登录鉴权、JWT、单点登录

最新推荐文章于 2024-04-27 09:13:51 发布
最新推荐文章于 2024-04-27 09:13:51 发布
阅读量513 收藏
点赞数
文章标签: java jwt 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xdy0426313/article/details/117735221
版权

登陆鉴权

1.一般来说开放平台不会需要⽤户必须登陆,但是如果需要的话,我们需要对⽤户的登陆信息进⾏校验,那么如何校验⽤户的登陆信
息呢,类似于淘宝的登陆系统并不是简单的只给淘宝⽤的,阿⾥巴巴旗下的绝⼤部分功能都可以使⽤这⼀个帐号登陆,如果我们给每
个系统都写⼀套登陆系统的话,代码是⼀样的出现功能重写,那么我们想办法只写⼀个登陆系统,然后进⾏统⼀的验证,只需要在任意
其他系统中对登陆返回的数据进⾏校验即可,我们称之为单点登录

2.单点登录实现的⽅式有很多,其本质就是数据的共享,之前⼤部分的⽅式都是将帐号系统独⽴出来,⽤户访问授权系统登陆,登陆系统
会返回⼀个验证信息给⽤户, ⽤户访问A功能的时候将验证信息带过去,A服务器在内部验证,如果⽆法验证就会在内部请求授权服务
器进⾏验证,成功后在A保存⼀份,并让⽤户继续访问,下次的话就可以直接内部验证了,这时候如果⽤户要访问B地址按照i相同的流
程再来⼀次, 这样我们在授权系统进⾏⼀次登陆后就可以i在多个系统实现登陆

3.在开放平台中,登陆授权并不属于其中的⼀部分,登陆系统⼀般已经有⼈写好了,我们只需要按照他们定义的规范使⽤数据就是了,其
实就是登陆系统返回的数据我们保存起来,下次按照服务器的要求通过对应的⽅式传递过去,⽐如cookie, headler,请求参数等⽅式

JWT

在上⾯的⽅式中,授权系统会做很多操作,包括登陆,校验等,所以需要的资源⽐较多,可能会出现系统瓶颈的问题,现在⼀般流⾏简化的验证
⽅式, 还是上⾯的那个功能,如果我们的AB服务⾃⼰知道如何校验的话,就不需要去授权系统进⾏请求校验了,⽽是⾃⼰直接校验就可以
了,但是呢如果校验的安全级别不够的话⽐较容易被⼈伪造信息,这⾥就可以使⽤我们上⾯的签名的⽅式来提⾼安全度,那可不可以这样
呢,我们的授权系统将授权信息签名后发给客户,客户下次带着数据过来,我们进⾏签名校验就可以了,如果可以,说明没有问题,这种技术我
们称之为令牌Token

JSON Web Token(JWT)是⼀个⾮常轻巧的规范。这个规范允许我们使⽤JWT在⽤户和服务器之间传递安全可靠的信息。
⼀个JWT实际上就是⼀个字符串,它由三部分组成,头部、载荷与签名。
头部(Header)
头部⽤于描述关于该JWT的最基本的信息,例如其类型以及签名所⽤的算法等。这也可以被表示成⼀个JSON对象。
{“typ”:“JWT”,“alg”:“HS256”}
在头部指明了签名算法是HS256算法。 我们进⾏BASE64编码http://base64.xpcha.com/,编码后的字符串如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

载荷(playload)
载荷就是存放有效信息的地⽅。这个名字像是特指⻜机上承载的货品,这些有效信息包含三个部分
(1)标准中注册的声明(建议但不强制使⽤)

	iss: jwt签发者
	sub: jwt所⾯向的⽤户
	aud: 接收jwt的⼀⽅
	exp: jwt的过期时间,这个过期时间必须要⼤于签发时间
	nbf: 定义在什么时间之前,该jwt都是不可⽤的.
	iat: jwt的签发时间
	jti: jwt的唯⼀身份标识,主要⽤来作为⼀次性token。

(2)公共的声明
公共的声明可以添加任何的信息,⼀般添加⽤户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端
可解密.
(3)私有的声明
私有声明是提供者和消费者所共同定义的声明,⼀般不建议存放敏感信息,因为base64是对称解密的,意味着该部分信息可以归类为
明⽂信息。
这个指的就是⾃定义的claim。⽐如前⾯那个结构举例中的admin和name都属于⾃定的claim。这些claim跟JWT标准规定的claim区别在
于:JWT规定的claim,JWT的接收⽅在拿到JWT之后,都知道怎么对这些标准的claim进⾏验证(还不知道是否能够验证);⽽private
claims不会验证,除⾮明确告诉接收⽅要对这些claim进⾏验证以及规则才⾏。
定义⼀个payload:

{"sub":"1234567890","name":"John Doe","admin":true}

然后将其进⾏base64加密,得到Jwt的第⼆部分

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

签证(signature)
jwt的第三部分是⼀个签证信息,这个签证信息由三部分组成:
header (base64后的)
payload (base64后的)
secret
这个部分需要base64加密后的header和base64加密后的payload使⽤.连接组成的字符串,然后通过header中声明的加密⽅式进⾏加盐
secret组合加密,然后就构成了jwt的第三部分。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95
OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:secret是保存在服务器端的,jwt的签发⽣成也是在服务器端的,secret就是⽤来进⾏jwt的签发和jwt的验证,所以,它就是你服
务端的私钥,在任何场景都不应该流露出去。⼀旦客户端得知这个secret, 那就意味着客户端是可以⾃我签发jwt了。

xdy0426313
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
springboot+security+mybatis+redis+jwt鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
登录 JWT原理剖析 JWT单点登录实例解释
看花容易绣花难
05-01 3047
首先从用登录原理和实讲起,然后引申出JWT登录方式,在详细的讲解了JWT的原理之后我们会通过案例讲解JWT是如何保存用信息。
#登录鉴权——(cookie&session)&JWT
weixin_44813858的博客
09-03 286
express实登录鉴权
SpringBoot集成Spring Security用JWT令牌实登录鉴权的方法
bobozai86的博客
05-23 1767
一、概念 1、什么是JWT Json Web Token (JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519) 该token被设计为紧凑且安全的 特别适用于分布式站点的单点登录(SSO)场景 随着JWT的出 使得校验方式更加简单便捷化 JWT实际上就是一个字符串 它由三部分组成:头部 载荷和签名 用[.]分隔这三个部分 最终的格式类似于:xxxx.xxxx.xxxx 在服务器直接根据token取出保存的用信息 即可对token的可用性进行校验 使得单点登
前端认证登录鉴权--Session 和 JWT简介
桃子阿桃
10-17 3242
Session 工作原理
springcloud gateway集成JWT——实登录鉴权
tang_seven的博客
10-24 7180
springcloud gateway基于jwt token,实登录鉴权
从登陆鉴权到sso(单点登录
weixin_39854011的博客
10-09 1757
session 知识点 http协议是无状态的,所以我们连续访问100次和1次没有区别,都是没有记忆的。所以我们不能让用每次访问网站都登陆一次,session 方案就被提出来了。 通过cookie和session为用建立一次会话,在用授权成时给他一个cookie,是唯一的会话id。比如PHP就会为建立会话的用默认设置一个名为phpsessid,cookie中存有phpsessid,返回给客端,下次用在请求的的时候带这个cookie,服务端就知道刚刚请求过了,不需要再登录了。 那么如何展示用.
鉴权,开放式授权,单点登陆
weixin_30781433的博客
09-12 644
鉴权,开放式授权,单点登陆 鉴权 鉴权(authentication)是指验证用是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是,每个获得密码的用都已经被授权。在建立用时,就为此用分配一个密码,用的密码可以由管理员指定,也可以由用自行申请。这种方式的弱点十分明显:一旦密码被偷或用遗失密码,情况就会十分麻烦,需要管理员对用密码进行重新修改,...
oauth2 单点登录_理解用认证鉴权4-sso 单点登录
weixin_39906521的博客
12-03 269
chromedev:理解用认证鉴权1-cookie session​zhuanlan.zhihu.comchromedev:理解用认证鉴权2-JWT,Token认证​zhuanlan.zhihu.comchromedev:理解用认证鉴权3-oauth2 认证(附 github 登录 demo)​zhuanlan.zhihu.comsso 单点登录单点登录是我这讲的这些认证方式里面最复杂的,实...
SSO单点登录登录流程的鉴权
subsistent的博客
08-13 77
在方位 a.com 时需要登陆的话会重定向到 一个通用登录页面 xxx.com?retrunurl=a 页面 以便登录后回调到原来的链接中 登录后, 认证中心会把我们回调到returnurl 的链接页面并且在后面添加token,将登录状态保存的cookie中 然后a.com页面就会拿回传的 toekn 和服务端确认 token的真实性, 然后返回登陆状态存到 cookie中, 浏览器中就会有认证中心的cookie 了。实使用 iframe。
鉴权大全(cookie、session、token、jwt单点登录),深入理解和搞懂鉴权
qzwzsl的博客
07-18 1348
鉴权大全(cookie、session、token、jwt单点登录),深入理解和搞懂鉴权
oauth2:spring boot security oauth2 jwt整合,搭建一个SSO单点登录系统,认证服务和资源服务分离.....
05-11
spring boot security oauth2 jwt整合,搭建一个SSO单点登录系统,认证服务和资源服务分离...... authentication 认证服务: 对身份的认证和授权 除oauth2默认的4中登录模式外,添加支持自定义模式登录 目前项目支持的...
Sa-Token:这可能是史上能最全的Java权限认证框架!目前已集成——登录认证、权限认证、分布式Session会话、微服务网关鉴权单点登录、OAuth2.0、踢人下线、Redis集成、前后台分离、记住我模式、模拟他人账号、临时身份切换、账号封禁、多账号认证体系、注解式鉴权、路由拦截式鉴权、花式token生成、自动续签、同端互斥登录、会话治理、密码加密、jwt集成、Spring集成、WebFlux集成..
07-23
在线资料Sa-Token 介绍Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题框架集成简单、开箱即用、API设计清爽,通过Sa...
jwt:Flask JWT示例
04-19
能很好的用于跨域认证(前后端分离、单点登录)【应用】。 优点(与session形式相比): 减轻服务器存储压力(不用在服务端存储); 增加信息传输,可以添加更多信息在 token 中; 跨服务器(单点登录)。
一个轻量级 Java 权限认证框架让鉴权变得简单优雅-登录认证权限认证分布式Session会话微服务网关鉴权
04-14
—— 可集成Redis、Memcached等专业缓存中间件,重启数据不丢失分布式会话 —— 提供jwt集成、共享数据中心两种分布式会话方案微服务网关鉴权 —— 适配Gateway、ShenYu、Zuul等常见网关的路由拦截认证单点登录 ...
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 734
都是符合我们的预期的。
java方法重写(重点讲),方法重载
最新发布
weixin_46281068的博客
04-27 811
一、方法重载定义:一个类中,出多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实
m0_73969414的博客
04-23 1724
c++中string的模拟实,面试必会知识点
自定义注解、实自定义幂等性注解
qq_44721738的博客
04-23 976
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
java jwt 单点登录
06-06
通过JWT单点登录技术,用只需要登录一次即可访问多个系统,不需要重复登录,大大提高了用体验和安全性。同时,JWT token的加密和解密需要使用相同的密钥,这也可以更好地保障用信息的安全性。 在Java中,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值