我将用它实现 OAuth 2.0 和 REST API
为每个用户授予不同的权限,并且可以很好地扩展。
为了更好地扩展,无状态更容易,因为有
NO 文件、数据库、基于内存的会话。
以下是我对 OAuth 2 的理解。
所以我不必担心会话存储。对吧?
【问题讨论】:
标签: session rest oauth oauth-2.0 stateless
您在此处描述的是 OAuth 2 Implicit Grant flow。 OAuth 2 还包括其他三个流程,但您的资源所有者(用户)似乎正在使用浏览器端 Javascript(您在谈论 cookie)发起请求,这是您应该采用的流程。
在客户端,OAuth 只需要您存储 access_token 以访问受保护的资源(如果您要使用即将到期的 access_token,则需要存储 refresh_token)。
【讨论】:
redirect_uri 以获得更好的安全性。如果这就是他所说的“会话存储”,我误解了这个问题;)
redirect_uri的部分,这是错误的。我应该去睡觉了;)
最近的一项创新是 JWT - JSON Web Token。
这是规范的链接: JWT - JSON Web Token
JWT 是一种使用哈希令牌的方法,它使用哈希方法,例如 HMAC,它代表基于哈希的消息身份验证代码。由于令牌使用密钥进行哈希处理,因此服务器可以确定令牌是否已被篡改。
以下是为 JWT 创建哈希令牌的示例方法:
public String createTokenForUser(User user) {
byte[] userBytes = toJSON(user);
byte[] hash = createHmac(userBytes);
final StringBuilder sb = new StringBuilder(170);
sb.append(toBase64(userBytes));
sb.append(SEPARATOR);
sb.append(toBase64(hash));
return sb.toString();
}
这是一个解码令牌以确保其未被篡改的示例:
public User parseUserFromToken(String token) {
final String[] parts = token.split(SEPARATOR_SPLITTER);
if (parts.length == 2 && parts[0].length() > 0 && parts[1].length() > 0) {
try {
final byte[] userBytes = fromBase64(parts[0]);
final byte[] hash = fromBase64(parts[1]);
boolean validHash = Arrays.equals(createHmac(userBytes), hash);
if (validHash) {
final User user = fromJSON(userBytes);
if (new Date().getTime() < user.getExpires()) {
return user;
}
}
} catch (IllegalArgumentException e) {
//log tampering attempt here
}
}
return null;
}
这里有一篇文章有更完整的例子:Stateless Authentication
【讨论】: