JWT鉴权体系

于 2024-06-02 14:50:27 发布
阅读量359 收藏 6
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiexiaojing/article/details/139409374
版权

引子

7995cf96b81cf5d46cce555f97fd7863.png

对于业务的发展阶段,不同的人对0到100的定义差距很大。上图是我认知里的阶段划分。和很多人的认知相比,我认为的1不是系统搭建起来可用,而是系统已经获得了一定的认可,具备持续运营的条件;下一阶段是高速发展期,系统复杂性增加,业务量指数级增长,甚至应该是在行业处于领先地位才能叫做10;在100的阶段是做到了行业第一。毕竟不是第一怎么敢说给自己打100分呢?100+就像是小学生常规题满分之后的附加题一样,是要有超纲性的,需要在维持行业领头羊基础上孵化出新业务并取得了一定成绩的,比如谷歌,依托于行业翘楚的搜索引擎,孵化出Google Maps、Gmail。

在越往后的阶段,对安全上的要求也会越来越高。对接口安全来说,常考虑的是两个方面,一个是鉴权,一个是加密。鉴权要求高的场景下,常用的是两种体系:一种是OAuth体系,一种是JWT体系。这两种体系根据不同的安全等级,会使用其他安全技术来配合。比如OAuth2.0+openid connect。各种标准的RFC文档可在这个网站找到:https://datatracker.ietf.org/doc/html/rfc6749。我周末读了OAuth2.0和JWT两个文档,共花了5个小时的时间。

c19cce6acc6ad40b523a9bfbade1196e.png

不管是哪种体系,鉴权实际上包含上图流程中的1、传输加密;2、身份认证;3、鉴权三个部分。今天咱们以JWT为例来说明这个体系怎样和其他鉴权方式配合使用。

JWT体系举例

开放平台的权限控制一般来说常使用CBAC。

基于声明的访问控制(Claim-Based Access Control, CBAC):
CBAC 模型强调用户、资源和权限的声明性描述。用户、资源和权限都有一组声明(即属性),系统通过比较这些声明来决定用户是否有权访问资源。CBAC 模型提供了更加灵活和可扩展的权限管理,可以与其他安全模型(如 OAuth、SAML 等)集成。

假设一个开放平台提供以下三个等级的控制声明:

安全等级鉴权方式
开放接口不需要鉴权的接口
低安全接口需要有效的API-KEY
高安全接口需要有效的API-KEY和签名

API-Key:API Key是一种简单的接口鉴权方式,平台分配一个API Key给合作方。合作方通过将API Key放在请求头或URL参数中,服务端验证API Key的合法性。API Key易于实现,但安全性较低,容易被攻击者盗取。

需要签名的鉴权方式一般使用的就是JWT。

SON Web Tokens (JWT):JWT是一个开放标准(RFC 7519),它定义了一种简洁、自包含的方式用于通信双方之间以JSON对象的形式安全地传输信息。JWT常用于身份验证和信息交换场景。

实现JWT的步骤:

1、有效期声明

在JWT规范中,明确规定参数中需要带有效期的声明。比如以下参数timestamp字段就是这个声明的一种实现。

参数取值
symbolBTCUSDT
sideSELL
typeLIMIT
timeInForceGTC
quantity1
price0.2
timestamp1668481559918
recvWindow5000

2、Payload

将参数列表排列成一个 string。用 & 分隔每个参数。对于上述参数,签名 payload 如下所示:

symbol=BTCUSDT&side=SELL&type=LIMIT&timeInForce=GTC&quantity=1&price=0.2&timestamp=1668481559918&recvWindow=5000br

3、计算签名

将签名有效负载编码为 ASCII 数据并使用带有 SHA-256 hash 函数的 RSASSA-PKCS1-v1_5 算法对 payload 进行签名。

这句话信息量比较大,用图来表示:

780bea868e73bea3bb95f44faa4bd4f4.png

计算签名分三步:

  • 第一步:将签名有效负载编码为 ASCII 数据

  • 第二步:将待签名的 M 进行 Hash,JWT规范中建议使用HMAC SHA-256散列算法,得到的字符串,咱们用H代表

  • 第三步:将 H 进行 RSA 私钥加密。RSASSA-PKCS1-v1_5是一种RSA算法实现。

  • 第四步:JWT又分为JWS和JWE,它们的区别白话来讲JWS需要再将得到的字符串做一次base64,而JWE不做这一步。咱们通常都会使用JWS。

具体实现步骤可参考JWT的RFC规范文档实现部分:https://datatracker.ietf.org/doc/html/rfc7519#section-8。

JWT体系总结

JWT鉴权体系和Oauth体系一样,集成了很多身份认证、加密的技术,如:api key、HMAC、RSA。这些本身都可以单独使用,也可以组合使用。

JWT为什么要组合这些技术呢?

JWT 的优点包括它们的大小小、传输速度快,以及它们是自包含的,这意味着在 JWT 本身就包含了所有需要的信息,减少了需要查询数据库的次数。然而,它们也有安全性问题,例如如果密钥被泄露,那么签名的 JWT 可能会被篡改。因此,使用 JWT 时应该采取适当的安全措施,例如使用上面介绍的强密码学算法和确保密钥的安全存储。

编程一生
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vue-koa-mongodb-oss:一个包含前预定鉴权,验证码生成,阿里云上传图片的前定位技术体系,技术栈vue,koa2,mongodb,oss
02-03
基本上整个前前交互的细节都有涉猎,同时也将自己的作品上传到阿里云服务器,是非常适合新手学习和了解整个前前后相互作用的一套技术体系。这里假如你把整个项目弄明白了,那么你将会有以下收获:可以部署自己的服务...
guns-jpa:Guns基于SpringBoot,致力于做更简洁的后台管理系统,完美整合springmvc + shiro + mybatis-plus + beetl + flowable!管理,部门管理,字典管理等10个模块),可以直接作为一个后台管理系统的脚手架。Gunsv3.0添加其余api服务,提供对接服务端接口的支持,并利用jwt token鉴权机制给予客户枪v3.1添加集成工作流引擎flowable6.2.0!枪4.0升级到全新的spring boot 2.0并大大简化了前端资源文件!-源
03-23
枪支v3.0增加剩余api服务,提供对接服务端接口的支持,并利用jwt令牌鉴权机制赋予客户端的访问权限,传输数据进行md5签名保证传输过程数据的安全性! 枪支v4.0更新内容 spring boot升级到2.0.3版本! 升级各个依赖...
JWT认证 鉴权
GY的的专栏
11-01 1754
JWT认证 鉴权
系统设计——系统鉴权设计
庄小焱
08-21 1221
JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。系统中采用JWT的技术来保证整个系统的数据访问的安全性性质。本博文将详细的介绍JWT鉴权服务设计,帮助大家更好的理解和学习JWT原理与使用。
moreco 0.0.1 发布,实现 RBAC、JWT 鉴权等功能
weixin_33967071的博客
03-05 121
moreco 是一个能够为小、中、大型项目提供最合适架构的一条龙生态系统。满足项目从小型到中型至大型的衍变过程。从编码到监控至运维都满足、且各种功能都插件化,支持插件间的切换。 常...
【Go开源宝藏】JWT-Go 鉴权 中间件_fiber jwt(1),【架构师必备】
ccc6553584的博客
04-19 647
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
shiro jwt 构建无状态分布式鉴权体系
linjianchao0316的博客
07-13 237
一:JWT 1、令牌构造 JWT(json web token)是可在网络上传输的用于声明某种主张的令牌(token),以JSON 对象为载体的轻量级开放标准(RFC 7519)。 一个JWT令牌的定义包含头信息、荷载信息、签名信息三个部分: Header//头信息 { "alg": "HS256",//签名或摘要算法 "typ": "JWT"//token类型 } Pl...
微服务鉴权:gateway使用、网关限流使用、用户密码加密、JWT鉴权
独行侠梦的博客
05-24 1620
目标掌握微服务网关Gateway的系统搭建掌握网关限流的实现能够使用BCrypt实现对密码的加密与验证了解加密算法能够使用JWT实现微服务鉴权1.微服务网关Gateway1.1 微服务网关概述不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题:客户端会多次请求不同的微服务,增加了客户端的复杂性存在跨域请求...
鉴权系统搭建(JWT
偷得浮生半日闲
12-18 2751
1.JWT 1.0 为什么要学习JWT? 1.1.简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权限控制的标准解决方案! 官网:https://jwt.io GitHub上jwt的java客户端:https://github.com/jwtk/jjwt 1.2.数据格式 普通的token:32位...
九、整合鉴权体系 Spring Security OAuth2
m0_38075227的博客
06-30 479
八、整合REST APIs文档生成工具 Swagger2 OAuth 一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而不需要将用户名和密码提供给第三方应用。OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站在特定的时段内访问特定的资源。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非所有内容。目前版本是2.0 OAuth2 OAuth
springboot+shiro+jwt完成用户鉴权
高振的博客
04-25 1197
整体思路主要是利用shiro的鉴权机制,自定义鉴权的方法: 1、登录接口,验证登录信息后,通过JWTUtil生成token,通过JWTtoken对象(实现AuthenticationToken中接口)存入subject中 2、接口拦截逻辑,通过shiroConfig的shiroFilter确定匹配规则,在匹配规则上匹配访问的路径需要走自定义的JwtFilter(关键代码filterChainDefinitionMap.put("/**", "jwt");) 3、自定义的JwtFiler主要是为了获取t
由浅入深掌握Shiro权限框架资料.zip
07-31
详细的资料(统一鉴权模块、shiro的创建机制、Shiro相关数据库脚本、shiro知识体系图谱)、每个知识点的源代码 学习目标: 1、权限系统的整体概念;2、shiro权限框架的核心组件;3、springboot下shiro的使用; 4、...
sa-token:这可能是史上功能最全的Java权限认证框架!目前已集成-登录验证,权限验证,会话会话,踢人下线,分布式会话,单点登录,OAuth2.0,记住我模式,模拟公众账号,临时身份切换,集成Redis,多账号认证体系,前后台分离模式,注解式鉴权,路由拦截式鉴权,花式令牌生成,自动续签,同端互斥登录,会话治理,密码加密,jwt集成,Spring集成..
04-02
sa-token v1.15.2这可能是史上功能最全的Java权限认证框架!在线资料Sa-Token是什么? sa-token是一个轻量级Java权限认证框架,主要解决:登录认证,权限认证,会话会话,单点登录,OAuth2.0等长度权限相关问题框架...
Sa-Token:这可能是史上功能最全的Java权限认证框架!目前已集成——登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0、踢人下线、Redis集成、前后台分离、记住我模式、模拟他人账号、临时身份切换、账号封禁、多账号认证体系、注解式鉴权、路由拦截式鉴权、花式token生成、自动续签、同端互斥登录、会话治理、密码加密、jwt集成、Spring集成、WebFlux集成..
07-23
在线资料Sa-Token 介绍Sa-Token是一个轻量级Java权限认证框架,主要解决:登录认证、权限认证、Session会话、单点登录、OAuth2.0、微服务网关鉴权 等一系列权限相关问题框架集成简单、开箱即用、API设计清爽,通过Sa...
卫星网络容器仿真平台+TC流量控制+SRS&ffmpeg推流.zip
06-25
卫星网络容器仿真平台+TC流量控制+SRS&ffmpeg推流
基于AI框架的智能工厂设计思路.pptx
06-25
基于AI框架的智能工厂设计思路.pptx
基于微信小程序的健身房私教预约系统(免费提供全套java开源毕业设计源码+数据库+开题报告+论文+ppt+使用说明)
最新发布
06-25
自2014年底以来,体育产业政策红利接踵而至。在政府鼓励下,一系列体育产业政策出现,加之资本的投入使得优质的内容和商品大幅度的产生,以及居民健康意识的加强和参与大众体育的热情,使得体育产业进入了黄金发展期。大众健身作为体育产业的一部分,正如火如茶的发展。谈及健身领域,最重要的两个因素就是健身场地和教练管理,在互联网时代下,专业的健身商品也成为企业发展重要的桎梏。2016年6月3日国务院印发的《全面健身计划(2016-2020年)》中提到:“不断扩大的健身人群、支持市场涌现适合亚洲人的健身课程、专业教练管理培养机构、专业健身教练管理以及体验良好的健身场所。 健身房私教预约的设计主要是对系统所要实现的功能进行详细考虑,确定所要实现的功能后进行界面的设计,在这中间还要考虑如何可以更好的将功能及页面进行很好的结合,方便用户可以很容易明了的找到自己所需要的信息,还有系统平台后期的可操作性,通过对信息内容的详细了解进行技术的开发。 健身房私教预约的开发利用现有的成熟技术参考,以源代码为模板,分析功能调整与健身房私教预约的实际需求相结合,讨论了基于健身房私教预约的使用。  关键词:健身房私教预约小程
基于微信小程序的高校寻物平台(免费提供全套java开源毕业设计源码+数据库+开题报告+论文+ppt+使用说明)
06-25
随着信息技术在管理上越来越深入而广泛的应用,管理信息系统的实施在技术上已逐步成熟。本文介绍了基于微信小程序的高校寻物平台的开发全过程。通过分析基于微信小程序的高校寻物平台管理的不足,创建了一个计算机管理基于微信小程序的高校寻物平台的方案。文章介绍了基于微信小程序的高校寻物平台的系统分析部分,包括可行性分析等,系统设计部分主要介绍了系统功能设计和数据库设计。 本基于微信小程序的高校寻物平台有管理员,用户以及失主三个角色。管理员功能有个人中心,用户管理,失主管理,寻物启示管理,拾物归还管理,失物招领管理,失物认领管理,公告信息管理,举报投诉管理,系统管理等。用户功能有个人中心,寻物启示管理,拾物归还管理,失物招领管理,失物认领管理等。失主功能有个人中心,寻物启示管理,拾物归还管理,失物招领管理,失物认领管理,举报投诉管理等。因而具有一定的实用性。 本站后台采用Java的SSM框架进行后台管理开发,可以在浏览器上登录进行后台数据方面的管理,MySQL作为本地数据库,微信小程序用到了微信开发者工具,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得基于微信小程序的高校寻物平
express jwt 鉴权
03-30
Express JWT 鉴权是一种通过 JSON Web Tokens (JWT) 实现的身份验证和授权机制,用于保护 Express 应用程序中的端点或路由。 JWT 是一个安全的标准,用于在客户端和服务器之间传输信息。它由三部分组成:头部、载荷和签名。头部描述了令牌的类型以及所使用的算法,载荷包含了用户信息和其他元数据,签名用于验证令牌的完整性。 在 Express 应用程序中,JWT 鉴权需要使用中间件来验证用户的身份。当用户登录时,服务器会生成一个 JWT,并将其发送回客户端。客户端将 JWT 存储在本地,并在每次请求时将其发送回服务器。服务器使用 JWT 中的信息来验证用户的身份,并根据权限授予或拒绝访问。 要实现 Express JWT 鉴权,可以使用第三方库如 passport-jwt 或 express-jwt。这些库提供了简单易用的中间件,可以快速地添加 JWT 鉴权到 Express 应用程序中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值