企业官网建设流程全解析

口碑好的网站建设多少钱,wordpress 站内消息,12380网站建设情况汇报,做网站怎么和广告公司合作JWT 和 OAuth 2.0 是两种不同的技术#xff0c;经常一起使用#xff0c;但它们解决不同的问题。 核心区别 方面JWT (JSON Web Token)OAuth 2.0本质一种令牌格式/标准一个授权框架/协议主要目的安全地传输信息授权第三方应用访问资源使用场景身份认证、信息交换委托授权、AP…JWT 和 OAuth 2.0 是两种不同的技术经常一起使用但它们解决不同的问题。核心区别方面JWT (JSON Web Token)OAuth 2.0本质一种令牌格式/标准一个授权框架/协议主要目的安全地传输信息授权第三方应用访问资源使用场景身份认证、信息交换委托授权、API访问控制关注点如何表示和验证身份如何获取访问权限详细解释JWT (JSON Web Token)是什么一种紧凑的、自包含的令牌格式结构Header.Payload.Signature三部分特点包含声明claims可被验证和信任自包含不需要查询数据库即可验证可签名JWS或加密JWE主要用途身份认证如替代Session信息安全传输一次性验证令牌OAuth 2.0是什么一个授权框架定义如何获取访问令牌核心流程客户端申请授权资源所有者同意客户端获得访问令牌使用令牌访问受保护资源授权类型授权码模式最安全隐式模式密码模式客户端凭证模式它们的关系如何一起工作text 用户 → 使用OAuth 2.0流程 → 获得访问令牌 → 令牌是JWT格式 → 访问API资源常见组合模式OAuth 2.0 JWT访问令牌// OAuth 2.0颁发的访问令牌是JWT格式 access_token eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5cOpenID ConnectOIDC基于OAuth 2.0的身份层使用JWT作为ID Token同时提供认证授权JWT结合OAuth 2.0的工作流程第一阶段 (1-4步): OAuth 2.0授权用户通过客户端发起请求重定向到授权服务器进行认证用户同意授权返回授权码第二阶段 (5-7步): JWT令牌生成客户端用授权码交换令牌授权服务器生成JWT格式的令牌JWT包含签名、有效期、用户信息、权限范围等第三阶段 (8-10步): JWT验证与资源访问客户端携带JWT访问API资源服务器验证JWT签名无需查询数据库验证成功后返回受保护资源JWT在OAuth 2.0中的优势自包含性text 解码JWT Payload示例 { iss: auth-server.com, // 颁发者 sub: user123, // 用户标识 exp: 1672531200, // 过期时间 scope: read write, // 权限范围 name: 张三 // 用户信息 }无状态验证资源服务器通过公钥验证签名无需查询授权服务器验证令牌减少网络调用传统OAuth令牌每次API调用需要验证令牌有效性JWT令牌本地验证即可减少授权服务器压力实际应用示例场景用户使用微信登录第三方网站OAuth 2.0流程网站重定向到微信授权页面用户同意授权微信返回授权码网站用授权码换取访问令牌JWT的作用微信颁发的访问令牌可能是JWT格式或者ID TokenOIDC一定是JWT格式网站可以解析JWT获取用户信息关键要点可以单独使用只用JWT做API认证不涉及第三方授权只用OAuth 2.0但不使用JWT格式令牌如使用随机字符串令牌结合使用更强大OAuth 2.0处理授权流程JWT作为令牌格式提供自包含、可验证的特性安全考虑JWT一旦颁发在有效期内无法撤销除非使用黑名单OAuth 2.0支持令牌撤销机制结合使用时需要考虑令牌生命周期管理总结简单说OAuth 2.0是“如何获取权限”的规则JWT是“权限凭证”的一种表现形式。它们经常搭档出现这种结合方式广泛应用于现代Web和移动应用特别是微服务架构中既实现了安全的第三方授权又确保了高效的令牌验证。此外他们各自也能独立工作。