《OAuth2实战》传统认证方式的问题

最新推荐文章于 2024-07-09 16:17:35 发布
最新推荐文章于 2024-07-09 16:17:35 发布
阅读量164 收藏
点赞数
分类专栏: Oauth2 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42935902/article/details/124826584
版权

假如一个打印服务需要调用照片服务才能获取用户照片打印,打印服务是第三方服务。照片服务受保护不能随便访问,打印服务调用的时候需要弹出一个页面让用户输入照片服务上的用户名和密码才能获取照片。这样的缺点很明显,第一 用户的密码泄露给了打印服务,打印服务可以自己访问照片而不是在用户的许可之下访问照片 第二,用户在别的系统中的密码有可能和照片服务密码一样,这样会导致别的服务密码也泄露 第三,打印服务有了密码可以访问照片服务所有功能,比如删照片,这样无法确保用户信息安全 第四,无法随时撤销打印服务的访问,如果要撤销就只能改用户密码了,这样用户也不能登录了

思路一,给打印服务一个全局密匙

不能给打印服务用户的登录密码,那就给一个单独的密匙,这样用户的登录密码不会泄露。缺点是,全局密匙意味着打印服务可以访问所有用户的信息,也可以访问所有的功能。虽然你可以限制一下让打印服务只能访问部分功能,但是服务让它访问指定的用户。因为全局密匙并没有和用户绑定。如果要撤销这个客户端的访问可以直接修改这个全局密匙,但是也会导致这个客户端所有的用户无法访问。

思路二,给用户一个打印密匙

密匙丢失只会影响这一个用户,有多个客户端调用照片服务,想让某个客户端终止但是不能修改密匙,因为修改了密匙所有客户端都不能用。

思路三,给客户端一个,客户端和用户组合的密匙

可以控制客户端和控制到某个用户,这就产生了授权模式

强子@123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务统一认证方案 Spring Cloud OAuth2 + JWT
小松de博客
01-06 1623
目录1. 微服务架构下统⼀认证介绍2. 微服务架构下统⼀认证思路2.1 基于 session 的认证⽅式2.2 基于 token 的认证⽅式3. OAuth2 开放授权协议 / 标准3.1 OAuth2 相关介绍3.2 OAuth2 协议⻆⾊和流程3.3 什么情况下需要使⽤ OAuth23.4 OAuth2 颁发 Token授权⽅式4. Spring Cloud OAuth2 + JWT 的实现4.1 Spring Cloud OAuth2 介绍4.2 Spring Cloud OAuth2 构建微服
接口安全二:OAuth2(open authorization,开放授权)
xiaozm1223的博客
04-18 1441
授权流程如下: 简单以业务场景串起来就是:张三(客户端)想取货,先去找管理货物的领导,领导给他一个授权码,并指导他去门卫那里拿通行证,门卫核实授权码后给张三一个通行证(token 短时间有效),张三拿到通行证去仓库取货。 领导给出授权码一共有4种方式: 1 授权码模式(最常用) 2 简化模式 3 密码模式 4 客户端模式 授权码模式是最常用的一个模式: ...
SpingCloudOAuth2构建高拓展性微服务开放接口授权认证架构设计
u011585609的专栏
03-12 1072
简介 本文主要内容为基于OAuth2.0协议搭建开放接口授权模型。OAuth2.0是开放授权的一个标准,旨在让用户允许第三方应用去访问该用户在某服务器中的特定私有资源,而可以不提供其在某服务器的账号密码给到第三方应用。 公司需要开放接口给第三方合作伙伴调用, 本文将介绍OAuth2.0的基本工作原理,以及如何使用OAuth2.0构建我们的开放接口授权模型,内容有 OAuth2.0原理简介...
spring security oauth2_十年架构师爆肝分享:基于SpringSecurity实现的基本认证OAuth2
weixin_39889329的博客
11-26 223
实现安全机制本节将介绍基于Spring Security实现的基本认证OAuth2。实现基本认证如果Spring Security位于类路径上,则所有HTTP端点上默认使用基本认证,这样就能使Web应用程序得到一定的安全保障。最为快捷的方式是在依赖中添加Spring Boot Security Starter。//依赖关系dependencies {//该依赖用于编译阶段compile('org...
oauth2请求流程
qq_34741911的博客
10-08 618
oauth2实现流程图
SpringCloud+Spring Security OAuth2 实现微服务统一认证授权
一行代码敲一天
12-07 8533
目前正在做了一个基于Spring Cloud的微服务项目,现在的好多项目都是基于APP移动端以及前后端分离的项目,之前基于Session的前后端放到一起的项目已经慢慢失宠并淡出我们视线,尤其是当基于SpringCloud的微服务架构以及Vue、React单页面应用流行起来,为此基于前后端分离的项目用户认证也受到众人关注的一个焦点,我们先来聊一聊在分布式项目认证需求以及解决方案。 分布式认证需求...
springboot学习.zip
04-08
5. **安全增强**:Spring Security在2.x版本中也有所升级,提供了更强大的认证和授权机制,如OAuth2的支持。 6. **更好的测试支持**:SpringBoot2.x提供了更多的测试工具和API,如Testcontainers可以用来在测试中...
基于springboot的毕设-音乐翻唱与分享平台(源码+配置说明).zip
06-24
通过深入学习这个项目,你可以掌握SpringBoot的实战应用,包括Spring Data JPA、Thymeleaf模板引擎、MyBatis或JdbcTemplate的使用,以及如何集成第三方服务如OAuth2认证、邮件服务等。同时,这也是一个很好的机会去...
Spring Cloud微服务安全实战 中小企业可落地的完整安全方案视频教程
10-21
它支持多种认证方式,如基于用户名和密码的传统认证OAuth2认证,以及JWT(JSON Web Tokens)等现代认证机制。同时,课程会教授如何设置权限控制,防止未授权访问服务接口。 在API Gateway层面,课程将教授如何...
Spring网络安全
02-14
- **XML配置**:传统的Spring Security配置方式是通过XML配置文件,明确指定过滤器链、认证和授权规则。 - **Java配置**:随着Spring Boot的发展,现在更推荐使用Java配置,更灵活且易于理解和维护。 - **注解...
spring boot 开发—第八篇整合OAuth2保证api接口安全
liuweilong07的专栏
05-25 8803
1、 OAuth 概念 OAuth 是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而不需要将用户名和密码提供给第三方应用。OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站在特定的时段内访问特定的资源。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提...
基础平台为第三方应用接入提供oauth2认证接口
weixin_34399060的博客
07-23 227
oauth2开放认证协议原理及案例分析 http://blog.csdn.net/volcan1987/article/details/7287605   谈谈基于OAuth 2.0的第三方认证 [上篇] http://www.cnblogs.com/artech/p/3481445.html   通过 nginx-lua 给 Nginx 增加 OAuth 支持 http://seg...
SpringBoot 整合oauth2实现授权第三方应用
u014365523的博客
01-07 1651
什么是OAuth2 OAuth(open authorization开放授权)是一个开放标准,允许用户授权第三方应用访问他们服务器资源,而不需要将用户名和密码提供给第三方应用。OAuth2.0是OAuth协议的延续版本,但是不向后兼容OAuth1.0,即完全废止了OAuth1.0。 快递员问题 我住在一个大型的居民小区 小区有门禁系统。 小区进入小区的时候需要输入密码。 我经常网购和点外卖,每天都有快递员来送货,我必须找到一个办法,让快递员通过门禁系统,进入小区 如果我把自己的密码告诉快递员,他就拥有了
SpringCloud+Boot+Oauth2微服务项目
linjingyg的博客
12-15 346
  本项目是一个基于 Spring Boot、Spring Cloud、Spring Oauth2 和 Spring Cloud Netflix 等框架构建的微服务项目。   技术栈Spring boot - 微服务的入门级微框架,用来简化 Spring 应用的初始搭建以及开发过程。Eureka - 云端服务发现,一个基于 REST 的服务,用于定位服务,以实现云端中间层服务发现和故障转移。Spring Cloud Config - 配置管理工具包,让你可以把配置放到远程服务器,集中化管理集群配置,目..
无法发邮件java需要认证,无法发送使用JavaMail和客户经理的Gmail电子邮件(错误400)...
weixin_33246767的博客
02-24 4106
I am using Android's Account Manager to authenticate my way into Gmail so I can send an e-mail from the device.During the send process, it appears (from the logs) that everything connects and authenti...
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
小明的Java问道之路
07-08 1318
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
解决分布式环境下session共享问题
shenxiaomo1688的博客
07-06 1055
在分布式环境下,session会存在两个问题第一个问题:不同域名下,浏览器存储的jsessionid是没有存储的。比如登录时认证服务auth.gulimall.com存储了session,但是搜索服务search.gulimall.com是没有这个session的;
java Object 转 Integer
最新发布
servepeople的博客
07-09 233
在 Java 中,可以通过多种方法将一个Object转换为Integer。
AI技术的转变:从辨别式到生成式
学IT,找陈寒
07-09 728
李彦宏在2024世界人工智能大会上的发言,提醒我们在AI技术发展的道路上,不要盲目追求技术本身或表面的用户数据,而应更多地关注技术的实际应用和产业价值。在大模型技术与个性化应用之间找到平衡,将是未来发展的关键。作为AI从业者和技术爱好者,我们应以务实的态度,探索AI技术在各个领域的实际应用,为产业发展和社会进步贡献力量。通过李彦宏的发言,我深刻认识到AI技术发展的方向和挑战,也更加坚定了自己在这一领域继续探索和创新的信心。未来,愿我们共同努力,推动AI技术更好地服务于社会和产业,为人类创造更美好的未来。
通过PostMan验证Oauth2认证过程.docx
02-23
"通过PostMan验证Oauth2认证过程,主要涉及微服务中的认证和鉴权,使用API网关和OAuth2授权服务实现安全校验。" 在微服务架构中,认证和鉴权是保障系统安全性的重要环节。Oauth2是一种广泛使用的授权框架,它允许第...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值