您的位置:

jwtoauth2与oauth2区别解析

一、介绍

OAuth2是一种授权框架,通常用于提供Web应用程序或服务对持授权的用户数据的访问权限。而JWT(JSON Web Token)则是一种可以跨域传输的安全令牌,是用于身份验证的开放标准。

jwtoauth2是基于OAuth2的标准实现。它使用JWT作为标准的令牌格式,与OAuth2一起来对外部客户端应用程序的访问进行授权。

二、jwtoauth2与oauth2区别

1、令牌的格式

在OAuth2中,令牌通常是一个字符串,该字符串由一组随机字符和一个可选的刷新令牌组成,以及一个可选的过期时间。

Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

而在jwtoauth2中,令牌是一个经过哈希处理的JSON对象。它包含所有必要的数据,如令牌类型、颁发者、颁发时间、过期时间和访问权限等。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ikpva MTIsImV4cCI6MTUxNjIzOTM4NCwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_ad Qssw5c

2、令牌的加密方式

OAuth2主要使用传输层安全性协议(TLS)来加密令牌,而jwtoauth2则使用JSON Web签名(JWS)或JSON Web加密(JWE)来保证令牌的安全性。

3、令牌的用途

在OAuth2中,令牌主要用于授权访问受保护资源。在jwtoauth2中,令牌不仅可以用于授权访问受保护资源,还可以用于设备身份验证、用户身份验证等多种用途。

三、jwtoauth2示例代码

以下示例介绍了如何通过jwtoauth2在Spring Boot中使用OAuth2。

1、添加依赖项

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-oauth2-jose</artifactId>
    </dependency>

2、配置Spring Security

    @Configuration
    @EnableResourceServer
    public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

        @Override
        public void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests()
                .antMatchers("/api/**").authenticated()
                .and().oauth2ResourceServer().jwt();
        }

        @Bean
        JwtDecoder jwtDecoder() {
            NimbusJwtDecoder jwtDecoder = NimbusJwtDecoder.withJwkSetUri(jwkSetUri).build();
            jwtDecoder.setClaimSetConverter(new UsernameSubClaimAdapter());
            return jwtDecoder;
        }
    }
    
    @Component
    public class UsernameSubClaimAdapter implements Converter<Jwt, Jwt> {

        @Override
        public Jwt convert(Jwt jwt) {
            Map<String, Object> claims = new LinkedHashMap<>(jwt.getClaims());
            Object username = jwt.getClaims().get("sub");
            claims.put("username", username);
            return new Jwt(jwt.getTokenValue(), jwt.getIssuedAt(), jwt.getExpiresAt(), jwt.getHeaders(), claims);
        }

    }

3、配置OAuth2客户端

    @Configuration
    public class ClientConfig {

        @Bean
        ClientRegistrationRepository clientRegistrationRepository() {
            List<ClientRegistration> registrations = new ArrayList<>();
            registrations.add(gitHubRegistration());
            return new InMemoryClientRegistrationRepository(registrations);
        }

        private ClientRegistration gitHubRegistration() {
            return ClientRegistration.withRegistrationId("github")
                .clientId("github-client-id")
                .clientSecret("github-client-secret")
                .clientAuthenticationMethod(ClientAuthenticationMethod.BASIC)
                .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE)
                .redirectUri("{baseUrl}/login/oauth2/code/{registrationId}")
                .scope("read:user")
                .authorizationUri("https://github.com/login/oauth/authorize")
                .tokenUri("https://github.com/login/oauth/access_token")
                .userInfoUri("https://api.github.com/user")
                .userNameAttributeName("id")
                .clientName("GitHub")
                .build();
        }

    }

4、启动应用程序后,可以通过下面的URI进行OAuth2授权:

    http://localhost:8080/oauth2/authorization/github

5、在授权后,可以通过下面的URI获取受保护资源:

    http://localhost:8080/api/user

四、结论

jwtoauth2是OAuth2协议的补充,它使用JWT代替了OAuth2的令牌格式,更加安全可靠。通过对比,我们可以清晰地认识到它们在令牌格式、令牌加密方式、令牌用途等方面的区别。