【引用】一步一步搭建OAuth认证服务器

最新推荐文章于 2023-05-05 14:48:12 发布
最新推荐文章于 2023-05-05 14:48:12 发布
阅读量1.8k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hawk140/article/details/52344536
版权

现在越来越多开放的互联网公司提供对外的 API 接口,使得第三方应用开发人员可以开发基于该平台接口的应用程序。国外有TwitterFlicker Service等;国内的,像腾讯微博开放平台新浪微博开放平台等等。

这些平台接口的认证方式,无一例外的,都采取了 OAuth 来实现(Twitter原来使用的是Basic Auth方式,后来全面转向OAuth)。

那么,OAuth 是什么?OAuth认证又有什么好处呢?

OAuth 是什么

关于OAuth的定义,在 OAuth官网 的首页上,有一行大大的文字说明:

1
An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications.

(OAuth) 是一个开放协议,它以一种简单、标准的方式实现对桌面和 Web 的应用程序的安全 API 认证。

OAuth 1.0 协议(中文版 | 英文版)这样介绍OAuth:“OAuth 协议致力于使网站和应用程序(统称为消费方)能够在无须用户透露其认证证书的情况下,通过 API 访问某个web服务(统称为服务提供方)的受保护资源。更一般地说,OAuth 为 API 认证提供了一个可自由实现且通用的方法”。

关于 OAuth 的用途,OAuth 1.0 协议(中文版 | 英文版)上举了一个例子:某打印服务提供商 printer.example.com(消费方),希望在无须用户提供其照片存储站点密码的情况下,访问用户储存在 photos.example.net(服务提供方)上的个人照片。

假如没有 OAuth,用户必须要向消费方也就是 printer 提供自己在服务提供商 photos 上的授权资料(通常是密码),消费方利用这个授权资料,通过服务提供方的权限验证,从而获得要打印的图片。这样看似没有什么问题。但是用户的授权资料,通常在这一过程中被消费方有意或者无意地窃取或泄露,从而对用户和服务提供方的信息安全造成威胁。

而如果利用 OAuth 进行此过程的授权,用户的授权资料并不会传递给第三方(也就是消费方,通常是App应用),而消费方只需要将用户引导至服务提供方的授权页面进行授权,使得消费方获得访问受限资源的权限即可。而在此过程中,用户授权过程是在服务提供方进行的,消费方并不会直接接触到用户的授权资料,因此一般不会造成用户授权资料的泄密,从而既保证了用户和服务提供方的信息安全,又使得消费方完成了对受限资源的读取。可谓一举三得。

个人对 OAuth 授权过程的理解:服务提供方 SP 好比一个封闭院子,只有持卡人才能进入,用户 U 就是持卡人之一。而消费方 C 没有持卡,通常情况下是不能进入的。但是有一天,由于特殊原因,U 需要 C 帮忙去 SP 那里取一样东西。这个时候问题就来了: C 没有持卡,不能进去院子,而 U 又不能把卡直接给 C (卡上面有很多个人机密信息,不方便外泄哦)。怎么办呢?

哦,对了,U 可以带着 C 去门口,告诉SP:这个人是我认识的,他需要进去帮我拿我的一样东西,请予放行。这样,U 既不用将带有个人私密信息的门卡交给 C,C 也通过验证拿到了属于 U 的东西。

有的人要问了,是不是下次 C 想要再进 SP 的拿 U 的东西的话,是不是就不用 U 的指引了呢?人类社会的情况通常是这样的。可惜,在 HTTP 的世界里,由于 HTTP 是无状态的协议,因此,SP 仍然不会认识 C。所以,每次 C 想要取东西,总是需要 U 的指引。是不是很麻烦呢?呵呵。但是为了安全,麻烦一点又有什何妨!

上面介绍了 OAuth 认证的基本思路,如果你还不理解,可以参考 OAuth认证流程图, 或者查看腾讯微博关于OAuth认证的介绍。OAuth 官方网站就有一篇文档教程《OAuth入门指南》,不过没有中文版本。有兴趣同学的也可以自己看看。

OAuth 认证授权有以下几个特点:

  • 1. 简单:不管是 OAuth 服务提供者还是应用开发者,都很容易于理解与使用;
  • 2. 安全:没有涉及到用户密钥等信息,更安全更灵活;
  • 3. 开放:任何服务提供商都可以实现 OAuth,任何软件开发商都可以使用 OAuth;

那么下面我们就作为服务提供商角色,来实现 OAuth 认证服务器的安装和搭建。

其实,很多先行者已经开发出了很多的 OAuth 消费方代码(客户端)和服务提供方代码(服务端),这里是它们的一些列表,其中包含了 .NET (C#/VB.NET), ColdFusion, Java, Javascript, Jifty, Objective-C, OCaml, Perl, PHP, Python, Ruby, Erlang 和其他语言的一些实现。

通过 Google,我找到了一个开源的 OAuth 服务端代码和消费方开源代码库项目——oauth-php. 我们就借此来实现。关于OAuth,项目主页的介绍是: OAuth Consumer And Server Library For PHP. 它包含一个完整实现的可扩展的OAuth存储,支持 MySQL/MySQLi, Postgresql, PDO 和 Oracle 等多种存储方式。

它实现了以下方法:

  • 认证进来的请求
  • 为出去的请求签名
  • 使用 body 为请求签名
  • 为多用户管理消费方的 key 和 token(服务端和消费端)
  • 记录经过类库处理的进出的请求(可以在数据库中进行可选配置)

很多网站都在使用oauth-php, 包括荷兰阿姆斯特丹Mediamatic Lab实验室出品的anyMeta CMS. 目前,oauth-php 的代码主要由Corollarium Technologies 负责维护。

为你的服务器增加 OAuth 非常简单。你需要检查进来的请求中 OAuth 认证细节。首先,我们需要四个控制器 controller 文件:

  • oauth_register.php 使消费方用户获得 key 和密钥
  • request_token.php 返回一个未认证的 request token
  • authorize.php 认证一个request token
  • access_token.php 将认证后的 request token 置换为 access token

以下的例子,假设使用的数据存储器是MySQL。你也可以使用其他数据库——当你第一次使用 OAuthStore 实例的时候指定一个参数,告诉它你要使用的数据库。

1
$store = OAuthStore::instance( 'mystore' );

这就是假设在存储器目录,你有一个名为 OAuthStoremystore.php 文件。在这里我们使用 OAuthStoreMySQL.php 文件来实现。这也就是说,我们在实例化 OAuthStore 的时候,需要这样做:

1
$store = OAuthStore::instance( 'MySQL' );

然后,在每个请求被处理之前,都可以检查其是否带有 OAuth 认证信息:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
if (OAuthRequestVerifier::requestIsSigned())
{
try
{
$req = new OAuthRequestVerifier();
$user_id = $req ->verify();
// 如果存在 user_id, 那么作为那个用户角色登录(对于本次请求)
if ( $user_id )
{
// **** 在这里新增你的代码 ****
}
}
catch (OAuthException $e )
{
// 请求已经签名,但是认证失败
header( 'HTTP/1.1 401 Unauthorized' );
header( 'WWW-Authenticate: OAuth realm=""' );
header( 'Content-Type: text/plain; charset=utf8' );
echo $e ->getMessage();
exit ();
}
}

每个消费方都使用 key 和密钥的组合和 token 和 token 密钥的组合来为它的请求进行签名。而在此之前,消费方必须要先获取属于它的消费方 key 和消费方密钥。 oauth_register.php 就是负责分发消费方 key 和密钥的控制器文件。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
// 当前登录用户
$user_id = 1;
// 下面的内容应该来自用户填写的表单
$consumer = array (
// 下面两个是必须的
'requester_name' => 'John Doe' ,
'requester_email' => 'john@example.com' ,
// 下面的是可选的
'callback_uri' => 'http://www.myconsumersite.com/oauth_callback' ,
'application_uri' => 'http://www.myconsumersite.com/' ,
'application_title' => 'John Doe\'s consumer site' ,
'application_descr' => 'Make nice graphs of all your data' ,
'application_notes' => 'Bladibla' ,
'application_type' => 'website' ,
'application_commercial' => 0
);
// 注册消费方
$store = OAuthStore::instance();
$key = $store ->updateConsumer( $consumer , $user_id );
// 从数据存储器获得完整的消费方信息
$consumer = $store ->getConsumer( $key );
// 消费方用户将需要 key 和 secret
$consumer_id = $consumer [ 'id' ];
$consumer_key = $consumer [ 'consumer_key' ];
$consumer_secret = $consumer [ 'consumer_secret' ];

如果你想要更新之前注册的消费方身份,提供消费方id,key 和 secret 。key 和 secret 在更新操作完成之前不会进行改变。

你还可以请求一个特定用户注册的所有消费方列表:

1
2
3
4
5
6
// 当前登录用户
$user_id = 1;
// 取得这个用户注册的全部消费方列表
$store = OAuthStore::instance();
$list = $store ->listConsumers( $user_id );

request_token.php 这个控制器文件负责返回请求 token(未认证的 request token)。当消费方获取了 key 和 secret 之后,它就可以向服务器端请求未认证的 request token 了:

1
2
3
$server = new OAuthServer();
$token = $server ->requestToken();
exit ();

authorize.php 控制器文件负责认证一个用户请求 token。这个控制器负责询问用户是否允许消费方访问他的账户。如果允许,那么消费方将可以使用 request token 换取 access token。必须要保证用户在访问下面的代码之前是登录状态。OAuthServer 服务器使用 SESSION 存储一些 OAuth 状态信息,所以必须要开启seesion会话(要么是 session_start 函数,要么就是自动开启)。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
// 当前登录用户
$user_id = 1;
// 取得OAuth存储器和OAtuh服务器对象
$store = OAuthStore::instance();
$server = new OAuthServer();
try
{
// 检查当前请求中是否包含合法的request token
// 返回一个包含消费方key, 消费方secret, token, token secret 和 token 类型的数组.
$rs = $server ->authorizeVerify();
if ( $_SERVER [ 'REQUEST_METHOD' ] == 'POST' )
{
// 检查用户是否点击了 'allow' 按钮或者其他你指定的按钮)
$authorized = array_key_exists ( 'allow' , $_POST );
// 设置 request token 的认证状态(已认证或者是未认证)
// 当包含 oauth_callback 回调的时候,这些将传给消费方
$server ->authorizeFinish( $authorized , $user_id );
// 没有 oauth_callback 回调, 显示认证结果
// ** 你的代码 **
}
}
catch (OAuthException $e )
{
// 没有需要认证的 request token, 显示一个可以输入 request token 的页面
// ** 你的代码 **
}

access_token.php 控制器文件负责将认证的request token换成access token。access token 可以被用来为请求签名。

1
2
$server = new OAuthServer();
$server ->accessToken();

看完本文,如果还是一头雾水,不知道如何下手,可以继续阅读《基于PHP & MySQL 搭建 OAuth Server》。

西漂的阿飞
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解Springboot Oauth2 Server搭建Oauth2认证服务
08-25
主要介绍了Springboot Oauth2 Server 搭建Oauth2认证服务,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
oauth2.0--基础--03--简单搭建认证服务器,资源服务器
zhou920786312的博客
10-30 2523
1、整体代码 框架:spring sercurity+oauth2.0 1.1、代码结构 3、认证服务器代码:oauth-authorizationServer UserBean AuthorizationServer WebSecurityConfig UserDao SpringDataUserDetailsService application.properties pom.xml mysql.sql 数据库脚本 3.2、解读代码 3.2.1、OAuth2.0授权服务器的开启
一步一步搭建 OAuth 认证服务器
leeyisoft的专栏
04-28 1712
现在越来越多开放的互联网公司提供对外的 API 接口,使得第三方应用开发人员可以开发基于该平台接口的应用程序。国外有Twitter、Flicker Service等;国内的,像腾讯微博开放平台、新浪微博开放平台等等。 这些平台接口的认证方式,无一例外的,都采取了 OAuth 来实现(Twitter原来使用的是Basic Auth方式,后来全面转向OAuth)。 那么,OAuth
搭建oauth-server
cjings的专栏
07-01 796
搭建一个开放平台,要用oauth.之前问过很多,看过很多,对于没有学过编程的人来讲没看进去. 直到结合三个文件.httpblog.csdn.netStarParkerarticledetails19576511,命名规范,oauth1.0 httpmy.oschina.netphptiger86blog113262 与httpwww.lwxshow.comthread-40-1-1.htm
SpringBoot集成SpringSecurity5和OAuth2 — 1、基于内存的OAuth2认证服务器
Mr_XiMu的博客
05-21 2250
SpringBoot集成SpringSecurity5和OAuth2 — 1、基于内存的OAuth2认证服务器
Spring Cloud OAuth2 认证服务器
凉茶铺的博客
08-31 2857
Spring Cloud OAuth2 是 Spring Cloud 体系对OAuth2协议的实现,可以用来做多个微服务的统一认证(验证身份合法性)授权(验证权限)。通过向OAuth2服务(统一认证授权服务)发送某个类型的grant_type进行集中认证和授权,从而获得access_token(访问令牌),而这个token是受其他微服务信任的。............
于 Spring Boot 开发的 OAuth 认证服务器
11-05
于 Spring Boot 开发的 OAuth 认证服务器
oauth2全套(授权服务器+资源服务器+客户端独立版)
04-10
独立的授权服务器,资源服务器,客户端单点登录系统。 采用Oauth2进行token认证,模拟用户信息进行登录。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
使用Springboot搭建OAuth2.0 Server的方法示例
08-27
主要介绍了使用Springboot搭建OAuth2.0 Server的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
OAuth 服务器端架构 C# 完整版
07-07
让你轻松在服务器端架构 Oauth,不可多得,只需要重写其它的方法即可,可与WCF完整集成。
SpringCloud搭建微服务之OAuth2认证和授权
liu320yj的博客
10-04 3249
OAuth2.0是一个标准的授权协议,实际上它是用户资源和第三方应用之间的一个中间层,把资源和第三方应用隔开,使得第三方应用无法直接访问资源,第三方应用要访问资源需要通过提供凭证获得OAuth2.0授权,从而起到保护资源的作用
OAuth2:搭建授权服务器
Leon_Jinhai_Sun的博客
07-30 2910
OAuth2:搭建授权服务器
oauth服务器搭建 java_JAVA Oauth 认证服务器搭建
weixin_39599654的博客
02-27 72
http://blog.csdn.net/binyao02123202/article/details/122044111、软件下载2、服务端源码下载后,把相关代码整合在一起(或直接下载站长整合好的代码),修改net.oauth.provider.core.SampleOAuthProvider 类,把从 provider.properties 读取的信息改为从数据库中读取,如APP_KEY、A...
OAuth2.0认证登录服务端实现详解
泛微二次开发后端知识总结
05-05 3675
本篇博客介绍了OAuth2.0认证登录服务端的实现过程,主要针对授权码模式和简化模式做了详细介绍。OAuth2.0是目前业界广泛使用的认证授权框架,在实际应用中,可以根据系统需求选择不同的授权方式。
芋道 spring security oauth2 入门_OAuth2.0分布式系统环境搭建
weixin_39602280的博客
11-26 340
介绍OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0的系统大致分由客户端,认证授权服务器以及资源服务器三部分组成。客户端如果想要访问资源服务器中的资源,就必须要持有认证授权服务器颁发的Token。认证流程如下图所示:这篇文章将通过一个具体的案例来展示如何搭建一个分布式...
OAuth2.0认证服务搭建记录
cz1803472613的博客
05-26 739
配置OAuth2.0 代码结构 1、依赖准备 <!--spring security的依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </depend
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
凡的博客
04-19 8866
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
基于 PHP & MySQL 搭建 OAuth Server
YoungerChen的专栏
09-09 3335
为了方便理解,可以先看一下在 OAuth 认证过程中的几个关键术语,这也是 RFC5849 中 “1.1.  Terminology” 小节的内容。也可以查看其中文版本。 想了一下,没有想到好的应用场景,干脆就使用 RFC5849 中的例子吧。这个例子大概的意思是:
oauth2服务器搭建
最新发布
12-16
为了搭建OAuth2服务器,您可以使用现有的OAuth2服务器实现,例如Authlib或OAuthlib。以下是使用Authlib搭建OAuth2服务器的步骤: 1.安装Authlib ```shell pip install authlib ``` 2.创建一个Flask应用程序 ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值