一、介绍
OAuth2是一种授权框架,通常用于提供Web应用程序或服务对持授权的用户数据的访问权限。而JWT(JSON Web Token)则是一种可以跨域传输的安全令牌,是用于身份验证的开放标准。
jwtoauth2是基于OAuth2的标准实现。它使用JWT作为标准的令牌格式,与OAuth2一起来对外部客户端应用程序的访问进行授权。
二、jwtoauth2与oauth2区别
1、令牌的格式
在OAuth2中,令牌通常是一个字符串,该字符串由一组随机字符和一个可选的刷新令牌组成,以及一个可选的过期时间。
Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
而在jwtoauth2中,令牌是一个经过哈希处理的JSON对象。它包含所有必要的数据,如令牌类型、颁发者、颁发时间、过期时间和访问权限等。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ikpva MTIsImV4cCI6MTUxNjIzOTM4NCwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_ad Qssw5c
2、令牌的加密方式
OAuth2主要使用传输层安全性协议(TLS)来加密令牌,而jwtoauth2则使用JSON Web签名(JWS)或JSON Web加密(JWE)来保证令牌的安全性。
3、令牌的用途
在OAuth2中,令牌主要用于授权访问受保护资源。在jwtoauth2中,令牌不仅可以用于授权访问受保护资源,还可以用于设备身份验证、用户身份验证等多种用途。
三、jwtoauth2示例代码
以下示例介绍了如何通过jwtoauth2在Spring Boot中使用OAuth2。
1、添加依赖项
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-oauth2-jose</artifactId>
</dependency>
2、配置Spring Security
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/api/**").authenticated()
.and().oauth2ResourceServer().jwt();
}
@Bean
JwtDecoder jwtDecoder() {
NimbusJwtDecoder jwtDecoder = NimbusJwtDecoder.withJwkSetUri(jwkSetUri).build();
jwtDecoder.setClaimSetConverter(new UsernameSubClaimAdapter());
return jwtDecoder;
}
}
@Component
public class UsernameSubClaimAdapter implements Converter<Jwt, Jwt> {
@Override
public Jwt convert(Jwt jwt) {
Map<String, Object> claims = new LinkedHashMap<>(jwt.getClaims());
Object username = jwt.getClaims().get("sub");
claims.put("username", username);
return new Jwt(jwt.getTokenValue(), jwt.getIssuedAt(), jwt.getExpiresAt(), jwt.getHeaders(), claims);
}
}
3、配置OAuth2客户端
@Configuration
public class ClientConfig {
@Bean
ClientRegistrationRepository clientRegistrationRepository() {
List<ClientRegistration> registrations = new ArrayList<>();
registrations.add(gitHubRegistration());
return new InMemoryClientRegistrationRepository(registrations);
}
private ClientRegistration gitHubRegistration() {
return ClientRegistration.withRegistrationId("github")
.clientId("github-client-id")
.clientSecret("github-client-secret")
.clientAuthenticationMethod(ClientAuthenticationMethod.BASIC)
.authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
.redirectUri("{baseUrl}/login/oauth2/code/{registrationId}")
.scope("read:user")
.authorizationUri("https://github.com/login/oauth/authorize")
.tokenUri("https://github.com/login/oauth/access_token")
.userInfoUri("https://api.github.com/user")
.userNameAttributeName("id")
.clientName("GitHub")
.build();
}
}
4、启动应用程序后,可以通过下面的URI进行OAuth2授权:
http://localhost:8080/oauth2/authorization/github
5、在授权后,可以通过下面的URI获取受保护资源:
http://localhost:8080/api/user
四、结论
jwtoauth2是OAuth2协议的补充,它使用JWT代替了OAuth2的令牌格式,更加安全可靠。通过对比,我们可以清晰地认识到它们在令牌格式、令牌加密方式、令牌用途等方面的区别。
