OAuth2、JWT

文章目录


OAuth2


在 RFC 6749 中说明


1、资源所有者 resource owner, 如 github 用户

2、客户端/第三方应用 client, 如 支持github 登录的 csdn

3、资源服务器 resource server, 如

4、授权服务器 authorization server


授权所需信息

  • 应用名称
  • 应用网站
  • 重定向 URI 或回调 URL(redirect_uri)
  • 客户端标识 client_id
  • 客户端秘钥 client_secret

如 github 授权 app:


OAuth 授权方式

有以下四种

  1. 授权码模式 Authorization Code,功能最完整、流程最严密
  2. 简化模式 Implict Grant;省去了第三方应用的服务器;不建议,token 会暴露。为web浏览器设置。
  3. 密码模式 Resource Owner Password Credentials Grant,csdn 让用户输入 github 账号密码,再将密码给 github 请求;不建议。为遗留项目设计。
  4. 客户端模式 Client Credentials Grant。用客户端的秘钥获取 token,不需要用户参与。为后台API 服务消费者设计。

授权码模式 参数

  • response_type,必须,固定为 code,表示这是一个授权码请求;
  • client_id,必须,在授权服务器祖册应用后的到的唯一标识;
  • redirect_uri,可选,通过客户端注册的重定向 URI,一般要求和注册时一致;
  • scope,可选,请求资源范围,多个空格隔开;
  • state,可选(推荐),如果存在,原样返回给客户端。

JWT

JWT : JSON Web Token,通过数字签名的方式,以 json 对象为载体,在不同的服务终端之间安全的传输信息。


常见应用场景:授权认证

一旦用户登录后,后续每个请求都包含 JWT,系统在每次处理用户请求之前,都要进行 JWT 安全校验,通过之后再进行处理。


JWT 由三部分组成,用 . 拼接

三部分分别是:

1、 Header

json 复制代码
{
	'typ': 'JWT', // token 类型
	'alg', 'HS256'  // 算法名称
}

2、Payload 载荷,存放有效信息

对这个数据进行 base64 加密

json 复制代码
{
	'sub': '1234567', //  
	'name', 'john'  //  
	'admin', true  //  
}

3、Signature

加密后的 Header 和 Payload 用 . 拼接,让后将结果,用 header 中申明的算法再加盐加密一次。

json 复制代码
var encodedstring = base64UrlEncoder(header) + '.' + base64UrlEncoder(payload);
var signature = HMACSHA256(encodedstring, 'secret')

参考


伊织 2022-03-26

相关推荐
ん贤2 天前
JWT基础详解
开发语言·go·jwt
发粪的屎壳郎2 天前
ASP .NET Core 8结合JWT轻松实现身份验证和授权
jwt·asp .net core
quweiie6 天前
tp8.0\jwt接口安全验证
前端·安全·jwt·thinkphp
百锦再14 天前
服务器间接口安全问题的全面分析
运维·服务器·安全·api·jwt·token·net
ArabySide14 天前
【WCF】通过AOP实现基于JWT的授权与鉴权的实践
c#·jwt·aop·wcf
转码的小石1 个月前
深入Java面试:从Spring Boot到微服务
java·spring boot·kafka·spring security·oauth2
ZHOU_WUYI1 个月前
flask JWT 认证
后端·flask·jwt
小小工匠1 个月前
每日一博 - JWT 安全实战指南
安全·jwt
FungLeo1 个月前
NodeJS Koa 后端用户会话管理,JWT, Session,长短Token,本文一次性讲明白
jwt·token·session·会话管理·cookies
14L1 个月前
互联网大厂Java面试:从Spring Cloud到Kafka的技术考察
spring boot·redis·spring cloud·kafka·jwt·oauth2·java面试