OAuth2、JWT

文章目录


OAuth2


在 RFC 6749 中说明


1、资源所有者 resource owner, 如 github 用户

2、客户端/第三方应用 client, 如 支持github 登录的 csdn

3、资源服务器 resource server, 如

4、授权服务器 authorization server


授权所需信息

  • 应用名称
  • 应用网站
  • 重定向 URI 或回调 URL(redirect_uri)
  • 客户端标识 client_id
  • 客户端秘钥 client_secret

如 github 授权 app:


OAuth 授权方式

有以下四种

  1. 授权码模式 Authorization Code,功能最完整、流程最严密
  2. 简化模式 Implict Grant;省去了第三方应用的服务器;不建议,token 会暴露。为web浏览器设置。
  3. 密码模式 Resource Owner Password Credentials Grant,csdn 让用户输入 github 账号密码,再将密码给 github 请求;不建议。为遗留项目设计。
  4. 客户端模式 Client Credentials Grant。用客户端的秘钥获取 token,不需要用户参与。为后台API 服务消费者设计。

授权码模式 参数

  • response_type,必须,固定为 code,表示这是一个授权码请求;
  • client_id,必须,在授权服务器祖册应用后的到的唯一标识;
  • redirect_uri,可选,通过客户端注册的重定向 URI,一般要求和注册时一致;
  • scope,可选,请求资源范围,多个空格隔开;
  • state,可选(推荐),如果存在,原样返回给客户端。

JWT

JWT : JSON Web Token,通过数字签名的方式,以 json 对象为载体,在不同的服务终端之间安全的传输信息。


常见应用场景:授权认证

一旦用户登录后,后续每个请求都包含 JWT,系统在每次处理用户请求之前,都要进行 JWT 安全校验,通过之后再进行处理。


JWT 由三部分组成,用 . 拼接

三部分分别是:

1、 Header

json 复制代码
{
	'typ': 'JWT', // token 类型
	'alg', 'HS256'  // 算法名称
}

2、Payload 载荷,存放有效信息

对这个数据进行 base64 加密

json 复制代码
{
	'sub': '1234567', //  
	'name', 'john'  //  
	'admin', true  //  
}

3、Signature

加密后的 Header 和 Payload 用 . 拼接,让后将结果,用 header 中申明的算法再加盐加密一次。

json 复制代码
var encodedstring = base64UrlEncoder(header) + '.' + base64UrlEncoder(payload);
var signature = HMACSHA256(encodedstring, 'secret')

参考


伊织 2022-03-26

相关推荐
春天的菠菜16 小时前
【django】Django REST Framework (DRF) 项目中实现 JWT
后端·python·django·jwt
景天科技苑5 天前
【Golang】Gin框架中如何使用JWT来实现登录认证
开发语言·golang·gin·jwt·登录认证·go jwt
nameofworld14 天前
前端面试题-token的登录流程、JWT
前端·面试·jwt·token·1024程序员节
Z3r4y1 个月前
【JWT安全】portswigger JWT labs 全解
web安全·网络安全·jwt·jwt安全·portswigger
Lsland..1 个月前
JWT令牌技术介绍及使用
springboot·jwt
stark张宇2 个月前
lnmp - 登录技术方案设计与实现
php·jwt
missterzy2 个月前
JWT双令牌认证实现无感Token自动续约
jwt
_.Switch3 个月前
Django 后端架构开发:JWT 项目实践与Drf版本控制
数据库·后端·python·中间件·架构·django·jwt
春哥的魔法书3 个月前
JSON Web Token (JWT): 理解与应用
前端·json·状态模式·jwt·token
brief of gali3 个月前
Jdk17 jwt报错 java.lang.ClassNotFoundException: javax.xml.bind.DatatypeConverter
java·开发语言·springboot·jwt