OAuth2.0协议 - OAuth授权流程详解

最新推荐文章于 2024-03-08 14:08:54 发布
最新推荐文章于 2024-03-08 14:08:54 发布
阅读量1.6w 收藏 9
点赞数 1
分类专栏: 最佳实践
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_26672553/article/details/56024818
版权

三个重要步骤

这里写图片描述
1、慕课网腾讯QQ OAuth请求OAuth登录页
2、用户在这个页面中输入QQ号和密码
3、最后腾讯QQ OAuth把登录结果返回给慕课网

步骤一:请求OAuth登陆页

Request Token URL:为授权的令牌请求服务地址
结合我们的例子就是:慕课网请求QQ登录页面时使用的带有『特定参数的URL』。

https://graph.qq.com/oauth/show?which=Login&display=pc&client_id=100490398&response_type=code&scope=get_user_info&redirect_uri=http%3A%2F%2Fpassport.mukewang.com%2Fuser%2Ftpcallback%3Freferer%3Dhttp%3A%2F%2Fwww.imooc.com%26browser_key%3D0%26tp%3Dqq%26bind%3D0

client_id:第三方站点的唯一的appid
redirect_uri:回调地址

步骤二:用户使用第三方帐号登录并授权

前面我们已经知道redirect_uri就是QQ登录之后的回调地址(用户登录成功之后要跳转到什么地方去),并且在跳转的过程中URL上会带上一个加密的code参数

http://www.mukewang.com/user/qqcallback?code=xxxxxxxxxx

步骤三:返回登录结果

步骤一:请求OAuth登陆页

Request Token URL:为授权的令牌请求服务地址
结合我们的例子就是:慕课网请求QQ登录页面时使用的带有『特定参数的URL』。

https://graph.qq.com/oauth/show?which=Login&display=pc&client_id=100490398&response_type=code&scope=get_user_info&redirect_uri=http%3A%2F%2Fpassport.mukewang.com%2Fuser%2Ftpcallback%3Freferer%3Dhttp%3A%2F%2Fwww.imooc.com%26browser_key%3D0%26tp%3Dqq%26bind%3D0

client_id:第三方站点的唯一的appid
redirect_uri:回调地址

前面我们在介绍OAuth协议的时候,为了偏于理解,在『返回登录结果』处只画了一个箭头,其实这里有个一来一回的交互过程。
步骤二中,慕课网的服务器会拿到一个code,但是仅凭这个code还不够。慕课网还需要向QQ服务器发送一个请求(User Authorization URL:用户授权的令牌请求服务地址)。

大概是类似下面这样一个URL:

https://xxx.qq.com/oauth/....?
&client_id=100490398&....
&client_secret=xxxxxxx&.....
&code=xxxxxxxx&.......

code是个有生命周期且只可使用一次的字符串。

关于AccessToken

在QQ登录成功后,返回登录结果中,响应给慕课网的数据中还有一个AccessToken
这个AccessToken,就是用户通过第三方应用访问OAuth接口的令牌。

比如:通过慕课网把自己喜欢的课程分享到QQ空间

AccessToken与RefreshToken数据传输原理

这里写图片描述

AccessToken与RefreshToken生命周期

AccessToken:一般具有较长的生命周期
当AccessToken快要过期的时候,很多平台可以使用一个RefreshToken来要求刷新AccessToken。

User Authorization URL中指定参数
.....&need_refresh_token=true&....
学习笔记666
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
OAuth 2.0授权协议详解
10-25
主要介绍了OAuth 2.0授权协议详解,本文对OAuth协议做了详解讲解,对OAuth协议的各个方面做了分解,读完本文你就会知道到底啥是OAuth了,需要的朋友可以参考下
详解使用Spring Security OAuth 实现OAuth 2.0 授权
08-28
本篇文章主要介绍了详解使用Spring Security OAuth 实现OAuth 2.0 授权,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
QQ第三方登录
ZHYL1972的博客
03-16 499
现在这种第三方登录的应用很广泛也很方便。省得用户进行注册了。现在把QQ登录的方法和步骤记录一下,以备使用时方便。 一、第三方登录接口申请流程 1 QQ互联->网站接入http://connect.qq.com/manage/index?apptype=web 2 按照要求填写开发者资料.重要一点是自己域名的www.XX.com/XX回调地址。    3申请成功之...
OAuth 2.0设计规范
一叶知春秋
05-20 1379
OAuth2.0接口设计规范说明 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务器提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。
oauth2的流程是什么
最新发布
m0_57236802的博客
03-08 521
OAuth 2.0 是一个授权框架,允许第三方应用访问用户在Web服务上的资源,而无需将用户名和密码直接暴露给第三方应用。OAuth 2.0 定义了几种授权流程,适用于不同的应用场景。
Spring Security OAuth2.0(五)-----OAuth2实现自定义统一认证登录页/自定义授权页/基于mysql存储数据
qq_42264638的博客
06-19 3359
Spring Security OAuth2.0(五)-----OAuth2实现自定义统一认证登录页/自定义授权页/基于mysql存储数据
第一章 OAuth2.0规范(史上最详细解释)——介绍
后来者居上
12-14 968
在传统的客户端-服务器身份验证模式中,客户端请求服务器上访问受限的资源(受保护的资源)时,需要使用资源所有者的凭据在服务器上进行身份验证。资源所有者为了给第三方应用提供受限资源的访问权限,需要与第三方共享它的凭据。第三方应用需要存储资源所有者的凭据以供将来使用。该凭据通常是明文密码。服务器需要支持密码身份认证,尽管密码认证有固有的安全缺陷。第三方应用获得了对资源所有者的受保护资源的过于宽泛的访问权限,从而导致资源所有者不能限制对资源的有限子集的访问时限或权限。
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 8798
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
详解laravel passport OAuth2.0的4种模式
10-16
主要介绍了laravel passport OAuth2.0的4种模式,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Android仿新浪微博oauth2.0授权界面实现代码(2)
01-04
oauth2.0授权界面,大致流程图: 前提准备: 在新浪开放平台申请appkey和appsecret:http://open.weibo.com/. 熟悉oauth2.0协议,相关知识:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html OAuth2的...
kong-oauth2-demo:这是一个与Kong OAuth2插件一起使用的简单演示
03-07
kong-oauth2-demo 这是一个与Kong oauth2插件一起使用的简单演示,显示了4种不同的授权流程我还在fomm/kong-oauth2-demo制作了一个fomm/kong-oauth2-demo镜像您可以使用docker run -d -p 8080:80 fomm/kong-oauth2-...
第四章 OAuth2.0规范(史上最详细解释)——获得授权
后来者居上
12-15 694
为了请求访问令牌,客户端从资源所有者获得授权授权表现为授权许可的形式,客户端用它请求访问令牌。OAuth定义了四种许可类型:授权码、隐式许可、资源所有者密码凭据和客户端凭据。它还提供了扩展机制定义其他许可类型。
实战干货!Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权
码猿技术专栏
12-21 5881
大家好,我是不才陈某~这是《Spring Cloud 进阶》第15篇文章,往期文章如下:五十五张图告诉你微服务的灵魂摆渡者Nacos究竟有多强?openFeign夺命连环9问,这谁受得了?...
登录模块 用户认证 SpringSecurity +Oauth2+Jwt
m0_46690280的博客
10-14 6658
SpringSecurity Oauth2 jwtSpringSecurity Oauth2 jwt1 用户认证分析1.1 单点登录1.2 第三方账号登录2 认证解决方案2.1 单点登录技术方案2.2 第三方登录技术方案2.2.1 Oauth2认证流程2.2.2 Oauth2在项目的应用2.3 Spring security Oauth2认证解决方案3 Jwt令牌回顾3.1 令牌结构3.2 生成私钥公钥3.3 基于私钥生成jwt令牌3.3.1导入认证服务3.3.2 认证服务中创建测试类3.4 基于公
政务场景下-基于OAuth2.0 统一认证中心架构设计
qq_27631217的博客
10-31 1333
政务场景下统一认证中心设计
统一身份认证OAuth2
siberian_wolf_wy的博客
09-17 2429
统一身份认证OAuth2 前置条件 在进行统一身份认证OAuth2.0授权登录接入前,在统一身份认证服务平台注册应用,并对该应用提请接入审核,当拥有一个已审核通过的应用,并获得相应的appid和appsecret后,申请统一认证登录且审核通过后,才可以开始接入流程授权说明 统一身份认证OAuth2.0授权...
第三方登陆——OAuth2.0协议
青春微凉、不悲伤℃
06-29 4601
OAuth协议百度解释为:为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。OAuth是Open Authorization的简写。        那么OAuth协议具体是指什么呢?例如,我想登陆咱们CSDN的
OAuth2.0授权码登录详解
zhang09090606的博客
07-04 4287
一、概述 我们平时登录各种网站时都会用到第三方账号登录,比如qq账号授权登录、GitHub账号授权登录等等,那么究竟是怎么实现的第三方账号登录的呢,其实就是通过OAuth2.0的机制 接下来的叙述都以微信登录同程旅行为例,先看下授权登录用户操作流程 1.用户先点击微信登录 2.弹出授权框点击同意后登录成功 二、OAuth2.0 重要的参数 (1)code码: 用户点击微信登录时,同程的客户端会调用微信提供的授权组件弹出授权框,当用户点击授权,那么微信组件将会申请一个code码给
oauth2.0与单点登录
热门推荐
weixin_40482816的博客
02-26 1万+
1、什么是 OAuth2.0 OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。 OAuth2.0OAuth 协议的下一版本,但不向下兼容 OAuth 1.0。传统的 Web 开发登录认证一般都是基于 sess
oauth2.0协议中文文档
10-18
2. 授权流程:文档详细阐述了OAuth 2.0的授权流程。在此流程中,客户端通过向授权服务器发起请求来获取授权,并获得访问令牌。该流程包括用户身份验证、授权许可的获取和令牌颁发等步骤。 3. 授权类型:OAuth 2.0...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值