JWT、OOS、Oauth三种登录验证机制

最新推荐文章于 2025-01-09 17:29:19 发布
最新推荐文章于 2025-01-09 17:29:19 发布
阅读量1.6k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: # javaweb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/linkingfei/article/details/97312505
本文深入解析JWT(JSON Web Token)的工作原理及应用场景,对比传统session和cookie方案,阐述JWT如何解决跨域和分布式服务器认证问题,以及其在安全性上的考量。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JWT(Json web token)

参考

传统方案:
1) 存储到session(结合redis缓存)
浏览器存储sessesid,服务器集群,
信息存在在后台统一的session服务器
没有分布式架构,无法支持横向扩展
2) 存储到cookie
将验证信息保存在数据库中,后端每次都需要根据token查出用户id,
这就增加了数据库的查询和存储开销。若把验证信息保存在session中,
又加大了服务器端的存储压力。
本质:存储信息在服务端
3)jwt
如果我们生成token遵循一定的规律,比如我们使用对称加密算法来加密
用户id形成token,那么服务端以后其实只要解密该token就可以知道用户的id
jwt中使用对应算法对用户信息加密。
jwt的目的

  • 解决跨域
  • 多个服务器

JWT实现:

在服务器身份验证之后,将生成一个JSON对象并将其发送回用户
···
{
“UserName”: “Chongchong”,
“Role”: “Admin”,
“Expire”: “2018-08-08 20:15:56”
}
···
客户在请求中发回JSON对象。服务器仅依赖于这个JSON对象来标识用户。
为了防止用户篡改数据,服务器将在生成对象时添加签名

结构由三部分组成

1) JWT头:
{
“alg”: “HS256”,
“typ”: “JWT”
}
它会使用 Base64 编码组成 JWT 结构的第一部分,
2) JWT的主体:
一个JSON对象
{
“iss”: “link JWT”,
“iat”: 1441593502,
“exp”: 1441594722,
“aud”: “www.example.com”,
“sub”: “user”
}
iss(签发者)
exp(过期时间)
sub(面向的用户)
aud(接收方)
iat(签发时间)
它会使用 Base64 编码组成 JWT 结构的第二部分
3) 签名哈希:
Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,
然后使 用 header 中指定的签名算法(HS256)进行签名。
签名的作用是保证 JWT 没有被篡改过
三个部分组合成一个字符串,每个部分用"."分隔,就构成整个JWT对象

  • 一般是将它放入HTTP请求的Header Authorization字段

缺点:
一旦JWT签发,在有效期内将会一直有效
JWT的有效期不宜设置太长。对于某些重要操作,
用户在使用时应该每次都进行进行身份验证或手机验证码。
尽量使用 https

在这里插入图片描述

OOS单点登录

  • 同域名: session+redis(共享)
    注意:cookie不能跨域
  • 不同域名:

CAS:在请求CAS Client 时用户必须带有CAS Server
生成的Service Ticket
流程:
1、用户访问CAS Client
2、重定向到CAS Server为验证成功(保存登录信息)用户生成Service Ticket
3、将Service Ticket传递CAS Client、
4、CAS Client向Service Ticket发起验证,成功返回user info

oauth

第三方授权机制

带你区分清楚Authentication,Authorization以及Cookie、Session、Token

微服务统一登陆认证怎么做?JWT
u013085496的博客
11-23 1089
无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,...
SSO, SAML, OAuth2, JWT, OIDC
Tina的博客
05-05 1123
最近又复习了一下登录、权限相关的技术点,总结如下: 1. 常见的缩写: SSO: Single Sign On SAML: Security Assertion Markup Language OIDC:OpenID Connect CAS:Central Authentication Service AuthN:Authentication(身份验证) AuthZ: Authorization(权限验证) IDP: Identity Provider SP: Service Prov..
微服务统一登录认证怎么做?JWT
Java知音
02-06 1718
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!作者:hongxinerkecnblogs.com/zhenghongxin/p/10006697.html无状态登录...
登录授权方案:JSON Web Tokens (JWT)
Java牛马的博客
01-18 931
JWT 即 json web tokens,通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理。可用于登录授权或者其他服务之前的信息交换;JWT本质就是一个字符串,它是一个开放标准(rfc7519),定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息,它是无状态的,去中心化的;(1)JWT 是去中心化的, 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
实例演示JWT实现登录授权流程。通过与传统的session、cookie和token机制进行对比,分析其中的优缺点
weixin_39951210的博客
05-07 612
**摘要:**本文通过实例演示JWT实现登录授权流程。通过与传统的session、cookie和token机制进行对比,分析其中的优缺点。 JWT是什么 JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。它是有三部分组成,示例如下,具体的讲解如下(jwt是不会有空行的,下面只是为了显示,便使用了换行看着比较方便)。 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG
OAuth 2.0 授权码请求 OSS单点登录
浴血重生-学习空间
09-29 1270
OAuth 2.0
Gitlab集成odoo单点登录
m0_46965266的博客
07-10 2273
Gitlab集成odoo单点登录 1.Gitlab使用oauth2单点登录的背景 OAuth代表资源所有者向客户端应用程序提供对服务器资源的“安全委派访问”。实际上,OAuth允许授权服务器在资源所有者或最终用户的批准下向第三方客户端颁发访问令牌。 OAuth主要用作单一登录服务(SSO),但是您可以找到此功能的许多不同用途。例如,您可以允许用户使用其GitLab.com帐户登录到您的应用程序,或者可以使用GitLab.com对您的GitLab实例进行身份验证(请参阅GitLab OmniAuth)。 “
spring Oauth2 gateway
最新发布
03-21
### Spring OAuth2 Gateway 的实现与配置 #### 1. 配置基础环境 为了构建基于 Spring Cloud 和 OAuth2 的网关服务,首先需要引入必要的依赖项。以下是 Maven 中的核心依赖: ```xml <groupId>org.spring...
hyperf-shop:基于 Hyperf 协程框架的商城后台
04-15
配置env文件,不存在env文件的话复制一份.env.example文件为.env(文件图片默认使用阿里云oos) APP_NAME=skeleton DB_DRIVER=mysql DB_HOST=127.0.0.1 DB_PORT=3306 DB_DATABASE=hyperf-shop //数据库 DB_USERNAME=...
2022年自学Java就业全面学习路线
Teacher_Zhan的博客
06-14 758
2022年自学Java就业学习路线
最简单易懂的OSS单点登录设计与实现
liuyuii的博客
04-20 1924
OSS单点登录
搭建CAS单点登录服务器
weixin_34324081的博客
11-10 175
  最近公司的一个项目需要用到单点登录的功能,之前对单点登录了解得不多。于是网上找了下单点登录的解决方案,发现CAS是个不错的解决方案。于是搭个环境测试了一下。这里记录下测试的详细步骤。   官网:http://jasig.github.io/cas/   Cas Server下载:http://developer.jasig.org/cas/   Cas Client下载:http://d...
SSO单点登录
m0_57254201的博客
10-07 428
分布式架构中的单点登录
文件上传到阿里云OOS基本使用
2301_76929910的博客
03-10 799
文件上传至阿里云OOS,从云端获取数据的基本使用
统一门户单点登入(C#-OOS机制)
vsmybits的博客
01-09 338
统一门户单点登入(C#-OOS机制)
前端需要了解的 SSO 与 CAS 知识
weixin_33858485的博客
11-07 289
不管是什么公司,只要产品数量大于一个,那么单点登录势必是绕不过去的一个问题。作为前端程序员,我们对其虽然接触不多,但适当的了解还是必要的。本文就来谈谈单点登录相关的问题。前置知识了解 SSO,最好具备以下知识。当然,如果不是特别熟,也不影响阅读。 cookie及session浏览器同源策略及跨域了解登录系统的构成 什么是 SSO 与 CAS?SSOSSO 是英文 Single Sig...
Oss单点登录
后端菜鸡
08-06 4571
应用场景: 一个企业中有不同的应用,员工只需登录一次,可以同步登录状态到其他服务(即访问别的应用就不用”登录”) 实际例子:  在同一个浏览器下,登录新浪博客后,再去访问新浪微博,则会发现账号已登录。 WIKI:https:  //en.wikipedia.org/wiki/Single_sign-on   SSO技术简介 涉及技术: 曲奇饼 认证中心   举个例子...
Ouath2和OSS区别及联系
adminstritor的博客
04-19 1121
开放授权(Open Authorization, Oauth)是一种用户授权第三方服务来控制访问另一个站点服务资源的协议。在整个授权过程中,第三方应用都无法触及到用户的密码就可以取得资源访问资源。目前Oauth 1.0版本基本因安全问题已基本不使用,后续介绍皆以Oauth 2.0版本为准。oauth2能解决的问题:在用户不给客户端提供账号密码情况下,让第三方应用获取用户数据和基本信息难题。Client 客户端:第三方应用程序,用户需要进行访问的平台。
OAuth2.0协议(二) - 密码类型、隐式许可类型、客户端类型、PKCE
it_lihongmin的博客
01-07 1055
前提是在理解的OAuth2.0授权码许可流程(最完整的授权流程)后,再来理解其他的授权许可类型和每种类型的使用场景。 资源拥有者凭据许可类型 资源拥有者凭据许可类型虽然名字比较拗口,但确是我们最熟悉的使用 用户名密码直接换取token的流程。与授权码许可流程相比,这里减少了获取授权码的流程和两次重定向的过程,之前我们也分析过增加授权码流程就是为了增加安全性和用户体验,但前提是三方服务本身并不被信任。 但是如果都是本公司不同团队(甚至是同一团队)开发的三方服务,比如电商系统与配送系统(京东到...
深入理解JWTOAuth2在SpringSecurity中的单点登录机制
总结,基于JWTOAuth 2.0协议实现的单点登录解决方案,提供了一种安全、可扩展且用户友好的认证方式。它不仅减少了用户重复登录的不便,也大大增强了系统的安全性。通过Spring Security框架,我们可以更加简便地在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值