oauth2.0系统学习2-理论基于token的认证方式

最新推荐文章于 2024-03-02 16:44:24 发布
最新推荐文章于 2024-03-02 16:44:24 发布
阅读量549 收藏
点赞数
分类专栏: oauth2.0 文章标签: http restful java
原文链接:https://blog.csdn.net/zhou920786312/article/details/109391458
版权

oauth2.0系统学习2-理论基于token的认证方式

一、理论:基于token的认证方式

1.1、优点

  1. 服务端不用存储认证数据,易维护扩展性强
  2. 客户端可以把token存在任意地方、
  3. 适合统一认证的机制,客户端、一方应用、三方应用都遵循一致的认证机制
  4. token认证方式对第三方应用接入更适合,因为它更开放,可使用当前有流行的开放协议Oauth2.0、JWT等.
  5. 一般情况服务端无需存储会话信息,减轻了服务端的压力。

1.2、缺点

  1. token由于自包含信息,因此一般数据量较大,而且每次请求都需要传递,因此比较占带宽。
  2. token的签名验签操作会给cpu带来额外的处理负担

1.3、分布式系统认证技术方案见下图

在这里插入图片描述

流程描述:

  1. 用户通过接入方(应用)登录,接入方采取OAuth2.0方式在统一认证服务(UAA)中认证。

  2. 认证服务(UAA)调用验证该用户的身份是否合法,并获取用户权限信息。

  3. 认证服务(UAA)获取接入方权限信息,并验证接入方是否合法。

  4. 若登录用户以及接入方都合法,认证服务生成jwt令牌返回给接入方,其中jwt中包含了用户权限及接入方权限。

  5. 后续,接入方携带jwt令牌对API网关内的微服务资源进行访问。

  6. API网关对令牌解析、并验证接入方的权限是否能够访问本次请求的微服务。

  7. 如果接入方的权限没问题,API网关将原请求header中附加解析后的明文Token,并将请求转发至微服务。

  8. 微服务收到请求,明文token中包含登录用户的身份和权限信息。

后续微服务干两件事:

  1. 用户授权拦截(看当前用户是否有权访问该资源)

  2. 将用户信息存储进当前线程上下文(有利于后续业务逻辑随时获取当前用户信息)

1.4、pring-Security-OAuth2

  1. 对OAuth2的一种实现

  2. OAuth2.0的服务提供方涵盖两个服务

    1. 授权服务: AuthorizationServer,也叫认证服务

    2. 资源服务:ResourceServer

001)、授权服务

  1. 包含对接入端以及登入用户的合法性进行验证并颁发token等功能,对令牌的请求端点由SpringMVC控制器进行实现,下面是配置一个认证服务必须要实现的endpoints:

    1. AuthorizationEndpoint:认证请求

      1. 默认url:/oauth/authorize

    2. TokenEndpoint:访问令牌的请求

      1. 默认url:/oauth/token

002)、资源服务

  1. 应包含对资源的保护功能,对非法请求进行拦截,对请求中token进行解析鉴权等,下面的过滤器用于实现OAuth2.0资源服务

    1. OAuth2AuthenticationProcessingFilter

      1. 用来对请求给出的身份令牌解析鉴权。
ylx814056815
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0资源服务器之校验Token配置
北辰
09-06 2805
资源服务器在获取到了客户端发送过来的token后,做的第一件事情就是校验该token的真伪性,如果token校验不通过,则不允许调用对应的接口。 当前Spring Cloud与OAth2.0整合的版本依赖为: <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId>
andpods授权码订单号分享_微信OAuth2授权登录
weixin_39647787的博客
11-23 5137
前言 第三方登录是应用开发中的常用功能,通过第三方登录,我们可以更加容易使用户登录我们的应用或者网站。很多网站都提供了第三方登录的功能,在他们的官网中,都提供了如何接入第三方登录的文档。但是,假如不同的网站文档差别极大,那么对于不了解第三方登录的手来说,实现一个支持多网站第三方登录的功能可以说是极其痛苦。实际上,大多数网站提供的第三方登录都遵循OAuth协议,虽然大多数网站的细节处理都...
浪微博Oauth2.0授权 获取Access Token以及API的使用
热门推荐
Eliot
05-10 2万+
今天需要使用浪微博提供的API获取微博的详细信息以及用户的详细信息,所以需要使用API中的/statuses/show接口。 使用浪微博API的前提是需要浪微博开放平台注册一个应用,获得App Key和App Secret,然后再根据这两个获取Access Token。下面详细介绍如何获取Access Token以及如何使用浪微博提供的API。 一、获取Access Token 1
oauth2.0--基础--02--基于token认证方式
zhou920786312的博客
10-30 2163
二、理论:基于token认证方式 2.1、优点 服务端不用存储认证数据,易维护扩展性强 客户端可以把token存在任意地方、 适合统一认证的机制,客户端、一方应用、三方应用都遵循一致的认证机制 token认证方式对第三方应用接入更适合,因为它更开放,可使用当前有流行的开放协议Oauth2.0、JWT等. 一般情况服务端无需存储会话信息,减轻了服务端的压力。 2.2、缺点 token由于自包含信息,因此一般数据量较大,而且每次请求都需要传递,因此比较占带宽。 token的签名验签操作会给cpu带来额外
(四)Spring Security Oauth2.0 源码分析--客户端端鉴权(token校验)
Instanceztt的博客
12-06 2810
在上篇文章我们分析了token的获取过程,那么拿到token后,将token放在请求头中进行资源的访问,客户端是如如何对token进行解析的呢,本文带你走进token校验的源码解析,基本流程如下所示 请求被FilterChainProxy拦截到(ps:通过前面的文章查看其底层原理),通过作为权限校验的入口进行token校验 三 认证服务器根据token鉴权 1 首先进入BasicAuthenticationFilter,对clientId进行校验(这里不做分析 参考上篇文章) 2、然后进入Che
基于OAuth2.0协议的智慧校园认证系统研究.pdf
01-02
为了解决这一问题,基于OAuth2.0协议的智慧校园认证系统应运而生。OAuth2.0协议是一种开放标准,主要用于授权,它允许第三方应用在用户无需透露自己的密码的情况下,安全地访问其受保护的资源。 OAuth2.0协议的核心...
oidc-oauth2-workshop
04-11
2. **OAuth2.0授权**:学习OAuth2.0的基本概念,如访问令牌(Access Token)、刷令牌(Refresh Token)、授权码(Authorization Code)以及不同类型的令牌如何在客户端和服务端之间交换。 3. **客户端实现**:...
毕业设计-基于SDN的web认证与访问控制策略,管理系统的前端实现.zip
12-31
这通常涉及到HTTP基本认证OAuth2.0、JWT(JSON Web Token)等认证方式,提供了安全的用户登录和授权机制。 3. **访问控制策略**:系统支持定义和实施复杂的访问控制策略,如ACL(Access Control List)、QoS...
基于微信小程序的校园商铺系统--论文.rar
最新发布
03-13
5. 用户认证与授权:OAuth 2.0、JWT(JSON Web Token)等认证机制在微信小程序中的应用。 6. RESTful API设计:理解RESTful架构的原则,如何构建清晰、可预测的接口。 7. Android APP开发:虽然不是主要部分,但...
基于ssm的一起学网校系统源码数据库.zip
02-19
1. 认证与授权:系统可能采用OAuth2.0、JWT(JSON Web Token)等方式进行用户身份验证和权限控制。 2. 防止SQL注入和XSS攻击:通过预编译SQL、过滤输入数据等方式保障系统安全。 总结,这个项目展示了如何综合运用...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
httpclient请求oauth服务器中的token
07-23
使用HttpClient获取oAuth2.0中的、token及refreshToken
springsecurity-oauth2令牌 access_token验证
clonetx的博客
06-21 4186
springsecurity oauth2 令牌access_token验证源码分析
oauth2.0的 /oauth/token是配制就有的吗?它会自动返回token吗?在哪里使用呢
mywaya2333的博客
03-02 1052
拿到 OAuth 2.0 的访问令牌(access token)后,客户端可以使用该令牌来访问受保护的资源服务器(Resource Server)。如果 OAuth 2.0 授权服务器支持多个资源服务器或者不同类型的资源,客户端可以使用同一个访问令牌来访问不同的资源,只要这些资源服务器都信任该授权服务器颁发的访问令牌。总之,访问令牌是客户端与资源服务器之间进行安全通信的重要凭证,用于证明客户端的身份并获取访问受保护资源的权限。资源服务器会验证访问令牌的有效性,并根据令牌中的权限信息来授权用户对资源的访问。
Oauth2.0 认证
m0_62943934的博客
12-09 1507
Oauth2.0 是非常流行的网络授权表准,已经广泛应用在全球范围内,比较大的公司,如腾讯等都有大量的应用场景。
OAuth2.0
Meiko记录
06-21 252
一、OAuth2.0 为何物 OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。 OAuth2.0 是OAuth 协议的一个版本,有2.0版本那就有1.0版本,有意思的是OAuth2.0 却不向下兼容OAuth1.0 ,相当于废弃了1.0版本。 举个小栗子解释一下什么是 OAuth 授权? 在家肝文章饿了定了一个外卖,外卖小哥30秒火速到达了我家楼下,奈何有门禁进不来,可以
【全栈开发指南】OAuth2授权获取token调试接口的方式
全栈程序猿的专栏
07-07 8250
在我们实际应用接口的调用调试过程中,需要用到token或者刷token,GitEgg支持OAuth2.0协议进行认证授权,这里介绍说明如何通过Postman获取token和refresh_token并进行接口调试。
SAP PI/PO 使用OAuth 2.0 授权验证 ( REST Sender )
weixin_48857357的博客
01-04 1423
OAuth原理其实蛮简单的,找了张图,能看得很清楚。概括性的讲,就是用户会被提供一个密钥。1.用户在访问接口之前,需要先调用授权接口,传入密钥等参数,授权服务器会返回一个token。2.用户在拿到token之后,方可正式访问业务接口,访问的同时传入step1拿到的token至于NW内部的工作机制,看看下图基本就懂了。三、实战一下。
Oauth2协议中如何对accessToken进行校验
飘渺Jam的博客
07-04 3799
大家好,我是飘渺。今天我们来聊聊oauth2.0的accesstoken校验逻辑。概述本文来自球友Never Sett* 的提问看完这个问题,我感觉读者对于accesstoken的校验逻辑不太清楚,所以特意写了这篇文章解释一下。首先我们要知道Oauth2是一个授权协议,客户端访问某个被保护的资源之前,需要先通过认证服务器获取accesstoken,而后通过在请求头上带上a......
OAuth2.0授权机制详解-安全与复杂性分析
"OAuth2.0中文译本,授权响应,计算复杂性与算法分析" OAuth2.0是一种广泛使用的授权框架,旨在让第三方应用程序安全地访问用户在其他服务上的数据,无需获取用户的用户名和密码。它允许用户授权第三方应用在用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值