跨服务认证

适用场景:

  1. 存在用户登陆,用户通过密码换取jwt,后续使用jwt交互
  2. 简单的实体认证,由服务方直接分发一个生成的jwt给另一方,另一方每次带着jwt访问接口,常用于认证其他接口实体,但安全性较弱

HMAC(AK/SK)

HMAC预先生成一个 access key(AK) 和 secure key(SK),然后通过签名的方式完成认证请求,这种方式可以避免传输 secure key,且大多数情况下签名只允许使用一次,避免了重放攻击。

基本过程如下:

  1. 客户端需要在认证服务器中预先设置 access key(AK 或叫 app ID) 和 secure key(SK)
  2. 在调用 API 时,客户端需要对参数和 access key 进行自然排序后并使用 secure key 进行签名生成一个额外的参数 digest
  3. 服务器根据预先设置的 secure key 进行同样的摘要计算,并要求结果完全一致
func

与jwt的区别:

服务端不仅有一个秘钥,同时还给每个调用实体分发一个appid

数据由调用双方约定好,可以是map、array、string等任意数据

带有时间戳验证,每次调用的签名都不一样,安全性高

签名是双方根据算法自动计算,不需要登陆换取token

适用场景:

api间互相调用的认证

jwt和hmac结合实现跨系统调用

在平时开发中一种常见的场景是一个用户从服务A跳转到服务B,而且是带着服务A的认证(token或者cookie)过来,如果让用户从新登陆也不合适,常见的做法是:

  1. 服务B获取服务A的token
  2. 服务B使用服务A预先分发的ak和sk,将token作为数据,使用HMAC算法计算签名
  3. 服务B调用服务A的token认证解析接口
  4. 服务A返回是否认证以及认证的结果
  5. 服务B根据认证结果进行下一步操作

补充

认证是 authentication,指的是当前用户的身份,当用户登陆过后系统便能追踪到他的身份做出符合相应业务逻辑的操作。即使用户没有登录,大多数系统也会追踪他的身份,只是当做来宾或者匿名用户来处理。认证技术解决的是 “我是谁?”的问题。

授权则不同,授权是 authorization,指的是什么样的身份被允许访问某些资源,在获取到用户身份后继续检查用户的权限。单一的系统授权往往是伴随认证来完成的,但是在开放 API 的多系统结构下,授权可以由不同的系统来完成,例如 OAuth。授权技术是解决“我能做什么?”的问题。

细说API - 认证、授权和凭证​insights.thoughtworks.cn
7c2df5973910a1767632fc4f985be90d.png

cookie、session、jwt不是本文重点,具体见

李志华:cookie、session、jwt​zhuanlan.zhihu.com
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景JWT 的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
用户密码cookie,session、token还有AKSK
qq_35789269的博客
09-22 1200
背景:认证、授权、鉴权权限控制: https://segmentfault.com/a/1190000013258488 认证、授权、鉴权权限控制 | 滩之南 单点登录的通用架构实现 | 滩之南 https://segmentfault.com/a/1190000013010835 基于JWTtoken身份认证方案 - 开拖拉机的蜡笔小新 - 博客园 用户名密码 用户输入账号、密码提交给服务端认证 存在一个问题,万一被泄漏了,就只能改密码或者用户名了,而且还必须销户。那么我们很自然得.
生成Token
啊猿的博客
03-11 849
生成Token public UserVO login(String username, String password) { try { UserVO vo = new UserVO(); // 校验用户名密码 User user = this.userClient.queryUserByUsernameAndPassword(username, password); Date expireD
JWTHMAC(AK/SK)认证方式的区别使用场景
Steve Wang's blog
03-21 3023
JWTHMACAK/SK认证方式的区别使用场景
JWT Token 弱口令测试
Arkmornings的博客
04-04 913
本文介绍 yakit 上关于JWT安全测试的插件。JWT(JSON Web Token)是一种用于身份认证授权的开放标准,它通过在网络应用间传递被加密的JSON数据来安全地传输信息使得身份验证授权变得更加简单安全。头部:一般包含两部分信息,一是令牌的类型,即JWT;二是所使用的签名算法,如HS256(HMAC with SHA-256)、RS256(RSA with SHA-256)等。它会被编码为一个 JSON 对象,然后进行 Base64 编码。载荷。
web鉴权API Key、access Key、access_tokenAK/SK、session/cookie
酌沧
05-10 5254
本文介绍了五种常见的网络鉴权方案:1)API Key作为简单固定密钥验证;2)Access Key采用动态HMAC-SHA256签名;3)Access Token作为临时凭证;4)JWT基于三部分结构实现安全令牌;5)AK/SK通过加密签名认证。重点解析了各方案的实现原理、签名生成方法及安全机制,包括DES加密、JWT结构、HMAC签名等关键技术。这些方案适用于不同安全需求的场景,为系统访问控制提供多层次保护。
jwt_token_test.zip
05-21
总之,Java通过jwt_token_test.zip中的代码示例,展示了如何使用JWT实现移动端API接口的token认证。这种方式既减少了服务器存储负担,又提供了跨域身份验证的能力,是现代Web应用中常见的身份验证解决方案。
对于开放平台而言 如何设计使用JWTHMAC(AK/SK) 双重认证
09-12
在开放平台设计中整合JWTHMAC(AK/SK)双重认证,可通过以下分层架构实现,兼顾安全性与效率: --- ### **一、双重认证流程设计** 1. **初始请求层(HMAC认证)** - 客户端使用AK/SK对请求签名(含时间戳...
一个基于Java开发的轻量级JSON_Web_Token库_支持国密算法HMAC_SM3的JWT实现_提供完整的JWT创建_验证解析功能_包含载荷设置_过期时间管理_数字签名验证.zip
最新发布
09-28
一个基于Java开发的轻量级JSON_Web_Token库_支持国密算法HMAC_SM3的JWT实现_提供完整的JWT创建_验证解析功能_包含载荷设置_过期时间管理_数字签名验证.zip
百度智能云申请aksk获取access_token,利用接口实现人脸识别、人脸检测(含使用示例、模板代码)
muaamua的博客
11-13 3610
利用百度智能云申请aksk获取access_token,实现人脸识别、人脸检测 百度智能云提供多种智能服务,通过接口,我们可以利用这些功能实现很多操作。本文以人脸识别为例,详细教大家怎么使用。 人脸识别云服务,包含实名认证、人脸对比、人脸搜索、活体检测等能力。灵活应用于金融、泛安防等行业场景,满足身份核验、人脸考勤、闸机通行等业务需求。
关于JWT的攻击利用
M372109150的博客
11-11 2860
本文介绍了JWT (JSON Web Token)的简介、基本结构、工作原理常见的安全问题,以及如何利用JWT进行渗透测试。
网络相关内容
zydbk的博客
10-11 1667
正向代理是一个位于客户端目标服务器之间的代理服务器。客户端向正向代理服务器发送请求,代理服务器再将这些请求转发给目标服务器,并将目标服务器返回的响应传递给客户端。
用户鉴权之JWTAKSK
maybe的博客
03-05 7668
JWTAK/SK JWTAK/SK都是用于鉴权的。 由于http的无状态性,为了避免每次登录时都去数据库查询用户信息,用户第一次登录后,应用需要保存用户登录信息,以便下次请求客户端时识别用户的身份。 通常我们可以采用session的方式来保存用户登录状态用户信息。这种方式,会在服务端保存session信息,登录之后返回一个session_id,这样客户端每次请求的时候将session_id传到服务端。 使用session的方式会在服务器保存session信息,这样会占用服务器资源,下面介绍另外两种鉴权
java中token生成与解析
weixin_44873668的博客
11-27 743
token生成与解析
细说API – 认证、授权凭证
qq_35789269的博客
08-23 1417
认证、授权凭证
HMAC256 Token
别莱无恙的博客
07-22 4824
依赖包: <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.3.0</version> </dependency> 使用 Algorithm.HMAC256(uerPassword) 使用HMAC256加密算法,生成签名。 具体如下: publ...
JWT认证漏洞总结
热门推荐
渗透测试研究中心
09-16 1万+
通过对众多靶场案例漏洞测试,其中弱密钥、密钥泄露、不校验签名、信息泄露这些问题出现的居多,像更改 Header 不使用签名,暂时在实际生产环境中没遇到过。测试方面遇到 JWT可利用 jwt-tools 工具进行测试,将所有已知漏洞都测试一遍,避免遗漏。密钥。
shiro jwt 构建无状态分布式鉴权体系
wj596的专栏
01-06 1033
一:JWT 1、令牌构造 JWT(json web token)是可在网络上传输的用于声明某种主张的令牌(token),以JSON 对象为载体的轻量级开放标准(RFC 7519)。 一个JWT令牌的定义包含头信息、荷载信息、签名信息三个部分: Header//头信息 { "alg": "HS256",//签名或摘要算法 "typ": "JWT"//token类型 ...
授权认证登录之 Cookie、Session、TokenJWT 详解
huangpb的博客
01-14 1万+
目录 一、先了解几个基础概念 二、什么是 Cookie 1. cookie 重要的属性 2. 服务器端设置cookie示例(Node) 3. 客户端对Cookie的存取 4. 每个域名下cookie个数限制 5.封装对Cookie的操作 三、什么是 Session 四、Cookie Session 的区别 五、什么是 Token(令牌) Acesss Token ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值