JWT和OAuth2.0的理解

已于 2022-06-29 16:31:04 修改
阅读量2.3k 收藏 4
点赞数 1
分类专栏: Java 文章标签: 服务器 运维
于 2022-02-09 16:39:14 首次发布
原文链接:https://coolshell.cn/articles/19395.html#OAuth_20
版权

Oauth2和jwt是完全不同的两种东西,一个是授权认证的框架,另一种则是认证验证的方式方法(轻量级概念)
无论是哪种方式,我们都应该遵循HTTP的规范,把认证信息放在http请求头的 Authorization 字段中

JWT

详情

OAuth2.0

https://blog.csdn.net/a595077052/article/details/118996218
分发系统中的账号绑定第三方应用的登录过程就是OAuth2.0实现的,通过认证授权得到的access_token可以进行分发操作。

Authorization Code Flow 授权码模式

在这里插入图片描述
1、当用户(Resource Owner)访问第三方应用(Client)的时候,第三方应用会把用户带到认证服务器(Authorization Server)上去,主要请求的地址是 /authorize API,其中的请求方式如下所示。
例:微博的authUrl:

https://api.weibo.com/oauth2/authorize?
response_type=code
&client_id=%s
&redirect_uri=%s
&state=%s

client_id:第三方应用的App ID
response_type=code:告诉认证服务器,我要走Authorization Code Flow。
redirect_uri:跳转回第三方应用的URL
scope:相关的权限
state:是一个随机的字符串,主要用于防CSRF攻击。
2、当Authorization Server收到这个URL请求后,其会通过 client_id来检查 redirect_uri和 scope是否合法,如果合法,则弹出一个页面,让用户授权(如果用户没有登录,则先让用户登录,登录完成后,出现授权访问页面)。
3、当用户授权同意访问以后,Authorization Server 会跳转回 Client ,并以其中加入一个 Authorization Code

/deliver/fenfa/oauth/douyin/rongmei/callback?
code=1e6a48c8eba96549w5h3d9T8anKkuK993Fz5
&state=232279695392013328_1_4A0ABDE163AB83F24F2CEA99239A6FBFEBAAEFEFADD12B947FE534D638694D926167A50C12B8390B

URL的组成是redirect_uri + code + state
state的值与第一步是一致的
4、接下来,Client 就可以使用 Authorization Code 获得 Access Token。其需要向 Authorization Server 发出如下请求。

code=Yzk5ZDczMzRlNDEwYlrEqdFSBzjqfTG
&grant_type=code
&redirect_uri=https%3A%2F%2Fexample-client.com%2Fcallback%2F
&client_id=6731de76-14a6-49ae-97bc-6eba6914391e
&client_secret=JqQX2PNo9bpM0uEihUPzyrh

5、没问题的话,Authorization Code 会返回认证信息

{
  "access_token": "iJKV1QiLCJhbGciOiJSUzI1NiI",
  "refresh_token": "1KaPlrEqdFSBzjqfTGAMxZGU",
  "token_type": "bearer",
  "expires": 3600,
  "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciO.eyJhdWQiOiIyZDRkM..."
}

access_token:令牌
refresh_token:用来刷新access_token
expires:过期时间
6、接下来就可以用access_token请求有权限访问的资源了
欧耶!

王放_
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2 开发指南
dibimian8850的博客
09-27 2440
官方原文:http://projects.spring.io/spring-security-oauth/docs/oauth2.html 翻译及修改补充:Alex Liao. 转载请注明来源:http://www.cnblogs.com/xingxueliao/p/5911292.html Spring OAuth2.0 提供者实现原理: Spring OAuth2.0提供...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
oauth2.0核心加解密工具,里面有详细说明
JWTOAuth2.0
Kard的博客
12-31 7865
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密token。 OAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
oauth2.0怎么和jwt结合
最新发布
mywaya2333的博客
02-29 467
在结合使用 OAuth 2.0 和 JWT 时,通常是使用 OAuth 2.0 进行用户授权和颁发访问令牌,而 JWT 则用作访问令牌(Access Token)。这可能涉及到配置授权服务器、资源服务器以及客户端,以及实现相应的 OAuth 2.0 授权流程和 JWT 的生成和验证逻辑。结合 OAuth 2.0 和 JWT 的优势在于,OAuth 2.0 提供了标准的授权机制和流程,而 JWT 则提供了自包含、无状态的访问令牌格式。这种结合使用的方式既保证了安全性,又提供了灵活性和可扩展性。
OAuth2.0实战,使用JWT令牌认证
终码一生
12-15 4909
点击“终码一生”,关注,置顶公众号 每日技术干货,第一时间送达! 今天这篇文章介绍一下OAuth2.0如何集成JWT颁发令牌,这也是目前企业中主流的令牌形式。 文章目录如下: 什么是JWTOAuth2.0体系中令牌分为两类,分别是透明令牌、不透明令牌。 不透明令牌则是令牌本身不存储任何信息,比如一串UUID,上篇文章中使用的InMemoryTokenStore就类似这种。 因此资源服务拿到这个令牌必须调调用认证授权服务的接口进行令牌的校验,高并发的情况下延迟很高,性能很低,正如上篇
OAuth2与JWT的区别JWT的适用场景及好处(九)
FAIRYTAIL的博客
08-28 6643
什么是jwtjwt相对于oauth2和session的好处
Spring Security OAuth2.0(四)-----OAuth2+JWT
qq_42264638的博客
05-08 1866
Spring Security OAuth2.0(四)-----OAuth2+JWT
oAuth2.0WithSwaggerUI2.0:使用OAuth2 JWT保护Swagger API
05-13
OAuth 2.0 Swagger-UI 如何运行? mvn clean mvn spring-boot:run Swagger-UI 启动应用程序后,单击 配置 我使用H2 DB来获取有关用户的信息,您可以在添加用户 为了保护方法,可以在(ResourceServerConfiguration...
java实现oauth2.0服务端+客户端(含JWT
12-15
基于MAVEN+OLTU开源代码实现javaOauth2.0前后端,数据加密使用MD5。
验证服务:Spring Security + OAuth2.0 + JWT
02-21
更改日志2018.9.1版本升到2.0-SNAPSHOT ,要使用sb1.5.x版本,请切换到TAG 1.0-RELEASE Spring Cloud Security升级到Finchley.RELEASE ,Spring Boot由1.5.X升级到2.0.X。 < dependency> < groupId>org.spring...
JWT和Oauth2的区别和联系
Aplumage的专栏
06-10 5587
既然是区别和联系,首先就要分别对双方的内容思想有所了解: Oauth2: 是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。它详细描述了系统中不同角色、用户、服务前端应用(比如API),以及客户端(比如网站或移动App)之间怎么实现相互认证。 Oauth2定义了一组想当复杂的规范。涉及到:Roles角色、Client Types客户端类型、Client Profile客户端描述、Authorization ...
浅谈OAuth 2.0与JWT
qq_36551991的博客
11-17 154
OAuth 2.0是一个关于授权的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。其最终目的是颁发一个有时效性的令牌(access_token),第三方应用根据这个access_token就可以去获取用户的相关资源,如用户显示名称、email这些信息
OAuth2和JWT
Minor的Java技术博客
07-25 1522
这种模式需要客户端、服务端、三方服务器共同协调完成,这种模式需要三方应用客户端通过授权得到一个Code码,客户端拿着这个code请求自己公司的服务端,服务器通过code去三方应用获取一个Access_Token,得到三方的Access_Token以后,服务器就可以调用API获取用户的一些非敏感信息了,例如可以拿到用户的头像、用户名、账号ID、open_id、union_id等。目前主流的版本是OAuth2。这种模式抛弃了用户的概念,客户端以自己的名义发起授权请求,这种模式适用于命令行的一些基础应用。...
OAuth2.0实战(三)-使用JWT
JavaEdge全是干货的技术号
10-19 2819
授权服务的核心就是颁发访问令牌,而OAuth 2.0规范并没有约束访问令牌内容的生成规则,只要符合唯一性、不连续性、不可猜性。可以灵活选择令牌的形式,既可以是没有内部结构且不包含任何信息含义的随机字符串,也可以是具有内部结构且包含有信息含义的字符串。 之前生成令牌的方式都是默认一个随机字符串。而在结构化令牌这方面,目前用得最多的就是JWT令牌。 什么是JWT? JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑、自包含的方式,作为JSON对象在各方之间安全地传输信息,
Oauth2和Jwt两种单点登录方式
喝醉酒的小白
08-05 436
是一种授权框架,用于允许应用程序访问受保护的资源,而无需直接使用用户的凭据。在OAuth 2.0中,有三个主要的角色:资源所有者(用户)、客户端(应用程序)和授权服务器。OAuth 2.0使用令牌作为对资源的访问凭证,这些令牌通常具有有限的生命周期,并且可以在过期后进行刷新。这样一来,应用程序无需保存用户的凭据,而是利用令牌进行安全的资源访问。是一种开放标准(RFC 7519),定义了一种紧凑且自包含的方式来传输信息的格式。两者可以结合使用,以实现基于令牌的单点登录方案。
SpringSecurity学习(八)OAuth2.0、授权服务器、资源服务器JWT令牌的使用
Huathy的博客
03-18 3460
OAuth2协议、授权服务器搭建、资源服务器搭建、JWT令牌的使用
auth2.0机制 以及jwt
黑猫
03-13 6425
具体来说,auth2.0一共分成四种授权类型 第一种是授权码模式,这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。比如A应用想要获取B应用的用户数据,A会首先访问B的授权页面,用户点击确认授权之后,B会请求A配置的回调地址,同时附带上授权码code,A可以通过这个code向B申请登录令牌access_token,获取到登录令牌之后,然后就可以向B应用请求用户信息数据
oauth2.0--基础--04--搭建JWT
zhou920786312的博客
11-01 820
1、介绍 框架:spring sercurity+oauth2.0+JWT 需要完成下面的内容 oauth2.0–基础–03–简单搭建认证服务器,资源服务器 2、JWT 2.1、JWT 概念 JSON Web Token 一种简介的、自包含的协议格式 用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。 JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。 2.2、优点 jwt基于json,非常方便解析 可以在令牌中自定义丰富的内容,易扩展 通过非对称
spring security+jwt+oauth2.0 pdf
07-13
Spring Security是一个功能强大的安全框架,用于在Java应用程序中实现身份验证和授权。JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,其中包含了验证用户身份的加密信息。OAuth 2.0是一种开放标准的授权协议,它允许用户授权第三方应用程序访问受保护的资源。 Spring Security可以与JWT和OAuth 2.0结合使用,以提供更强大的身份验证和授权功能。使用JWT作为身份验证机制,可以在用户登录成功后生成一个JWT令牌,并将其加入到HTTP请求的Header中。服务端可以使用JWT中的信息,如用户名和权限,对请求进行验证,确保用户的身份是有效的。而OAuth 2.0允许用户通过授权服务器颁发的token来访问受保护的资源,Spring Security可以集成OAuth 2.0来实现授权验证的逻辑。 通过使用Spring Security结合JWT和OAuth 2.0,可以轻松实现可伸缩、安全的身份验证和授权机制。开发人员可以使用Spring Security提供的各种功能,如用户认证、角色授权和访问控制,来保护应用程序中的敏感操作和数据。此外,使用JWT和OAuth 2.0,可以实现无状态的API身份验证和授权,提高系统的可扩展性和性能。 总之,Spring Security与JWT和OAuth 2.0的结合为应用程序提供了安全、可靠的身份验证和授权机制。开发人员可以根据具体的需求配置和使用这些功能,以保护应用程序的安全和数据的机密性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值