[发明专利]一种简化JWT后的OAuth2.0认证方法

说明书

本发明公开一种简化JWT后的OAuth2.0认证方法，涉及认证服务技术领域，其实现流程包括：(A)客户端请求资源服务器授权；(B)客户端获取到资源服务器的授权后，得到授权凭据；(C)客户端拿着授权凭据去授权服务器获取访问令牌；(D)授权服务器生成一个JWT，同时生成一个UUID，并将UUID和JWT存储在Redis中；(E)授权服务器向客户端颁发UUID作为访问凭据；(F)客户端携带UUID访问资源服务器下被保护的资源；(G)授权服务器或资源服务器拿着UUID去Redis中兑换JWT，解析JWT，进行权限认证；(H)认证通过后，资源服务开放受保护的资源给客户端，供客户端访问。本发明可以解决单点登录使用场景中因JWT过长导致的http header大小超限而引起的请求失效问题。

技术领域

本发明涉及认证服务技术领域，具体的说是一种简化JWT后的OAuth2.0认证方法。

背景技术

Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。

JWT(Json web token)是为了在网络应用环境间传递声明而执行的一种基于Json的开放标准(RFC 7519),该token被设计为紧凑且安全，特别使用分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其他业务逻辑所必须的声明信息，该token可以直接被用于认证，也可以被加密。

UUID，全程Universally Unique Identifier，意为通用唯一标识码。UUID是一个软件构建标准，是让分布式系统中的所有元素，都能有唯一的辨识信息，而不需要通过中央控制端来做辨识信息的指定。如此一来，每个人都可以创建不与其它人冲突的UUID。

OAuth是一个开发标准，在这个标准下允许用户让第三方应用访问该用户在某一网站上存储的私密的资源数据，无需将用户名和密码提供给第三方应用。OAuth2.0是OAuth协议的第二个版本，关注客户端开发者的简易性，同时为Web应用、桌面应用和手机等设备提供专门的认证流程。

在微服务框架中，微服务实例之间往往是使用http协议进行数据传递，而认证所需要的token信息通常是放在http header中。http header的大小是有限制的，默认条件下tomcat(8.0版本)允许的http请求header的最大值是8024个字节(8KB),然而JWT的token一般都很大(平均6KB),所以再加上其他的headers信息后，很容易造成整个header超限，导致请求失败(Bad Request)，系统功能异常，用户使用体验差。

发明内容

本发明针对目前技术发展的需求和不足之处，提供一种简化JWT后的OAuth2.0认证方法，解决单点登录使用场景中因JWT过长导致的http header大小超限而引起的请求失效问题。

本发明的一种简化JWT后的OAuth2.0认证方法，解决上述技术问题采用的技术方案如下：

一种简化JWT后的OAuth2.0认证方法，其特征在于,其实现流程包括：

(A)客户端请求资源服务器授权；

(B)客户端获取到资源服务器的授权后，得到授权凭据；

(C)客户端拿着授权凭据去授权服务器获取访问令牌；

(D)授权服务器生成一个JWT，同时生成一个UUID，并将UUID和JWT存储在Redis中；

(E)授权服务器向客户端颁发UUID作为访问凭据；

(F)客户端携带UUID访问资源服务器下被保护的资源；