bobozai86的博客

前言在日常开发中难免会遇到对接三方平台，比如文件的云存储、短信通道、认证等，在调用这些三方接口时往往需要进行先认证，认证完成之后才能够进行正常的业务处理。在认证的过程中，往往会提供appid、appkey、appsecret三对key-value的数据。本篇文章就带大家深入了解一下这三组认证所需数据的功能及生成。先简单概况一下：app_id，应用的唯一标识；app_key，公匙（相当于账号）；app_secret，私匙（相当于密码）。app_id参数app_id通常情况下指的是一个用户的

资源服务器验证Token的几种方式在微服务中，除了eureka，config，网关等基本的微服务还有认证服务和资源服务，上图描述了使用了 OAuth2 的客户端请求验证token的流程，是通过资源服务向认证服务验证token。过程就是客户端用用户名和密码到认证服务获取token，客户端拿着 token 去各个微服务请求数据接口，当微服务接到请求后，先要拿着 token 去认证服务校验token 的合法性，如果合法，请求成功接口处理返回数据。这种方式首先要在认证服务的认证服务配置允

已经学习了：理解 OAuth 2.0 一篇文章就够了 一篇文章带你搞定 OAuth 2.0 的四种方式今天演示一个实例，如何通过 OAuth 获取API数据。很多网站登录时，允许使用第三方网站的身份，这称为"第三方登录"。下面就以GitHub为例，写一个最简单的应用，演示第三方登录。文章目录 一、第三方登录的原理 二、应用登记 三、示例仓库 四、浏览器跳转 GitHub 五、授权码 六、后端实现 七、令牌 八、API数据 一、第三方登录...

一、概念1、什么是JWTJson Web Token (JWT)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)该token被设计为紧凑且安全的 特别适用于分布式站点的单点登录(SSO)场景随着JWT的出现 使得校验方式更加简单便捷化JWT实际上就是一个字符串 它由三部分组成：头部 载荷和签名用[.]分隔这三个部分 最终的格式类似于：xxxx.xxxx.xxxx在服务器直接根据token取出保存的用户信息 即可对token的可用性进行校验 使得单点登

OAuth 2和JWT - 如何设计安全的API？Moakap译，原文OAuth 2 VS JSON Web Tokens: How to secure an API本文会详细描述两种通用的保证API安全性的方法：OAuth2和JSON Web Token (JWT)假设：你已经或者正在实现API； 你正在考虑选择一个合适的方法保证API的安全性；JWT和OAuth2比较？要比较JWT和OAuth2？首先要明白一点就是，这两个根本没有可比性，是两个完全不同的东西。 JWT是一.

什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。起源说起JWT，我们应该来谈一谈基于token的认证和传统的session认证的

在学习oauth2.0协议的时候，对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌，以及刷新令牌是如何工作的，技术细节是啥？比如通过refresh token可以让access token永久不过期吗？下面就针对这两个问题进行分析。为什么需要刷新令牌如果access token超时时间很长，比如14天，由于第三方软件获取受保护资源都要带着access token，这样access token的攻击面就比较大。如果access token超时时间很短，比如1个小时，那其超时

现在已经是OAuth2.0的时代了，整个中国互联网圈子，基本都在使用OAuth2.0了，但是我们可以看到，Twitter，这个曾经引领 了互联网开放平台的先驱，依然固执得坚持着使用OAuth1.0，而且现如今都在使用OAuth2.0的这些中国互联网平台们，也都经历过OAuth1.0的历史阶段。了解历史才能展望未来，就让我们来看一下什么是OAuth1.0吧~本文的题图，是OAuth1.0的完整流程图。因为是展望历史，我就不打算详细地展开了。只是简要介绍一下所有的要件，想要了解详情的同学，可以参考协议...

OAuth 2.0协议是一种三方授权协议，目前大部分的第三方登录与授权都是基于该协议的标准或改进实现。OAuth 1.0的标准在2007年发布，2.0的标准则在2011年发布，其中2.0的标准取消所有Token的加密过程，并简化了授权流程，但因强制使用HTTPS协议，被认为安全性高于1.0的标准。一. 基础应用：第三方登录  对于OAuth2.0协议（以下简称OAuth协议）的第一次接触，我相信大部分开发者都是通过对接第三方登录才开始知道和了解该协议。的确，OAuth协议被广泛...

几种常用的认证机制HTTP Basic AuthHTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password，简言之，Basic Auth是配合RESTful API 使用的最简单的认证方式，只需提供用户名密码即可，但由于有把用户名密码暴露给第三方客户端的风险，在生产环境下被使用的越来越少。因此，在开发对外开放的RESTful API时，尽量避免采用HTTP Basic AuthOAuthOAuth（开放授权）是一个开放的授权标准，允许用户让第三

1、鲍勃有两把钥匙，一把是公钥，另一把是私钥。2、鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊----每人一把。3、苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密，就可以达到保密的效果。4、鲍勃收信后，用私钥解密，就看到了信件内容。这里要强调的是，只要鲍勃的私钥不泄露，这封信就是安全的，即使落在别人手里，也无法解密。5、鲍勃给苏珊回信，决定采用"数字签名"...

1、摘要认证 经由HTTP协议进行通信的数据大都是未经加密的明文，包括请求参数、返回值、cookie、head等数据，因此，外界通过对通信的监听，便可以轻而易举的根据请求头和响应双方的格式，伪造请求与响应，修改和窃取各种信息。1.1摘要认证原理 对于普通的非敏感数据，我们需要更多关注其真实性和准确性，鉴于使用HTTPS性能上的成本以及额外需要申请CA证书，...

HTTPS即基于SSL的HTTP协议，简单地说就是HTTP的安全版。依托SSL协议，HTTPS协议能够确保整个通信过程都是经过加密的，秘钥是随机产生，并且能够通过数字证书验证通信双方的身份，以此来保证信息安全。其中证书中包含了证书所代表一端的公钥，以及一些其所具有基本信息，如机构名称、证书所作用域、证书的数字签名等，通过数字签名能够校验证书的真实性。通信的内容使用对称加密的方式进行加密，通信两端约

1、OAuth产生的背景 随着互联网的深入发展，一些互联网巨头积累了海量的用户和数据。对于平台级软件厂商来说，用户的需求多种多样，变化万千以一己之力予以充分满足，难免疲于本命。因此将数据以接口的形式开放的众多的第三方开发者，便成了必然的趋势。第三方开发者经过二次开发，满足一小部分用户的独特需求，即能够是自己获取利益，也能够让数据流动起来，在大平台周围形成一个良性的生态环境能够，最终达到

数字摘要也成为消息摘要，它是一个唯一对应一个消息或文本的固定长度的值，它由一个单项Hash函数对消息进行计算而产出。如果消息在传输的过程改变，接收者通过对接收到消息采用相同的Hash重新计算，新产生的摘要与原摘要进行比较，就可知道消息是否被篡改，因此消息摘要能够验证消息的完整性。消息摘要采用单向的Hash函数，将需要计算的内容“摘要”成固定长度的串，这个串也称为数字指纹。摘要特点：1、无论

在对称加密算法中，数据发送方将明文（原始数据）和加密秘钥一起经过特殊加密算法处理后，生成复杂的加密密文进行发送，数据接收方收到密文后，若想读取原文，则需要使用加密使用的秘钥及相同算法的逆算法对加密的密文进行解密，才能恢复成可读明文。在对称加密算法中，使用的秘钥只有一个，发送和接收双方都使用这个秘钥对数据进行加密和解密，这就要求加密和解密方事先都必须知道加密的秘钥。但是，对称加密算法的安

非对称加密算法又称为公开秘钥加密算法，它需要两个秘钥，一个称为公开秘钥，即公钥。一个称为私有秘钥，即私钥。公钥和私钥需要配对使用，如果用公钥对数据进行加密，只有用对应的私钥才能进行解密，而如果使用私钥对数据进行加密，那么只有使用对应的公钥才能进行解密。因为加密和解密使用的是不同的秘钥，所以这种算法称为非对称加密算法。非对称加密算法实现机密信息交换的基本过程：甲方生成一对秘钥并将其中的一把作为公

数字签名是对非对称加密技术与数字摘要技术的综合运用，指的是将通信内容的摘要信息使用发送者的私钥进行加密，然后将密文和原文一起传输给信息的接收者，接收者通过发送者的公钥解密被加密的摘要信息，然后使用与发送者相同的摘要算法，对接收者接收到的信息采用相同的方式产生摘要串，与解密的摘要对比，如果相同，则说明接收到的内容是完整的，在传输的过程中没有收到第三方的篡改，否则说明通信内容已被第三方篡改，其流程如下

原文源自：https://blog.youkuaiyun.com/duanbokan/article/details/50847612一、HttpHyperText Transfer Protocol，超文本传输协议，是互联网上使用最广泛的一种协议，所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全。使用TCP端口为：80...

1、什么是不安全的HTTP方法开发人员、运维人员一般可能用于调试服务器，开启了一些客户端能够直接读写服务器端文件的方法，例如：DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。2、安全风险可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。3、不安...

       任何机构或者个人都可以申请数字证书，并使用数字证书对网络通信保驾护航。要获得数字证书，首先需要使用数字证书管理工具，如keytool、OpenSSL等，然后构建CSR（Certificate Siging Request，数字证书签发申请），提交给数字证书认证机构进行签名，最终形成数字证书。Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥（key）和证...

原文源自：https://www.jianshu.com/p/5fcc6a219c8b问题3：单向认证，即只确认服务端是否真实可靠的话，要做什么？以SSLSocket举例。public class TestSSLSocketClient { private static String path = "e:\\keytool\\sslclient.keystore"; ...

每个人都有很多种形式的身份证明，如身份证、驾驶证、护照等，这些证件都是由相应的签发机构盖章认证的，可信程度高，很难进行伪造，并且随着科技的发展，还可以通过指纹、视网膜等生物特征进行认证。 数字证书又称为电子证书，类似于日常生活中的身份证，也是另外一种形式的身份认证，用于标识网络中的用户身份。数字证书集合了多种密码学的加密算法，证书自身带有公钥信息，可以完成相应的加密、解密操作，同时还有自身信息