日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
SpringSecurity5.5發(fā)布,正式實(shí)裝OAuth2.0的第五種授權(quán)模式

今天Spring Security 5.5發(fā)布了,主要涉及OAuth2.0和SAML2.0兩個(gè)協(xié)議。其中最大的亮點(diǎn)是支持了OAuth2.0的另一種授權(quán)模式j(luò)wt-bearer。這個(gè)模式可能對大家比較陌生,說實(shí)話胖哥也沒在實(shí)際開發(fā)中玩過這種模式,不過它并不是剛出的規(guī)范,這是2015年5月起草的RFC7523的一部分,如今正式實(shí)裝到Spring Security中,今天就和大家一起學(xué)習(xí)一下這個(gè)規(guī)范。

JWT Bearer 授權(quán)模式

通常出現(xiàn)在各大技術(shù)社區(qū)的OAuth2.0有四大授權(quán)模式:

授權(quán)碼模式 grant_type=authorization_code。

隱藏模式response_type=token。

密碼模式grant_type=password。

憑據(jù)模式grant_type=client_credentials。

其實(shí)這幾種模式中都會用到Bearer Token,甚至Token直接選用JWT技術(shù)。那么它作為一種授權(quán)模式是如何定義的呢?

JWT Bearer 授權(quán)

首先jwt-bearer認(rèn)證請求也要攜帶grant_type參數(shù)來表明使用的授權(quán)模式:

 
 
 
 
    
  
  
  
  
  1. grant_type=urn:ietf:params:oauth:grant-type:jwt-bearer 
    2.

這個(gè)grant_type有點(diǎn)長!還要攜帶assertion參數(shù),這個(gè)參數(shù)對應(yīng)的值只能是一個(gè)JWT,另外也可以攜帶(可選)scope參數(shù)以表明請求的作用域。根據(jù)上面的描述,一個(gè)jwt-bearer類型的授權(quán)模式大致是這樣的:

 
 
 
 
    
  
  
  
  
  1. POST /token/oauth2 HTTP/1.1 
    2.   
  
  
  
  2.      Host: felord.cn 
    3.   
  
  
  
  3.      Content-Type: application/x-www-form-urlencoded 
    4.   
  
  
  
  4.  
    5.   
  
  
  
  5.      grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer 
    6.   
  
  
  
  6.      &assertion=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9. 
    7.   
  
  
  
  7.      eyJzdWIiOiJhbGwiLCJhdWQiOiJGZWxvcmRjbiIsInJv. 
    8.   
  
  
  
  8.      ER2U4CAt1xYxXBmnVQsrirkMwPwxwjWxjs 
    9.

其實(shí)也就是說用戶如果要請求授權(quán)要先有一個(gè)JWT,我個(gè)人估計(jì)有可能是可以被授權(quán)服務(wù)器信任的第三方JWT憑據(jù),憑據(jù)校驗(yàn)通過用戶就可以得到相應(yīng)的授權(quán)去訪問特定的資源。

客戶端身份認(rèn)證

RFC7523還規(guī)定JWT Bearer還可以用于客戶端身份驗(yàn)證??蛻舳藬y帶一個(gè)client_assertion_type參數(shù):

 
 
 
 
    
  
  
  
  
  1. client_assertion_type=urn:ietf:params:oauth:client-assertion-type:jwt-bearer 
    2.

同Beaerer JWT授權(quán)類似,還要攜帶一個(gè)client_assertion參數(shù),這個(gè)參數(shù)同樣要帶一個(gè)JWT。請求實(shí)例如下:

 
 
 
 
    
  
  
  
  
  1. POST /token/oauth2 HTTP/1.1 
    2.   
  
  
  
  2.     Host: felord.cn 
    3.   
  
  
  
  3.     Content-Type: application/x-www-form-urlencoded 
    4.   
  
  
  
  4.  
    5.   
  
  
  
  5.     grant_type=authorization_code& 
    6.   
  
  
  
  6.     code=n0esc3NRze7LTCu7iYzS6a5acc3f0ogp4& 
    7.   
  
  
  
  7.     client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3A 
    8.   
  
  
  
  8.     client-assertion-type%3Ajwt-bearer& 
    9.   
  
  
  
  9.     client_assertion=eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9. 
    10.   
  
  
  
  10.     eyJzdWIiOiJhbGwiLCJhdWQiOiJGZWxvcmRjbiIsInJv. 
    11.   
  
  
  
  11.     ER2U4CAt1xYxXBmnVQsrirkMwPwxwjWxjs 
    12.

場景

那么場景是什么?根據(jù)RFC723的描述,該模式用于當(dāng)客戶端希望利用一個(gè)現(xiàn)有的、可信任的、使用JWT語義表達(dá)的關(guān)系來獲取Access Token,它不需要在授權(quán)服務(wù)器上直接進(jìn)行用戶批準(zhǔn)(User Approval)步驟。

另外jwt-bearer也被定義用于客戶端身份驗(yàn)證機(jī)制,來判斷客戶端的身份是否合規(guī)??蛻舳耸褂肑WT進(jìn)行身份認(rèn)證和客戶端使用JWT進(jìn)行授權(quán)是分離的行為。當(dāng)然這兩種行為可以組合使用,也可以分離使用。客戶端使用JWT進(jìn)行身份驗(yàn)證僅是客戶端向令牌端點(diǎn)進(jìn)行身份驗(yàn)證一種替代方法。

個(gè)人感覺就是方便在已經(jīng)有JWT體系上使用OAuth2.0協(xié)議。

總結(jié)

今天主要對jwt-bearer授權(quán)模式的協(xié)議進(jìn)行了分享,和其它模式比較起來jwt-bearer還很新,雖然目前還沒有大規(guī)模運(yùn)用,不過目前我在國外的技術(shù)社區(qū)已經(jīng)發(fā)現(xiàn)了很多關(guān)于這種模式的問題和討論,看來這個(gè)模式還是有點(diǎn)東西的,需要留意一下。

本文轉(zhuǎn)載自微信公眾號「碼農(nóng)小胖哥」,可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請聯(lián)系碼農(nóng)小胖哥公眾號。


文章標(biāo)題:SpringSecurity5.5發(fā)布,正式實(shí)裝OAuth2.0的第五種授權(quán)模式
標(biāo)題路徑:http://www.dlmjj.cn/article/cdohjcd.html