V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  ivydom  ›  全部回复第 9 页 / 共 10 页
回复总数  184
1  2  3  4  5  6  7  8  9  10  
2018-02-20 14:52:57 +08:00
回复了 ivydom 创建的主题 程序员 做了一个云端身份认证服务
@zachguo 谢谢哈~有兴趣加入我们开发者群吗?
2018-02-20 14:52:32 +08:00
回复了 ivydom 创建的主题 程序员 做了一个云端身份认证服务
@zachguo 区别不大 和 auth0 的理念差不多,会针对国内情况做一些优化
2018-02-03 22:47:12 +08:00
回复了 ivydom 创建的主题 分享发现 分享一个下一代身份认证服务
@geekcorn 有兴趣加入我们的开发者微信群吗?
一个是 MDN (火狐开发者文档)
另外一个是 AUthing:
- https://github.com/Authing/authing
- https://docs.authing.cn/#/
2018-01-29 18:52:04 +08:00
回复了 ivydom 创建的主题 云计算 什么是 identity as a Service (IDaaS)?
@whx20202 快速接入社交媒体 oauth,快速拥有可视化的用户管理
2018-01-28 23:26:55 +08:00
回复了 whx20202 创建的主题 问与答 请教一下 JWT 在前后端分离下的实现
https://github.com/Authing/authing 最近做了个云端用户认证系统 使用了 jwt 楼主可以参考
2018-01-26 23:04:42 +08:00
回复了 ivydom 创建的主题 Node.js 开发了一个云端用户认证系统
@zjupigeon @zjupigeon 1000 人免费 2000 人 50 按量付费 10 万人的话大概 9000
2018-01-26 12:25:07 +08:00
回复了 ivydom 创建的主题 Node.js 开发了一个云端用户认证系统
@ohoh 嗯嗯 thx 可以参考
2018-01-26 09:38:42 +08:00
回复了 ivydom 创建的主题 Node.js 开发了一个云端用户认证系统
@ericgui 对 我们和他很像
2018-01-26 08:58:34 +08:00
回复了 ivydom 创建的主题 Node.js 开发了一个云端用户认证系统
@chinvo 因人而异吧
2018-01-26 00:30:09 +08:00
回复了 ivydom 创建的主题 Node.js 开发了一个云端用户认证系统
@cuqk soga
2018-01-25 23:58:10 +08:00
回复了 ivydom 创建的主题 Node.js 开发了一个云端用户认证系统
@cuqk 有兴趣吗?有兴趣的话可以加微信聊聊
2018-01-25 23:57:44 +08:00
回复了 ivydom 创建的主题 Node.js 开发了一个云端用户认证系统
@AlwaysBehave 嗯 最像的是 auth0.com
2018-01-25 23:57:19 +08:00
回复了 ivydom 创建的主题 Node.js 开发了一个云端用户认证系统
@cuqk 权限管理可以外接 我这边不存储 不参与:)
2018-01-25 23:36:00 +08:00
回复了 ivydom 创建的主题 Node.js 开发了一个云端用户认证系统
@cuqk 还包括邮件服务 oauth 服务等快速接入
2018-01-25 23:35:06 +08:00
回复了 ivydom 创建的主题 Node.js 开发了一个云端用户认证系统
@34C 可以这么理解,同时支持第三方 oauth 的快速接入
2018-01-25 23:34:41 +08:00
回复了 ivydom 创建的主题 Node.js 开发了一个云端用户认证系统
@cuqk 你好
鉴权需要访问 authing 的服务
权限管理目前仅限于个人
2018-01-25 21:09:01 +08:00
回复了 ericgui 创建的主题 程序员 前后端是怎么验证身份的?
最好正好在做通用认证系统,简单说一下:

具体可以看这里: https://github.com/Authing/authing

### 认证流程

![auth_uml]( http://usercontents.authing.cn/white_paper/authing_auth_uml.png)

认证通过后,后端会生成基于 JWT 规范的 Token。客户端将 Token 放到 HTTP 协议中的```Authorzation```头中并加上标注```Bearer```即可进行登录验证。

流程如下:

- 用户使用用户名密码来请求服务器
- 服务器进行验证用户的信息
- 服务器通过验证发送给用户一个 token
- 客户端存储 token,并在每次请求时附送上这个 token 值
- 服务端验证 token 值,并返回数据

#### JWT

JWT 是由三段信息构成的,将这三段信息文本用.链接一起就构成了 JWT 字符串。就像这样:

```
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
```

##### JWT 的构成
第一部分我们称它为头部( header),第二部分我们称其为载荷( payload, 类似于飞机上承载的物品),第三部分是签证( signature).

###### header
jwt 的头部承载两部分信息:

- 声明类型,这里是 jwt
- 声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的 JSON:

``` javascript
{
'typ': 'JWT',
'alg': 'HS256'
}
```

然后将头部进行 base64 加密(该加密是可以对称解密的),构成了第一部分.
```
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
playload
```

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分

- 标准中注册的声明
- 公共的声明
- 私有的声明

标准中注册的声明 (建议但不强制使用) :

- ```iss```: jwt 签发者
- ```sub```: jwt 所面向的用户
- ```aud```: 接收 jwt 的一方
- ```exp```: jwt 的过期时间,这个过期时间必须要大于签发时间
- ```nbf```: 定义在什么时间之前,该 jwt 都是不可用的.
- ```iat```: jwt 的签发时间
- ```jti```: jwt 的唯一身份标识,主要用来作为一次性 token,从而回避重放攻击。


**公共的声明 :**

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息,因为该部分在客户端可解密.

** 私有的声明 :**

私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为 base64 是对称解密的,意味着该部分信息可以归类为明文信息。

定义一个 payload:

``` javascript
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
```

然后将其进行 base64 加密,得到 Jwt 的第二部分。

```
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
```

**signature**

jwt 的第三部分是一个签证信息,这个签证信息由三部分组成:

- header (base64 后的)
- payload (base64 后的)
- secret

这个部分需要 base64 加密后的 header 和 base64 加密后的 payload 使用.连接组成的字符串,然后通过 header 中声明的加密方式进行加盐 secret 组合加密,然后就构成了 jwt 的第三部分。

``` javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
```
将这三部分用.连接成一个完整的字符串,构成了最终的 jwt:

```
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
```

注意:secret 是保存在服务器端的,jwt 的签发生成也是在服务器端的,secret 就是用来进行 jwt 的签发和 jwt 的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个 secret,那就意味着客户端是可以自我签发 jwt 了。
2018-01-25 21:04:49 +08:00
回复了 ivydom 创建的主题 Node.js 开发了一个云端用户认证系统
顶上去 让更多人看到
1  2  3  4  5  6  7  8  9  10  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5199 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 21ms · UTC 05:50 · PVG 13:50 · LAX 21:50 · JFK 00:50
Developed with CodeLauncher
♥ Do have faith in what you're doing.