base64报文怎么解密_OAuth2.0怎么回事,很简单

最新推荐文章于 2023-01-11 13:58:59 发布
最新推荐文章于 2023-01-11 13:58:59 发布
阅读量384 收藏
点赞数
文章标签: base64报文怎么解密 node怎么把token放到redis

用户身份认证

用户名密码认证

我们最常见的用户身份认证模式就是账号、密码方式,登录一个网站,引导你到用户登录界面,输入用户名、密码、验证码,然后验证通过后跳转到你要访问的页面去。

二维码认证

当然现在还有比较流行的扫码模式,弹出一个二维码,你用 APP(必须已登录,否则无法匹配扫码用户的身份)扫描这个二维码,然后在 APP 端同意登录,这样网页端就会得到允许登录的通知,同时也能获取到是哪个用户登录。

OAuth 认证

使用第三方用户体系时会使用这种模式来认证,简单的描述就是由第三方服务器完成用户身份的认证、授权,告诉用户需要访问的网站你用我认证通过的标志(token)来确定用户身份就好了。大家达成一致协议,后续就跟普通玩法一样了。今天我们重点介绍的就是这种模式。

无论哪种身份认证方式,只要用户通过了认证,这之后的访问过程中,只要我们没有主动登出,用户身份也没有过期,SSO(单点登录)也没有踢出你的身份,那始终是可以正常访问资源的。在普通用户使用层面上是无感知的,他知道当前用的身份就是我自己,那么对于服务器是怎么判断当前访问资源的用户是谁呢?

服务端判断身份

cookie、session

服务端在用户认证通过后,在 response 的 cookie 中加一个 JSESSIONID(随机标识)返回给前端,同时在服务端 session 中存储这个 id 对应的用户对象,这样在之后的请求中我们都能通过前端传来的 JSESSIONID 找到 session 中对应的用户数据,也就能知道是哪个用户访问资源了。

当然了,你要是头铁,完全也可以把用户对象序列化后放在 cookie 中回传给前端,后端在每次请求中解析这个 cookie,拿到用户数据,但估计你离被辞退也不远了。

由于 session 默认都是在本机存储的,这对于集群服务就麻烦了,获取不到对应的用户对象,后来就演变出在数据库、redis 等缓存中间件中存储 session 数据。数据库存 session 性能比较差,现在基本都是缓存中间件来存储。

token(OAuth2.0)

一个字符串,比如 cdf62cb2-b6de-460c-8856-d9339d923012,可以根据它通过指定的查询方式,获取用户信息。比如如果配置了通过 redis 获取,则这个 token 就是 key,获取的 value 就是用户信息。

其实这种方式跟 cookie 非常像,为什么又单独搞出一个 OAuth2.0 模式呢?因为 cookie 不能跨终端,某些用户设置浏览器不允许访问 cookie 也会失效。而 token 就不一样了,只是一个字符串,完全可以跨终端,而且保存在 js 中也不需要 cookie 支持。

JWT(JSON Web Tokens)

与 token 模式相同,只不过这里存储的不是 token 那么简单的字符串,而是一个包含有效数据的加密字符串,比如:BearereyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJhZG1pbiIsImNyZWF0ZWQiOjE1Nzg4OTgxNzIzNjQsImV4cCI6MTU3OTUwMjk3Mn0._PxIFHqBBx1RN1C3plyT8_9TepCs35lSU2P9n1jZ1Esvmi5yK2t6h4pl_QsRIBjFOam2TFxwln68lF2BEAcu5Q,正确解密后可以直接拿到用户信息,比如用户 id、用户名等等,就看你敢往里面塞多少内容了。好处是不需要再次去别的地方查用户数据,坏处么,塞得东西越多,每次传输的内容就越大,而且是存储在客户端的,敏感信息不应该放在里面。

JWT 的构成

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature)。第三部分是一个签证信息,这个签证信息由三部分组成:

  • header (base64 后的)
  • payload (base64 后的)
  • secret

OAuth2.0 介绍

OAuth2.0 的简单交互流程如下图:

91a8a6950f5a4d188c4bfc10be910983.png

这里简化了用户授权过程中后端的交互,因为 OAuth2.0 的授权模式有四种:

  1. 密码模式(resource owner password credentials)这种模式是最不推荐的,因为客户端会知道用户密码支持 refresh token
  2. 授权码模式(authorization code)这种模式算是正宗的 oauth2 的授权模式设计了 auth code,通过这个 code 再获取 token支持 refresh token
  3. 简化模式(implicit)如图这种模式比授权码模式少了 code 环节,回调 url 直接携带 token不支持 refresh token
  4. 客户端模式(client credentials)这种模式直接根据 client 的 id 和密钥即可获取 token,无需用户参与这种模式比较合适消费 api 的后端服务,比如拉取一组用户信息等不支持 refresh token

OAuth2.0直观配置去这里看看

OAuth2.0请求验证过程看这里

weixin_39636164
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oauth2token过滤器Invalid Base64 string
Mr_yiyang的博客
07-14 431
记录一个问题,在使用非对称加密解析token时 private JSONObject validateToken(HttpServletRequest req) { String jwtToken = req.getHeader("Authorization").replace("Bearer", ""); RSAPublicKey rsaPublicKey = (RSAPublicKey) keyPair().getPublic(); SignatureVe
OAuth2.0用户名,密码登录解析
weixin_33834628的博客
07-25 4042
2019独角兽企业重金招聘Python工程师标准>>> ...
spring-security-oauth2 解决前端对称加密,后台解密,,
何以解忧
07-06 1394
spring-security-oauth2 解决前端对称加密,后台解密,,
OAuth2.0 基础知识
chinaherolts2008的博客
03-08 355
前言 如果大家英语比较好 可以看下 OAuth2.0官网(https://oauth.net/2/),当然英语不好也没关系 我们看一下,下面一段描述: OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容. 开始 做过微信授权的同学们应该都知道,自己开发的应用获取用户openid的过程就是一个OAuth认证授权的流程, 我们看一下微信官方的登录流程图: 这个就是一个 符合OAuth 授权码模式(a
Springboot 2-OAuth 2修改登录加密方式
weixin_34198453的博客
08-21 764
2019独角兽企业重金招聘Python工程师标准>>> ...
Jwt.zip_jwt_oauth2.0_oauth2.0解密_php解密工具
09-14
OAuth 2.0 加解密过程涉及到 JWT 的生成和验证。生成 JWT 时,服务端会使用私钥进行签名;验证时,客户端或服务端会使用公钥来验证签名。这个过程确保了令牌的完整性和安全性。 在 PHP 中,有许多库可以帮助开发者...
oauth2.0.zip_oauth2.0
09-20
其中的"oauth2.0.pdf"文档很可能是详细阐述OAuth 2.0概念、工作流程和实际应用的教程。 OAuth 2.0的核心在于授权,它定义了四个主要的角色:资源所有者(Resource Owner)、资源服务器(Resource Server)、客户端...
springcloud_oauth2.0-master.zip
12-19
《SpringCloud OAuth2.0 实现微服务统一认证授权详解》 在当今的分布式系统架构中,微服务已经成为主流的设计模式。每个微服务都独立部署、独立运行,但随之而来的是如何实现各微服务间的安全通信,这正是OAuth2.0...
springboot_security_oauth2.0_redis:redis 缓存,mysql存储用户信息
04-30
springboot_security_oauth2.0 add requeset: add response: {"access_token":"b2c338d7-c71d-4e8b-b2bf-809a2fb1b27c","token_type":"bearer","refresh_token":"3c66fd1c-60b5-44d2-a614-548941c13c25","expires_in...
thinkphp_oauth2.0实例
12-05
基础版只实现了基础的第三方授权登陆(具体测试请采用3.1版本为服务端thinkox为客户端) 后期将升级生命周期与第三方应用加入功能 发个效果图: 第一步: 第二步(目前是登陆情况下): 第三步:
Spring Security oauth2(四)密码模式源码解析
歪桃的博客
04-16 9028
前言,因为最近的项目是用Spring Security Aauth2来实现用户授权平台,本来想有时间的时候把整个流程写一下博客,实在抽不出时间,刚好有水友用密码模式有问题,就顺便把这密码模式整理下。 1.Oauth2原理 OAuth2.0是一种授权机制,正常情况,不使用OAuth2.0等授权机制的系统,客户端是可以直接访问资源服务器的资源的,为了用户安全访问数据,在访问中间添加了Access Token机制。客户端需要携带Access Token去访问受到保护的资源。所以OAuth2.0确保了资源不被恶意客
OAuth 2.0(四):手把手带你写代码接入 OAuth 2.0 授权服务
阿道夫的博客
01-11 509
1、关注 授权服务 的官方文档,开放平台接入文档是一个很重要的凭据。2、第三方软件接入授权尽量采用 服务端发起型 授权,使用 授权码许可机制,因为这更安全、更完备。3、强烈建议你手把手撸一遍,OAuth 2.0 接入的代码很考验基本功和代码风格,其中用到了 Redis 缓存、Hutool 工具去发起 Http 请求等。
java authorization_HTTP Authorization Base64 验证
weixin_29009401的博客
02-21 460
import java.io.BufferedReader;import java.io.IOException;import java.io.InputStream;import java.io.InputStreamReader;import java.nio.charset.Charset;import java.util.Base64;import java.util.HashSet;im...
Base64加密账号密码
manhengwei
11-25 625
if (StringUtils.isNotBlank(userName) && StringUtils.isNotBlank(passWord)) { String auth = userName + ":" + passWord; byte[] encodedAuth = Base64.encodeBase64( auth.getBytes(StandardCharsets...
Base64对字符串的加密和解密
无名之鑫的博客
07-28 1597
pom: <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> <version>1.10</version> </dependency> package com.ruoyi.web; import org.apache.commons.codec
oauth2.0 密码方式认证分析
qq_39584267的博客
08-19 3234
oauth2.0 密码方式认证分析
session cookie OAuth2.0 加密算法分类和常用的算法
a754315344的博客
03-13 742
session cookie OAuth2.0 加密算法分类和常用的算法 session和cookie 1. 由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户,这个机制就是Session.典型的场景比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个用户操作的,所以服务端要为特定的用户创建了特定的Session,用用于标识这个...
OAuth2记录(密码模式)
Adonis_D_Gogh的博 客
04-22 4290
解决问题: 自定义错误返回信息;(见第2节) 扩展token返回信息,利用AdditionalInformation增加附加信息;(见3.1) http basic验证方式;(见1.2及4.2) 当配置.permitAll()时,即使携带Token,也可以直接访问。(见第5节) 1.配置 1.1.pom依赖 <parent> <groupId>org....
OAuth2四种模式介绍+项目实战
What大潘的博客
04-02 5243
OAuth2入门案例,带你快速了解OAuth2的四种模式和使用场景
java实现oauth2.0_Java的oauth2.0 服务端与客户端的实现
最新发布
06-13
Java中有很多开源的OAuth2.0库,可以用于实现OAuth2.0服务端和客户端。 以下是Java实现OAuth2.0服务端和客户端的一些库: 1. Spring Security OAuth2:Spring Security OAuth2是一个基于Spring Security的OAuth2.0...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值