如何使用JWT和RSA非对称加密进行授权认证单点登录

最新推荐文章于 2024-07-15 16:44:14 发布
置顶 最新推荐文章于 2024-07-15 16:44:14 发布
阅读量1.9k 收藏 11
点赞数 3
分类专栏: java 文章标签: jwt rsa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiannbi/article/details/106151306
版权

认证流程

  1. 集中式认证流程
    在这里插入图片描述
  2. 分布式认证流程
    在这里插入图片描述

分布式认证

  1. 有状态登录:服务器需要存储token
  2. 无状态登录:服务器不用存储token

什么是有状态

  • 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。
  • 缺点:
    1. 服务器需要保存大量数据,压力大
    2. 服务端保存用户状态,无法进行水平扩展
    3. 客户端请求依赖服务端,多次请求必须访问同一台服务器,因为只有一台服务器保存着用户的信息

什么是无状态

  • 服务端不保存任何客户端请求者信息
  • 好处:
    1. 客户端请求不依赖服务端的信息,任何多次请求不需要必须访问到同一台服务,服务端没有保存用户信息.
    2. 减轻服务器压力

无状态单点登录方案

无状态登录流程:

  • 当客户端第一次请求服务时,服务端对用户进行信息认证(登录)
  • 认证通过,将用户信息进行加密形成token,返回给客户端,作为登录凭证
  • 以后每次请求,客户端都携带认证的token
  • 服务的对token进行解密,判断是否有效。
    在这里插入图片描述
    在这个过程中,无可厚非就是要token安全性,因为token是识别客户端身份的唯一标示,如果加密不够严密,被人伪造那就完蛋了。
    我们采用JWT+RSA非对称加密

如之前没有接触过JWT的可以简单了解下JWT的数据结构

JWT登录授权和鉴权流程

在这里插入图片描述

  • 授权流程

    • 1、用户请求登录,携带用户名密码到授权中心
    • 2、授权中心携带用户名密码,到用户中心查询用户
    • 3、查询如果正确,生成JWT凭证
    • 4、返回JWT给用户

  • 鉴权流程

    • 1、用户请求某微服务功能,携带JWT
    • 2、微服务将jwt交给授权中心校验
    • 3、授权中心返回校验结果到微服务
    • 4、微服务判断校验结果,成功或失败
    • 5、失败则直接返回401
    • 6、成功则处理业务并返回

因为JWT签发的token中已经包含了用户的身份信息,并且每次请求都会携带,这样服务的就无需保存用户信息,甚至无需去数据库查询,完全符合了Rest的无状态规范。

但是这并不完美,用户访问我们的网站,一次授权后,以后访问微服务都需要鉴权,那么每次鉴权都需要访问授权中心,一个用户请求,被分解为2次请求才能完成,效率比较低。

如果我们只要在微服务就完成鉴权,那就不要再访问授权中心**这就要用到RSA非对称加密技术了。**

需提前了解RSA非对称加密

非对称加密验签

有了非对称加密,我们就可以改变签名和验签的方式了:

  • 生成RSA密钥对,私钥存放在授权中心,公钥下发给微服务
  • 在授权中心利用私钥对JWT签名
  • 在微服务利用公钥验证签名有效性

因为非对称加密的特性,不用担心公钥泄漏问题,因为公钥是无法伪造签名的,但要确保私钥的安全和隐秘

非对称加密后的授权和鉴权流程:
在这里插入图片描述
我们可以发现,鉴权过程简化了

可以参考该文章使用RSA生成私钥和公钥

可以参考该文章用RSA对JWT生成的token进行加密

上面的两篇文章与本文章是对应的

老白酒,用心酿
关注
专栏目录
Spring Cloud Security实现单点登录JWT+RSA
鱼获飞的博客
01-22 3000
JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范, 可实现无状态、分布式的Web应用授权;官网:https://jwt.io JWT包含三部分数据: –Header:头部,通常头部有两部分信息: 声明类型,这里是JWT 加密算法,自定义 我们会对头部进行base64加密(可解密),得到第一部分数据 –Payload:载荷,就是有效数据,一般包含下面信息: ...
单点登录(SSO)实战,基于非对称加密双向RSA + AES加密
weixin_44951037的博客
11-15 2916
文章目录前言非对称性加密,双向加密(RSA+AES)单点登录(SSO)解决方案 前言 关于单点登录(SSO)网上也有很多帖子,但是以我个人的角度来看,大多都是一知半解,看完一圈也还是懵的,而且基本上都是理念,实实在在的去实践的基本上没有,而且内容基本上就是一模一样,这篇文章给大家也是提供一个单点登录的解决方案,至少看完和实践完之后,你知道大概怎么去实现,我这种实现方案也只适用于两个服务之间的通信登录,但是我认为哪有那么多的大型服务通信,又不是人人项目皆淘宝 非对称性加密,双向加密(RSA+AES) 本文
使用 JWT+RSA 完成微服务分布式系统下单点登录功能
Calm 的博客
11-23 558
首先来看看有状态和无状态是什么。 无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求 的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记 录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户 的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保
Java RSA加密算法 + Jwt创建token
最新发布
qq_41204268的博客
07-15 291
【代码】Java RSA加密算法 + Jwt创建token。
生成JWTRSA非对称加密秘钥
qq_41853447的博客
04-25 2959
生成JWTRSA非对称加密秘钥 非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用私钥对数据进行加密,只有用对应的公钥才能解密。 文件使用JDK自带的 keytool工具生成。 一、生成秘钥证书 首先看一下 keytool命令下的参数。 需要查询某个命令下的参数,可以在该命令后面添加 -h查询。例如:查询...
JWTRSA非对称加密的原理及其在微服务中的应用
dianemax
06-05 6570
文章目录1 有状态登录2 无状态登陆3 如何实现无状态4 JWT4.1 数据格式4.2 JWT交互流程5 RSA加密5.1 加密技术5.1没有RSA加密时5.2 结合RSA的鉴权 目前我们创建了若干个微服务,假如我们在用户中心做了登陆,接下来要去商品详情页添加商品,此时就要跳转到购物车微服务,但是购物车微服务和用户微服务不是同一台tomcat,之前判断登录状态是通过tomcat session...
JwtRSA非对称加密
xiazhiyou
06-05 9743
JwtRSA加密1. 无状态登录原理1.1 什么是有状态?1.2 什么是无状态1.3 如何实现无状态1.4 JWT1.4.1 简介1.4.2 数据格式1.4.3 JWT交互流程1.4.4 非对称加密1.5 结合Zuul的鉴权流程1.5.1 没有RSA加密时1.5.2 结合RSA的鉴权 1. 无状态登录原理 在分布式系统当中,传统的登录会失效(原因:各微服务间用的不是同一台tomcat,我们以前登...
Java校园淘项目实战(1)————JWT+RSA非对称加密生成token
China_TomCat的博客
10-12 1367
springCloud环境配置好了,接下来就是先把工具类写好,因为接下来要写用户接口微服务,所有打算先把密钥工具类和生成token的工具类写好。 (1)yml配置,里面声明了公钥和私钥存放的地方。 server: port: 10021 spring: application: name: commons-service eureka: client: service-url: defaultZone: http://127.0.0.1:10086/eureka/
SpringSecurityOauth2授权模式与使用RSA非对称加密方式生成公钥私钥
DreamsArchitects的博客
11-17 5322
文章目录一、用户认证分析1.1 认证授权身份认证用户授权1.2 单点登录1.3 第三方登录二、认证技术方案了解(单点登录+第三方授权认证)2.1单点登录技术方案2.2 Oauth2认证三、SpringSecurity Oauth2.0入门导入依赖Oauth2授权模式授权码模式授权四、公钥私钥加密解密生成证书mac下载openssl安装openssl方式一 使用brew命令安装openssl方式二导出公钥基于私钥生成jwt令牌 一、用户认证分析 上面流程图描述了用户要操作的各个微服务,用户查看个人信息需要
非对称加密(一)
qq_41799182的博客
11-06 346
非对称加密 1. 对称加密的弊端’ 秘钥分发困难 可以通过非对称加密完成秘钥的分发 https Alice 和 Bob通信, Alice给bob发送数据, 使用对称加密的方式 生成一个非对称的秘钥对, bob生成 bob将公钥发送给alice alice生成一个用于对称加密的秘钥 alice使用bob的公钥就对称加密的秘钥进行加密, 并且发送给bob bob使用私钥就数据解密, 得到对称加密的秘钥 通信的双方使用写好的秘钥进行对称加密数据加密 2. 非对称加密的秘钥 不存在秘钥分发困
新版前后端接口安全技术JWT+RSA加密
06-18
【课程介绍】 ? ? ?课程目标:? ? ? ? ? ? ?- 有状态登录和无状态登录的区别? ? ? ? ? ? ?- 常见的非对称加密算法和非对称的加密方式? ? ? ? ? ? ?- 老版本只使用jwt进行加密的弊端? ? ? ? ? ? ?- 授权中心的授权流程? ? ? ? ? ? ?- 如何整合网关组件实现jwt安全验证? ? ? ? ? ? ?- 理解什么是公钥什么是私钥 ? ? ?- 深刻理解授权流程什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。缺点是什么?- 服务端保存大量数据,增加服务端压力- 服务端保存用户状态,无法进行水平扩展- 客户端请求依赖服务端,多次请求必须访问同一台服务器。什么是无状态? 微服务集群中的每个服务,对外提供的都是R
加密算法---RSA 非对称加密原理及使用
weixin_43811057的博客
02-28 1048
非对称加密算法中,有两个密钥:公钥和私钥。它们是一对,如果用公钥进行加密,只有用对应的私钥才能解密;如果用私钥进行加密,只有用对应的公钥才能解密。非对称加密算法实现机密信息的交换过程为:甲方生成一对密钥并将其中一个作为公钥向其他方公开;得到该公钥的乙方使用该密钥对机密信息进行加密后发送给甲方;甲方再用自己的另一个专用密钥对加密后的信息进行解密。最有名的非对称加密算法当属 RSA 了,本文将对 RSA 算法的加/解密过程进行详细剖析。非对称加密拥有两把密钥。
rsa算法非对称加密登录
VringSbsda的博客
02-21 462
rsa非对称加密进行登录 对称加密:即加密解密的都是一个秘钥(eg:DES),也就是说他是暴露在外面的可以被拦截,所以相对不够安全 非对称加密:就分为私钥和公钥,用其中一个进行加密则要用另一个来解密(eg:RSA,ECC),这种只有公钥是暴露的,但是解密的私钥是隐藏的,最好再搞个定时任务去更新秘钥,这就比对称加密要安全很多了 关于对称加密和非对称加密比较详细的概念理解:https://blog.c...
深入浅出用户认证鉴权---使用非对称加密算法加密登录
星丶空灬的博客
10-15 2897
深入浅出用户认证鉴权使用非对称加密算法加密登录面临的问题明文密码登录MD5/BASE64 加密登录解决方案对称加密与非对称加密对称加密非对称加密登录过程中的使用 使用非对称加密算法加密登录 面临的问题 明文密码登录 被抓包后泄露用户密码 攻击者模拟登录 MD5/BASE64 加密登录 可通过抓包获取加密后的密文,进而模拟登录 解决方案 对称加密与非对称加密 对称加密 需要对加密和解密使用...
非对称加密RSA是怎么加密的?
热门推荐
LoveSummer
10-21 2万+
前几天刚刚说了这个,因为 MD5 也确实用的人不是很多了,就不再继续的一一赘述了,今天就给大家分享的,是非对称加密中的一种,那就是 RSA 加密算法。
无状态单点登录方案--jwt+rsa
LC的博客
01-11 3299
无状态单点登录方案–jwt+rsa思路: jwt(token格式)+RSA(非对称对token进行加密)+rsa(生成公、私钥;私钥加密,公钥解密) 分布式认证流程分为两种: 有状态登录:服务器需要存储token 无状态登录:服务器不用存储token #无状态登录的流程: 当客户端第一次请求服务时,服务端对用户进行信息认证登录认证通过,将用户信息进行加密形成token,返回给客户端,作为登录凭证 以后每次请求,客户端都携带认证的token 服务的对token进行解密,判断是否有效。 流程图: 整
公钥私钥的生成和node中jwt非对称加密的实现
HOMEXS的博客
02-04 653
node
RSA非对称加密使用方式与原理浅析
dream_caoyun的博客
11-26 2234
一、非对称加密的简述: 非对称加密,顾名思义加解密用的不是同一个密钥(如此我们也能很通俗的对照理解对称加密,显然它后者是加解密为同一个密钥),那么非对称加密就得用俩个密钥,一个叫公钥,任何人都能够去获取,一个叫私钥,不会四处乱传输,保留在一个认定安全的区域,公钥和私钥任意一方加密,只能由另一方解密,自己也是无法解密的,目前全球的数据安全测试中密钥大于1024的密钥还没有人宣称能够破解,因此是安全级别很高的加密算法,关于非对称加密的历史由来可以百度,有很详细的介绍,是美国很厉害的计算机大师和数学家设计出来的。
请给出flask_jwt_extended使用RSA非对称加密的详细示例
06-10
flask_jwt_extended是一个用于Flask应用程序的JSON Web Token (JWT)扩展,它可以帮助你轻松地保护你的API。下面是一个使用RSA非对称加密的示例: 1. 安装所需的依赖 ``` pip install flask flask_jwt_extended cryptography ``` 2. 生成RSA密钥对 ``` from cryptography.hazmat.primitives.asymmetric import rsa, padding from cryptography.hazmat.primitives import serialization private_key = rsa.generate_private_key( public_exponent=65537, key_size=2048, ) public_key = private_key.public_key() # 保存私钥 with open('private_key.pem', 'wb') as f: f.write(private_key.private_bytes( encoding=serialization.Encoding.PEM, format=serialization.PrivateFormat.PKCS8, encryption_algorithm=serialization.NoEncryption() )) # 保存公钥 with open('public_key.pem', 'wb') as f: f.write(public_key.public_bytes( encoding=serialization.Encoding.PEM, format=serialization.PublicFormat.SubjectPublicKeyInfo )) ``` 3. 使用RSA密钥对进行JWT签名和验证 ``` from flask import Flask, jsonify from flask_jwt_extended import JWTManager, create_access_token, jwt_required from cryptography.hazmat.primitives import serialization from cryptography.hazmat.backends import default_backend app = Flask(__name__) app.config['JWT_SECRET_KEY'] = 'super-secret' # 这个密钥不用于签名,只用于加密 app.config['JWT_ALGORITHM'] = 'RS256' jwt = JWTManager(app) # 加载RSA密钥 with open('private_key.pem', 'rb') as f: private_key = serialization.load_pem_private_key( f.read(), password=None, backend=default_backend() ) with open('public_key.pem', 'rb') as f: public_key = serialization.load_pem_public_key( f.read(), backend=default_backend() ) @app.route('/login') def login(): access_token = create_access_token( identity='user_id', algorithm='RS256', private_key=private_key ) return jsonify(access_token=access_token) @app.route('/protected') @jwt_required(algorithms=['RS256'], public_key=public_key) def protected(): return jsonify({'message': 'protected'}) if __name__ == '__main__': app.run() ``` 在这个示例中,我们使用RSA非对称加密算法来对JWT进行签名和验证。在生成JWT时,我们使用私钥来签名,而在验证JWT时,我们使用公钥来验证签名。使用RSA非对称加密算法可以更安全地保护JWT
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值