【方向盘】通俗易懂版讲解JWT和OAuth2,以及他俩的区别和联系(Token鉴权解决方案)(中)

最新推荐文章于 2024-06-15 12:03:08 发布
最新推荐文章于 2024-06-15 12:03:08 发布
阅读量735 收藏
点赞数 1
分类专栏: Spring Security JWT Spring 文章标签: java servlet 服务器
原文链接:https://developer.aliyun.com/article/907238
版权
Spring 同时被 3 个专栏收录
127 篇文章 2 订阅
订阅专栏
Spring Security
26 篇文章 1 订阅
订阅专栏
JWT
4 篇文章 0 订阅
订阅专栏

简介: 【方向盘】通俗易懂版讲解JWT和OAuth2,以及他俩的区别和联系(Token鉴权解决方案)(中)

Java中使用JWT

<!--引入JWT依赖,由于是基于Java,所以需要的是java-jwt-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>
        <dependency>
            <groupId>com.auth0</groupId>
            <artifactId>java-jwt</artifactId>
            <version>3.4.0</version>
        </dependency>

具体简单应用,参考博文:JWT在JAVA项目中的简单实际应用

详解OAuth2.0是什么(通俗易懂版)

OAuth简单说就是一种授权的协议,只要授权方和被授权方遵守这个协议去写代码提供服务,那双方就是实现了OAuth模式。

举个例子

你想登录豆瓣去看看电影评论,但你丫的从来没注册过豆瓣账号,又不想新注册一个再使用豆瓣,怎么办呢?不用担心,豆瓣已经为你这种懒人做了准备,用你的qq号可以授权给豆瓣进行登录,请看:

第一步:在豆瓣官网点击用qq登录

第二步:跳转到qq登录页面输入用户名密码,然后点授权并登录

第三步:跳回到豆瓣页面,成功登录

我们发现,我们竟然用QQ帐号登录进了豆瓣的系统里。到底发生了什么?

    小白视角(只会看表面现象):

    就是在豆瓣官网上输了个qq号和密码就登录成功了。在一些细心的用户视角看来,页面经历了从豆瓣到qq,再从qq到豆瓣的两次页面跳转。

    上帝视角(程序员专业视角):

    简单来说,上述例子中的豆瓣就是客户端,QQ就是认证服务器,OAuth2.0就是客户端和认证服务器之间由于相互不信任而产生的一个授权协议。

呵呵,要是相互信任那QQ直接把自己数据库给豆瓣好了,你直接在豆瓣输入qq账号密码查下数据库验证就登陆呗,还跳来跳去的多麻烦

其实整个过程,用下面这一张图,就能上帝视角很清晰的看出来端倪:

备注:所用到的请求路径名称都是虚构的,所附带的请求参数忽略了一些非重点的。

1.第一步:在豆瓣官网点击用qq登录

当你点击用qq登录的小图标时,实际上是向豆瓣的服务器发起了一个 http://www.douban.com/leadToAuthorize 的请求,豆瓣服务器会响应一个重定向地址,指向qq授权登录

浏览器接到重定向地址 404 您访问的页面找不到了_腾讯网,再次访问。并注意到这次访问带了一个参数是callback,以便qq那边授权成功再次让浏览器发起这个callback请求。不然qq怎么知道你让我授权后要返回那个页面啊,每天像豆瓣这样的需要QQ授权的网站这么多。

2.第二步:跳转到qq登录页面输入用户名密码,然后点授权并登录

上一步中浏览器接到重定向地址并访问 404 您访问的页面找不到了_腾讯网

这时候来到的页面是QQ这边的登录授权页面。当访问QQ服务器验证用户名密码成功后,该方法会响应浏览器一个重定向地址,并附上一个code(**授权码**)。而这个授权码,就是豆瓣这边关心的了,因为豆瓣才不管QQ那边是怎么授权的呢。

3. 第三步:跳回到豆瓣页面,成功登录

这一步背后的过程其实是最繁琐的,但对于用户来说是完全感知不到的(所以你看页面上消耗的时间一般都比较长,长达好几秒)。用户在QQ登录页面点击授权登陆后,就直接跳转到豆瓣首页了,但其实经历了很多隐藏的过程。

QQ服务器在判断登录成功后,使页面重定向到之前豆瓣发来的callback的URL并且附上QQ自己提供的code授权码,即 callback=www.douban.com/callbackwithauthcode

当发送这个请求到豆瓣的服务器的时候,就复杂了,主要做了两件事(模拟了两次请求):

1.用拿到的授权码code去换token(和QQ服务器交互)

2.用拿到的token换取用户信息,比如用户名、头像等等信息(和QQ服务器交互)

最后信息拿到后,豆瓣这边就把你的信息存下来,返回到首页给你看。这样就完成了一套完整的授权。QQ服务器成功的把你的qq信息授权交给豆瓣了,完美

编码实现

其实Spring和OAuth是可以完美融合的使用的。Spring Cloud官方更是提供了starter进行天然支持。

具体编码过程,本文不做详解,具体参考博文:

基于Srping security

Spring Cloud OAuth2(一) 搭建授权服务

Spring Cloud OAuth2(二) 扩展登陆方式:账户密码登陆、 手机验证码登陆、 二维码扫码登陆

理解OAuth和JWT的区别(通俗易懂)

1、oauth2有client和scope的概念,jwt没有。如果只是拿来用于颁布token的话,二者没区别。常用的bearer算法oauth、jwt都可以用。应用场景不同而已

2、Spring Cloud 的权限框架就是用的jwt实现的oauth2 。二者没有必然联系

3、Token功能不一样,JWT的token是包含用户基本信息的,然后通过加密的方式生成的字符串,服务器端拿到这个token之后不需要再去查询用户基本信息,解析完token之后就能拿到。想想在微服务架构下,用户服务是一个单独的服务,但是其他服务大部分情况下也会需要用户信息,难道要每次用到都去取一次吗? JWT非常适合微服务。

4、OAuth2用在使用第三方账号登录的情况(比如使用weibo, qq, github登录某个app)。OAuth2是一个相对复杂的协议, 有4种授权模式, 其中的access code模式在实现时可以使用jwt才生成code, 也可以不用. 它们之间没有必然的联系.

5、JWT是用在前后端分离, 需要简单的对后台API进行保护时使用.(前后端分离无session, 频繁传用户密码不安全)

6、JWT是一种认证协议 。JWT提供了一种用于**发布接入令牌(Access Token),**并对发布的签名接入令牌进行验证的方法。 令牌(Token)本身包含了一系列声明,应用程序可以根据这些声明限制用户对资源的访问。

7、OAuth2是一种授权框架。提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。

ywb201314
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JWTOAuth2
aini59852369的博客
03-31 372
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 sessio...
spring-boot-2-oauth2-resource-jwt:Spring Boot 2 OAuth2 JWT资源服务器实现,在令牌和自定义主体具有自定义详细信息
05-19
Spring Boot结合OAuth2和JWT,为资源服务器提供了一套完整的解决方案。 首先,我们需要在Spring Boot项目引入相关的依赖,如`spring-boot-starter-security`和`spring-security-oauth2-jose`。这些依赖包含了处理...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
Java使用JWT生成Token进行接口鉴权实现方法
08-25
主要介绍了Java使用JWT生成Token进行接口鉴权实现方法,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
OAuth2+JWT
最新发布
Eris_QwQ的博客
06-15 665
这样是对资源服务器进行深度自定义,我们可以为每个微服务编写一个配置类,比如我们现在希望用户授权了某个 Scope 才可以访问此服务。public class ResourceConfiguration extends ResourceServerConfigurerAdapter { //继承此类进行高度自定义@Override。
OAuth2 vs JWT,到底怎么选?
m0_71777195的博客
06-15 3728
本文会详细描述两种通用的保证API安全性的方法:OAuth2和JSON Web Token (JWT)假设:要比较JWTOAuth2?首先要明白一点就是,这两个根本没有可比性,是两个完全不同的东西。先来搞清楚JWTOAuth2究竟是干什么的~JWT在标准是这么定义的:JWT是一种安全标准。基本思路就是用户提供用户名和密码给认证服务器服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个Token(令牌),用户可以使用这个token访问服务器上受保护的资源。一个token的例子: 一个
auth2JWT的一些了解和使用
weixin_42376775的博客
01-03 1425
比如要登录一个网站,需要第三方登录的话,那就要使用第三方的认证,获取到第三方的授权码以后才可以去认证框架哪里获取命令,有了命令就可以访问网站下面的任意资源服务器的模块(其去第三方获取 授权码是看不见的 有了授权码才可以去认证框架哪里获取令牌 有了令牌就可以去访问其它的资源服务,才可以访问资源)答案是否定的,服务提供商会给批准接入的客户端一个身份,用于接入时的凭据,有客户端标识和客户端秘钥,在这里配置批准接入的客户端的详细信息。设置后,将支持 password 授权类型,并验证来自客户端的用户名和密码。
JWTOAuth2.0
Kard的博客
12-31 8581
JWT是一种认证协议,提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。SSO私钥加密token。应用端公钥解密tokenOAuth2.0是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
OAuth2与JWT区别JWT的适用场景及好处(九)
FAIRYTAIL的博客
08-28 6928
什么是jwtjwt相对于oauth2和session的好处
SpringSecurity+Jwt+Aouth2实现前后端分离的登录认证(有源码)
qq_44993268的博客
03-27 3003
基于springSecurity的简易登录系统
OAuth2 vs JWT,到底怎么选?,java架构师面试宝典和答案
m0_60567796的博客
03-29 1036
在这里,由于面试MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。但是你要学习的往往不止这一点,还有一些主流框架的使用,Spring源码的学习,Mybatis源码的学习等等都是需要掌握的,我也把这些知识点都整理起来了24b (备注Java)**[外链图片转存…(img-UJ6MYTqZ-1711713716991)]在这里,由于面试MySQL问的比较多,因此也就在此以MySQL为例为大家总结分享。
OAuth2+JWT新一代认证技术
a154555的博客
09-19 3089
认证方式: 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
通俗易懂讲解JWTOAuth2,以及他俩区别联系.docx
10-26
通俗易懂讲解JWTOAuth2,以及他俩区别联系.docx
详解用JWT对SpringCloud进行认证和鉴权
08-26
在使用JWT进行认证和鉴权时,客户端向服务器申请授权,服务器认证以后,生成一个token字符串并返回给客户端,此后客户端在请求受保护的资源时携带这个token,服务端进行验证再从这个token解析出用户的身份信息。...
OAuth2结合JWT
Curtisjia的博客
11-01 2575
OAuth2结合JWT 无状态登录 什么是有状态 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session ,并且给用户一个 cookie 值,记录对应的 session,然后下次请求,用户携带 cookie 值来(这一步有浏览器自动完成),我们就能识别到对应 session,从而找到用户的信息。这种方式目前来看最方便,但是也有一些缺陷,如下: 服
Oauth2和Jwt两种单点登录方式
喝醉酒的小白
08-05 528
是一种授权框架,用于允许应用程序访问受保护的资源,而无需直接使用用户的凭据。在OAuth 2.0,有三个主要的角色:资源所有者(用户)、客户端(应用程序)和授权服务器OAuth 2.0使用令牌作为对资源的访问凭证,这些令牌通常具有有限的生命周期,并且可以在过期后进行刷新。这样一来,应用程序无需保存用户的凭据,而是利用令牌进行安全的资源访问。是一种开放标准(RFC 7519),定义了一种紧凑且自包含的方式来传输信息的格式。两者可以结合使用,以实现基于令牌的单点登录方案。
权限管理 springboot集成springSecurity Oauth2 JWT
qq_50909707的博客
10-06 6727
实现SpringSecurity里的UserDetailsService接口的LoadUserByUsername方法便可以实现自定义登录逻辑。以下代码将实现用户名为admin,密码为123的登录。一旦使用了自定义登录逻辑,原本的user和打印的password登录将不再生效。此时,通过admin 123便可登录。对于登出SpringSecurity也提供了一个/logout的接口。
SpringSecurity OAuth2+JWT+网关实现认证授权
我神级欧文的博客
02-17 8551
之前利用SpringSecurity OAuth2搭建了一个认证服务器,并且结合网关搭建了一个安全认证的架构,而这个架构也是有缺点的,很明显的就是用户的信息是通过加在请求头到微服务去取出来的,这样就会容易泄露用户的信息并且很容易被别人截获请求伪造用户信息,而且网关每一次都要请求认证服务器去验证token是否正确,加重了认证服务器的负担。那么这里我们解决这两个问题用的就是jwt。 什么是JWT? ...
OAuth2和JWT
Minor的Java技术博客
07-25 1640
这种模式需要客户端、服务端、三方服务器共同协调完成,这种模式需要三方应用客户端通过授权得到一个Code码,客户端拿着这个code请求自己公司的服务端,服务器通过code去三方应用获取一个Access_Token,得到三方的Access_Token以后,服务器就可以调用API获取用户的一些非敏感信息了,例如可以拿到用户的头像、用户名、账号ID、open_id、union_id等。目前主流的本是OAuth2。这种模式抛弃了用户的概念,客户端以自己的名义发起授权请求,这种模式适用于命令行的一些基础应用。...
springsecurity整合jwtOauth2具体怎么做
06-09
整合Spring Security、JWTOAuth2可以用来实现安全的身份验证和授权。以下是整合的步骤: 1. 添加依赖项:在Maven或Gradle添加Spring Security、JWTOAuth2的依赖项。 2. 配置Spring Security:在Spring Security配置文件添加JWTOAuth2的支持,例如,提供JWT的过滤器和OAuth2的配置。 3. 配置JWT:在Spring Security配置文件定义JWT的配置,例如,JWT的签名密钥、过期时间和其它设置。 4. 配置OAuth2:在Spring Security配置文件定义OAuth2的配置,例如,OAuth2的授权服务器和资源服务器设置。 5. 集成JWTOAuth2:使用JWT作为OAuth2的访问令牌,例如,在OAuth2的授权服务器使用JWT颁发访问令牌,并在资源服务器验证JWT。 总体来说,整合Spring Security、JWTOAuth2需要对Spring Security、JWTOAuth2的配置进行深入的理解和实践。建议您查阅官方文档和相关教程以获得更好的指导。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值