重庆熊猫 Loading

JWT 授权与认证过程原理

完整过程图示

image

请求流程

(1)客户端向授权服务系统发起请求,申请获取“令牌”。
(2)授权服务根据用户身份,生成一张专属“令牌”,并将该“令牌”以JWT规范返回给客户端。
(3)客户端将获取到的“令牌”放到Http请求的Headers中后,向主服务系统发起请求。主服务系统收到请求后,会从Headers中获取“令牌”,并从“令牌”中解析出该用户的身份权限,然后做出相应的处理(同意或拒绝返回资源)。

生成一个令牌整个过程可以分为四步
(1)我们需要一个具有一定规则的Token令牌,也就是JWT令牌(比如公司门禁卡——登录)。
(2)再定义哪些地方需要什么样的角色(比如领导办公室是没办法进去的 —— 授权机制)。
(3)整个公司需要定一个规则,就是如何对这个Token进行验证,不能随便写个字条,这样容易被造假(比如公司门上的每一道刷卡机—— Jwt Bearer认证方案)。
(4)最后,就是安全部门,开启认证中间件服务(这个服务是可以关闭的,比如电影里看到的黑客会把这个服务给关掉,这样整个公司的安保系统就形同虚设了 —— 开启中间件)。

posted @ 2023-01-16 11:27  重庆熊猫  阅读(231)  评论(0编辑  收藏  举报