6 записей с тегом "JWT"

1. Введение​

В этом кратком руководстве мы увидим, как настроить пользовательский интерфейс Swagger для включения веб-токена JSON (JWT) при вызове нашего API.

2. Зависимости Maven​

В этом примере мы будем использовать springfox-boot-starter , который включает в себя все необходимые зависимости для начала работы с Swagger и пользовательским интерфейсом Swagger. Давайте добавим его в наш файл pom.xml :

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>io.springfox</groupId>
    <artifactId>springfox-boot-starter</artifactId>
    <version>3.0.0</version>
</dependency>

1. Обзор​

Веб -токен JSON (JWT) часто используется в безопасности REST API. Несмотря на то, что токен может быть проанализирован такими фреймворками, как Spring Security OAuth , мы можем захотеть обработать токен в нашем собственном коде.

В этом руководстве мы расшифруем и проверим целостность JWT .

2. Структура JWT​

Во-первых, давайте разберемся со структурой JWT :

1. Введение​

В этом руководстве мы покажем, как настроить сопоставление утверждений JWT (веб-токен JSON) с авторитетами Spring Security .

2. Фон​

Когда правильно настроенное приложение на основе Spring Security получает запрос, оно проходит ряд шагов, которые, по сути, преследуют две цели:

• Аутентифицируйте запрос, чтобы приложение могло знать, кто к нему обращается.
• Решите, может ли аутентифицированный запрос выполнять связанное действие

Готовитесь к созданию безопасной аутентификации в своем Java-приложении или боретесь с ней? Не уверены в преимуществах использования токенов (и, в частности, веб-токенов JSON) или в том, как их следует развертывать? Я рад ответить на эти и другие вопросы для вас в этом уроке!

Прежде чем мы углубимся в веб-токены JSON ( JWT ) и библиотеку JJWT (созданную техническим директором Stormpath Лесом Хэзлвудом и поддерживаемую сообществом участников ), давайте рассмотрим некоторые основы.

1. Аутентификация против аутентификации по токену​

Набор протоколов, которые приложение использует для подтверждения личности пользователя, называется аутентификацией. Приложения традиционно сохраняют свою идентичность с помощью сеансовых файлов cookie. Эта парадигма основана на хранении идентификаторов сеансов на стороне сервера, что вынуждает разработчиков создавать хранилище сеансов, которое либо уникально и специфично для сервера, либо реализовано как полностью отдельный уровень хранения сеансов.

Аутентификация с помощью токенов была разработана для решения проблем, с которыми идентификаторы сеансов на стороне сервера не справились и не могли справиться. Как и при традиционной аутентификации, пользователи предоставляют проверяемые учетные данные, но теперь им выдается набор токенов вместо идентификатора сеанса. Исходными учетными данными могут быть стандартная пара имени пользователя и пароля, ключи API или даже токены из другого сервиса. (Примером этого является функция аутентификации ключа API Stormpath.)

1.1. Почему жетоны?​

1. Обзор​

В этом руководстве мы обсудим, как заставить нашу реализацию Spring Security OAuth2 использовать веб-токены JSON.

Мы также продолжаем развивать предыдущую статью из этой серии OAuth.

Прежде чем мы начнем — одно важное замечание. Имейте в виду, что основная команда Spring Security находится в процессе реализации нового стека OAuth2, причем некоторые аспекты уже реализованы, а некоторые еще находятся в разработке.

Версию этой статьи, использующую новый стек Spring Security 5, можно найти в нашей статье Использование JWT с Spring Security OAuth .

1. Обзор​

В этом руководстве мы обсудим, как заставить нашу реализацию Spring Security OAuth2 использовать веб-токены JSON.

Мы также продолжаем развивать статью Spring REST API + OAuth2 + Angular в этой серии OAuth.

2. Сервер авторизации OAuth2​