国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

JWT+RSA鑒權

Tecode / 2207人閱讀

摘要:一般根據前兩步的數據,再加上服務的的密鑰不要泄漏,最好周期性更換,通過加密算法生成。非對稱加密后的授權和鑒權流程用戶只需要與微服務交互,不用訪問授權中心,效率大大提高

1)JWT簡介

JWT,全稱是Json Web Token, 是JSON風格輕量級的授權和身份認證規范,可實現無狀態、分布式的Web應用授權;官網:https://jwt.io (JWT,生成Token加密字符串的一個標準或格式!)

image.png

GitHub上jwt的java客戶端:https://github.com/jwtk/jjwt

2)JWT數據格式

JWT包含三部分數據:

  • Header:頭部,通常頭部有兩部分信息:

    • 聲明類型,這里是JWT
    • 簽名算法,自定義

我們會對頭部進行base64編碼,得到第一部分數據

如圖所示:頭部是不具備安全性的。

image.png

  • Payload:載荷,就是有效數據,一般包含下面信息:

    • 用戶身份信息(注意,這里因為采用base64加密,可解密,因此不要存放敏感信息)
    • tokenID:當前這個JWT的唯一標示
    • 注冊聲明:如token的簽發時間,過期時間,簽發人等

這部分也會采用base64加密,得到第二部分數據

如圖所示:載荷也不具備安全性。

image.png

  • Signature:簽名,是整個數據的認證信息。一般根據前兩步的數據,再加上服務的的密鑰(secret)(不要泄漏,最好周期性更換),通過加密算法生成。用于驗證整個數據完整和可靠性

如果所示:簽名中決定整個token是否安全的關鍵在鹽。

image.png

生成的數據格式:

image.png

可以看到分為3段,每段就是上面的一部分數據

登錄和鑒權流程:JWT+RSA

有了非對稱加密,我們就可以改變簽名和驗簽的方式了:

  • 生成RSA密鑰對,私鑰存放在授權中心,公鑰下發給微服務
  • 在授權中心利用私鑰對JWT簽名
  • 在微服務利用公鑰驗證簽名有效性

因為非對稱加密的特性,不用擔心公鑰泄漏問題,因為公鑰是無法偽造簽名的,但要確保私鑰的安全和隱秘

非對稱加密后的授權和鑒權流程:
image.png

用戶只需要與微服務交互,不用訪問授權中心,效率大大提高!

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/126001.html

相關文章

  • 如何在SpringBoot中集成JWT(JSON Web Token)鑒權

    摘要:在使用非對稱加密算法進行簽名的時候,還可以用于驗證的發件人是否與中申明的發件人是同一個人。如果沒有用非對稱加密算法的話,把復制之后直接可以去官網在線解析。 這篇博客主要是簡單介紹了一下什么是JWT,以及如何在Spring Boot項目中使用JWT(JSON Web Token)。 1.關于JWT 1.1 什么是JWT 老生常談的開頭,我們要用這樣一種工具,首先得知道以下幾個問題。 這...

    yeyan1996 評論0 收藏0
  • Spring Security

    摘要:框架具有輕便,開源的優點,所以本譯見構建用戶管理微服務五使用令牌和來實現身份驗證往期譯見系列文章在賬號分享中持續連載,敬請查看在往期譯見系列的文章中,我們已經建立了業務邏輯數據訪問層和前端控制器但是忽略了對身份進行驗證。 重拾后端之Spring Boot(四):使用JWT和Spring Security保護REST API 重拾后端之Spring Boot(一):REST API的搭建...

    keelii 評論0 收藏0
  • 使用JWT(Json Web Token)實現登錄認證

    摘要:今天我們來結合實例給大家講述的實戰應用,就是如何使用前端與后端實現用戶登錄鑒權認證的過程。只用了一個串,建立前后端的驗證的數據傳遞,實現了有效的登錄鑒權過程。 今天我們來結合實例給大家講述JWT(Json Web Token)的實戰應用,就是如何使用前端Axios與后端PHP實現用戶登錄鑒權認證的過程。 文中涉及的重要知識點: axios異步請求:axios-基于Promise的HTT...

    Yu_Huang 評論0 收藏0
  • 關于JWT(Json Web Token)的思考及使用心得

    摘要:什么是是一個開放的數據交換驗證標準,一般用來做輕量級的鑒權。由于許多接口設計是遵循無狀態的比如,所以是這一套機制的替代方案。組成由三部分組成頭部載荷簽名。 什么是JWT? JWT(Json Web Token)是一個開放的數據交換驗證標準rfc7519(https://tools.ietf.org/html/r...,一般用來做輕量級的API鑒權。由于許多API接口設計是遵循無狀態的(...

    taohonghui 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<