JWT和OAuth2.0的理解

已于 2022-06-29 16:31:04 修改
阅读量2.5k 收藏 4
点赞数 1
分类专栏: Java 文章标签: 服务器 运维
于 2022-02-09 16:39:14 首次发布
原文链接:https://coolshell.cn/articles/19395.html#OAuth_20
版权

Oauth2和jwt是完全不同的两种东西,一个是授权认证的框架,另一种则是认证验证的方式方法(轻量级概念)
无论是哪种方式,我们都应该遵循HTTP的规范,把认证信息放在http请求头的 Authorization 字段中

JWT

详情

OAuth2.0

https://blog.csdn.net/a595077052/article/details/118996218
分发系统中的账号绑定第三方应用的登录过程就是OAuth2.0实现的,通过认证授权得到的access_token可以进行分发操作。

Authorization Code Flow 授权码模式

在这里插入图片描述
1、当用户(Resource Owner)访问第三方应用(Client)的时候,第三方应用会把用户带到认证服务器(Authorization Server)上去,主要请求的地址是 /authorize API,其中的请求方式如下所示。
例:微博的authUrl:

https://api.weibo.com/oauth2/authorize?
response_type=code
&client_id=%s
&redirect_uri=%s
&state=%s

client_id:第三方应用的App ID
response_type=code:告诉认证服务器,我要走Authorization Code Flow。
redirect_uri:跳转回第三方应用的URL
scope:相关的权限
state:是一个随机的字符串,主要用于防CSRF攻击。
2、当Authorization Server收到这个URL请求后,其会通过 client_id来检查 redirect_uri和 scope是否合法,如果合法,则弹出一个页面,让用户授权(如果用户没有登录,则先让用户登录,登录完成后,出现授权访问页面)。
3、当用户授权同意访问以后,Authorization Server 会跳转回 Client ,并以其中加入一个 Authorization Code

/deliver/fenfa/oauth/douyin/rongmei/callback?
code=1e6a48c8eba96549w5h3d9T8anKkuK993Fz5
&state=232279695392013328_1_4A0ABDE163AB83F24F2CEA99239A6FBFEBAAEFEFADD12B947FE534D638694D926167A50C12B8390B

URL的组成是redirect_uri + code + state
state的值与第一步是一致的
4、接下来,Client 就可以使用 Authorization Code 获得 Access Token。其需要向 Authorization Server 发出如下请求。

code=Yzk5ZDczMzRlNDEwYlrEqdFSBzjqfTG
&grant_type=code
&redirect_uri=https%3A%2F%2Fexample-client.com%2Fcallback%2F
&client_id=6731de76-14a6-49ae-97bc-6eba6914391e
&client_secret=JqQX2PNo9bpM0uEihUPzyrh

5、没问题的话,Authorization Code 会返回认证信息

{
  "access_token": "iJKV1QiLCJhbGciOiJSUzI1NiI",
  "refresh_token": "1KaPlrEqdFSBzjqfTGAMxZGU",
  "token_type": "bearer",
  "expires": 3600,
  "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciO.eyJhdWQiOiIyZDRkM..."
}

access_token:令牌
refresh_token:用来刷新access_token
expires:过期时间
6、接下来就可以用access_token请求有权限访问的资源了
欧耶!

王放_
关注
专栏目录
OAuth2.0JWT
小英雄
09-07 314
阮一峰的通俗的讲解了OAuth 2.0 的设计思路和运行流程简单来说,OAuth(开放授权)是一种开放标准,用于允许用户在不暴露其凭据(如用户名和密码)的情况下,让第三方应用程序访问其资源(如用户的照片、视频、联系人列表等)。OAuth 主要用于授权,而不是身份验证。如果想看真实的应用场景,可以看文档。
java实现oauth2.0服务端+客户端(含JWT
12-15
基于MAVEN+OLTU开源代码实现javaOauth2.0前后端,数据加密使用MD5。
JWTOAuth2.0
Kard的博客
12-31 9409
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。 OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
Oauth2.0+JWT
最新发布
klcss的博客
04-13 265
授权服务器:用于对资源拥有者的身份进行认证,对访问资源进行授权。客户端如果想要访问资源的话需要 资源拥有者 通过向 授权服务器 授权后才可以访问。OAuth 2.0 :OAuth2被称为授权框架(或规范框架),其主要目的是允许第三方网站或应用程序访问资源。资源服务器:存储资源的服务器,客户端最终需要通过资源服务器来获取资源。客户端:本身不存储资源,需要通过资源拥有者去请求资源服务器的资源。资源拥有者:通常可以理解为用户。
OAuth2.0实战,使用JWT令牌认证
终码一生
12-15 5424
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! 今天这篇文章介绍一下OAuth2.0如何集成JWT颁发令牌,这也是目前企业中主流的令牌形式。 文章目录如下: 什么是JWTOAuth2.0体系中令牌分为两类,分别是透明令牌、不透明令牌。 不透明令牌则是令牌本身不存储任何信息,比如一串UUID,上篇文章中使用的InMemoryTokenStore就类似这种。 因此资源服务拿到这个令牌必须调调用认证授权服务的接口进行令牌的校验,高并发的情况下延迟很高,性能很低,正如上篇
oauth2.0怎么和jwt结合
mywaya2333的博客
02-29 827
在结合使用 OAuth 2.0 和 JWT 时,通常是使用 OAuth 2.0 进行用户授权和颁发访问令牌,而 JWT 则用作访问令牌(Access Token)。这可能涉及到配置授权服务器、资源服务器以及客户端,以及实现相应的 OAuth 2.0 授权流程和 JWT 的生成和验证逻辑。结合 OAuth 2.0 和 JWT 的优势在于,OAuth 2.0 提供了标准的授权机制和流程,而 JWT 则提供了自包含、无状态的访问令牌格式。这种结合使用的方式既保证了安全性,又提供了灵活性和可扩展性。
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
在使用这个工具之前,需要理解 JWT 和 OAuth 2.0 的基本原理,并按照库的文档或说明进行配置和调用。 总的来说,JWT 和 OAuth 2.0 是现代Web应用中身份验证和授权的关键技术。了解它们的工作原理和使用方法对于构建...
spring security oauth2.0 (讲义+代码)
03-10
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全的Web应用和API。OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何...
Oauth2.0 + JWT、JSON解析、调用三方URL.zip
12-18
在IT行业中,OAuth2.0JWT(JSON Web Tokens)以及JSON解析是现代Web服务和API安全及数据交换的关键组成部分。下面将详细解释这些技术及其相互间的应用。 **OAuth2.0** OAuth2.0是一种授权框架,允许第三方应用在...
Oauth2.0:Springsecurity的Oauth2.0实现样例
05-14
这个样例项目为开发者提供了一个完整的OAuth2.0实现框架,有助于理解和实践Spring Security的OAuth2.0特性。通过研究源代码,可以深入学习如何在实际项目中部署和使用OAuth2.0授权机制,提升应用程序的安全性和可...
jwt oauth2区别_OAuth2.0 看这篇就够了
weixin_39847945的博客
12-03 964
随着互联网技术的发展,微服务架构已经成为每个互联网公司的标配。伴随着服务粒度的细化,服务的安全和鉴权问题,以及客户端与服务之间的认证问题已经成为必不可少的一项工作。说起认证和鉴权,那怎么少得了 OAuth 2.0 协议呢?火锅店旁边的照片打印机这个案例想必大家都遇到过,在商场里面或者餐馆门口会看到一些可以打印照片的设备。想要设备打印出照片那么必须传输照片给设备,但是假如此时由于你的手机设备存储有限...
[译] 深入 OAuth2.0JWT
tonylua的博客
11-20 1180
原文链接:https://uriotnews.com/?s=oauth2.0+and+jwtI. 认证和授权从基于计算机的应用出现伊始,几乎每个开发者在其职业生涯内都会面...
Oauth2.0&&JWT
阿火
09-03 354
Oauth2.0: OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者的信息,而不需要将用户名和密码提供给第三方应用或者分享他们数据的所有内容。 第三方认证 比如登录B站,可以用微信账号登录。B站通过微信提取用户信息, 微信经过户同意方可为B站生成令牌,B站拿到令牌方可从微信获取用户信息。 详细:https://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html JWT: Json web token (JWT), 是为了在网
浅谈OAuth 2.0与JWT
qq_36551991的博客
11-17 321
OAuth 2.0是一个关于授权的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。其最终目的是颁发一个有时效性的令牌(access_token),第三方应用根据这个access_token就可以去获取用户的相关资源,如用户显示名称、email这些信息
oauth2.0 jwt
weixin_35755640的博客
01-03 115
OAuth 2.0 是一种开放的授权框架,它允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而无需将用户名和密码提供给第三方应用。 JWT(JSON Web Token)是一种用于在双方之间传递信息的轻量级的 JSON 对象,用于在身份提供者和服务提供者之间传递认证信息。JWT 可以使用数字签名来验证其完整性,以确保它没有被篡改。 在 OAuth 2.0 中,JWT 可以用作访问令牌...
OAuth2.0实战(三)-使用JWT
JavaEdge全是干货的技术号
10-19 2879
授权服务的核心就是颁发访问令牌,而OAuth 2.0规范并没有约束访问令牌内容的生成规则,只要符合唯一性、不连续性、不可猜性。可以灵活选择令牌的形式,既可以是没有内部结构且不包含任何信息含义的随机字符串,也可以是具有内部结构且包含有信息含义的字符串。 之前生成令牌的方式都是默认一个随机字符串。而在结构化令牌这方面,目前用得最多的就是JWT令牌。 什么是JWT? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑、自包含的方式,作为JSON对象在各方之间安全地传输信息,
OAuth2和JWT - 如何设计安全的API?
码猿技术专栏
02-02 336
点击上方☝码猿技术专栏轻松关注,设为星标!及时获取有趣有料的技术转自:乐傻驴链接:www.jianshu.com/p/1f2d6e5126cb本文会详细描述两种通用的保证API安全性的...
OAuth2 和 JWT - 如何设计安全的 API?
芋艿V
02-04 239
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 8:55 更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2020 超神之路,很肝~中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值