用户鉴权之JWT和AKSK

最新推荐文章于 2024-04-07 20:23:45 发布
最新推荐文章于 2024-04-07 20:23:45 发布
阅读量6.6k 收藏 9
点赞数 1
文章标签: 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43513459/article/details/123298756
版权
JWT和AK/SK

JWT和AK/SK都是用于鉴权的。

由于http的无状态性,为了避免每次登录时都去数据库查询用户信息,用户第一次登录后,应用需要保存用户登录信息,以便下次请求客户端时识别用户的身份。

通常我们可以采用session的方式来保存用户登录状态和用户信息。这种方式,会在服务端保存session信息,登录之后返回一个session_id,这样客户端每次请求的时候将session_id传到服务端。

使用session的方式会在服务器保存session信息,这样会占用服务器资源,下面介绍另外两种鉴权方式JWT和AKSK

1. JWT

JWT全称Json Web Token,用户登录后,服务器根据用户信息和签名生成一个token返回给客户端,之后客户端每次请求API的时候将token通过请求头传给服务端,服务端再对token进行验证来确认用户身份。

生成JWT包含三个要素:

  1. Header 描述token元数据的json字符串
{
	"alg":"HS256",
	"typ":"JWT"
}

alg描述签名所使用的算法,typ描述token的类型。

  1. Payload 保存token所传递的数据,格式为json字符串
{
	"uid":"123",
	"privilege":"123",
	"exp":"xxx"
}
  1. Signature 数字签名,主要用来验证token是否被篡改

生成JWT的过程:

  1. 对Header和Payload分别使用Base64进行编码。
  2. 然后将Header和Payload的Base64编码用点.连接起来(HeaderBase64.PayloadBase64)。
  3. 然后通过指定算法对连接后的字符串使用密钥进行计算生成数字签名Signature(sha256(HeaderBase64.PayloadBase64,secret))。
  4. 最后将HeaderBase64、PayloadBase64和Signature用点连接起来。

JWT验证的过程:

将token用点分隔,用base64对Header和Payload进行解码,然后使用算法和密钥进行计算,生成一个签名,比较签名是否一致,如果一直则说明鉴权通过。

2.AK/SK

AK:Access Key Id

SK:Secret Access Key,用户需要保管好自己的SK。

通过API网关向下层服务发送请求时,使用AK(Access Key ID)、SK(Secret Access Key)对请求进行签名。AKSK使用对称加密算法。

生成签名token的过程:

  1. 将AK和时间戳Timestamp组成Header,通过json进行序列化,引入时间因子可以控制token的过期
  2. 用SK对Header的json串进行HS256计算生成Signature
  3. 将AK/Signature/Timestamp组成token

AKSK相比较于JWT,不用将自己的Secret Key提交给服务器,而是在本地进行签名,然后用签名进行认证。aksk更安全一些,像华为云,微信平台,阿里云都采用aksk这种方式进行认证。

一闪一闪满天星
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot 整合security jwt 身份鉴权
01-03
此工具类可用作用户身份鉴权,包括jwt token 身份鉴权,可根据自身技术架构舍弃部分配置,需要在用户信息查询作调整,改成自己的用户信息
什么是 AK/SK?
CeciliaWang_的博客
02-19 597
调用通过API网关开放的云服务API时,使用到AK/SK签名认证方式。
云服务中使用的AK/SK简单介绍
A1_3_9_7的博客
03-26 495
AK:Access Key Id,用于标示用户。SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密,只能用户(客户端)进行保存。
.NET6平台开发WebApi—使用JWT进行用户鉴权和测试源码
02-21
1.用.Net6平台WebApi项目开发 2.使用jwt用户颁发密钥 3.swagger验证配置 4.接口jwt验证密钥方法 5.运行就能使用
JWT授权鉴权--相当nice
08-14
用于授权鉴权的一种流行方式,根据Richard的老师的授课总结
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
08-19
主要介绍了SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
跨平台应用开发进阶(三十二) :AK/SK鉴权原理简介
IT全栈 华强工作室
08-19 5865
AK:,⽤于标⽰⽤户;SK:,是⽤户⽤于加密认证字符串和⽤来验证认证字符串的密钥,其中SK必须保密。通过使⽤加密的⽅法来验证某个请求的发送者⾝份。
AK/SK认证简介
2301_78006725的博客
09-23 4085
具体来说,AK和SK用于对API请求进行签名以确保请求的完整性和身份验证。在访问受保护的服务或资源时,需要提供有效的AK和SK才能获得授权。AK和SK的作用是保证只有授权用户才能访问特定的服务或资源,同时也提供了对用户操作的跟踪和审计能力。云主机接收到用户的请求后,系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串,并与用户请求中包含的认证字符串进行比对。SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密。
详解用JWT对SpringCloud进行认证和鉴权
08-26
主要介绍了详解用JWT对SpringCloud进行认证和鉴权,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
AKSK泄漏排查】
weixin_46356409的博客
01-10 476
可能的泄漏途径包括:误上传到代码仓库、泄露在日志文件中、通过电子邮件或即时消息传输、在公开的配置文件中等。你需要检查所有可能的泄漏点,找出泄漏的具体原因。:登陆到腾讯云控制台,进入"访问管理" -> “API密钥管理”,找到泄露的AK,并立即禁用或删除。:登录到腾讯云控制台,进入"云审计"服务,查看与泄露的AKSK关联的操作日志。例如,限制AKSK的权限范围,禁止在源代码或配置文件中硬编码AKSK,定期旋转AKSK等。:在确认所有资源和配置都正常后,为需要使用AKSK的应用或服务生成新的AKSK
三方接口调用设计方案
竹林幽深
11-09 683
API密钥生成:为每个三方应用生成唯一的API密钥对(AK/SK),其中AK用于标识应用,SK用于进行签名和加密。AK:Access Key Id,用于标示用户。SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密。通过使用Access Key Id / Secret Access Key加密的方法来验证某个请求的发送者身份。接口鉴权:在进行接口调用时,客户端需要使用AK和请求参数生成签名,并将其放入请求头或参数中以进行身份验证。
Golang中AK/SK认证的实现
weixin_44864347的博客
12-26 5350
Golang实现AK/SK认证一、AK/SK概述1. 什么是AKSK2. AK/SK认证过程二、AK/SK认证例子1. 设计ak/sk的请求参数2. 数据库中保存sk3. 客户端生成签名4. 服务端校验签名 一、AK/SK概述 1. 什么是AKSK ak/sk是一种身份认证方式,常用于系统间接口调用时的身份验证,其中ak为Access Key ID,sk为Secret Access Key。客户端和服务端两者会协商保存一份相同的sk,其中sk必须保密。 2. AK/SK认证过程 客户端在调用的服务端接口时候
Python:批量增强图片清晰度 ——基于百度API,含获取的AK、 SK的流程,access_token的获取流程,以及生成.exe文件
you_wait_I_come的博客
06-29 3358
Python:批量增强图片清晰度 ——基于百度API,含获取的AK、 SK的流程,access_token的获取流程 最近需要提高一些图片的清晰度,但一张张的去弄太费时间了,所以打算尝试用Python来简化流程。 涉及关键词与模块: 百度API相关:获取AK、SK值,获取access token 值 爬虫相关:requests库 操作系统:os库 编码:base64库 以下是完整的流程,或许对弟兄姐妹们有帮助。 流程(想自己编程尝试的可以看看) 一. 获取 access_token 值(百度API相关)
AK/SK加密认证
Mr-吴の客栈
05-23 1390
AK/SK加密认证 AK/SK概述 1.什么是AKSK ak/sk是一种身份认证方式,常用于系统间接口调用时的身份验证,其中ak为Access Key ID,sk为Secret Access Key。客户端和服务端两者会协商保存一份相同的sk,其中sk必须保密。 2.AK/SK认证过程 客户端在调用的服务端接口时候,会带上ak以及signature(使用sk对内容进行加密后得出的签名)进行...
云服务中使用的AK-SK简单介绍
Karka_的博客
03-17 1831
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
2.AK/SK鉴权
最新发布
qq_22321199的专栏
04-07 233
在云服务中,AK(Access Key ID)和SK(Secret Access Key)是访问云服务API的关键凭证对,主要用于身份验证和授权。AK是用户访问云服务的身份标识,而SK则是用于加密和签名请求的重要密钥,用于证实请求确实来自于拥有该AK的合法用户。:类似于用户名,是一个全局唯一的字符串,对外公开,但本身不具备安全性,仅用于标识用户的访问密钥对。:类似于密码,是一个高度敏感的字符串,绝对不能公开,用于生成数字签名以验证请求的真实性。
express jwt 鉴权
03-30
Express JWT 鉴权是一种通过 JSON Web Tokens (JWT) 实现的身份验证和授权机制,用于保护 Express 应用程序中的端点或路由。 JWT 是一个安全的标准,用于在客户端和服务器之间传输信息。它由三部分组成:头部、载荷和签名。头部描述了令牌的类型以及所使用的算法,载荷包含了用户信息和其他元数据,签名用于验证令牌的完整性。 在 Express 应用程序中,JWT 鉴权需要使用中间件来验证用户的身份。当用户登录时,服务器会生成一个 JWT,并将其发送回客户端。客户端将 JWT 存储在本地,并在每次请求时将其发送回服务器。服务器使用 JWT 中的信息来验证用户的身份,并根据权限授予或拒绝访问。 要实现 Express JWT 鉴权,可以使用第三方库如 passport-jwt 或 express-jwt。这些库提供了简单易用的中间件,可以快速地添加 JWT 鉴权到 Express 应用程序中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值