OAuth鉴权——douban示例

最新推荐文章于 2024-07-16 10:29:01 发布
最新推荐文章于 2024-07-16 10:29:01 发布
阅读量3k 收藏 3
点赞数
分类专栏: Web 文章标签: authorization token 应用服务器 url c user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lingedeng/article/details/6781821
版权

本文以访问的doubanoauth鉴权为例,说明与上篇“OAuth鉴权——原理”步骤相对应的具体内容。

操作前准备

douban网进行注册,申请访问doubanAPI权限并获得该客户oauth_consumer_keyoauth_consumer_secret,分别对应字符串:08317f4ef55c69f818947dece0153de8d5123fbe2351a66a

douban网提供的RequestToken URLUserAuthorization URLAccessTokenURL分别为

http://www.douban.com/service/auth/request_token

http://www.douban.com/service/auth/authorize

http://www.douban.com/service/auth/access_token

具体操作

A. 客户端(第三方软件)向doubanOAUTH服务器请求未授权的RequestToken。向http://www.douban.com/service/auth/request_token发起请求,在请求头中包含Authorization参数,参数值如下:

     Authorization ="OAuth realm=\"\",

     oauth_consumer_key=\"08317f4ef55c69f818947dece0153de8\",

     oauth_signature_method=\"HMAC-SHA1\",

     oauth_signature=\"sakzOEJkvdLuQQ147tkH96UfRUk%3D\",

     oauth_timestamp=\"1296185895\",

     oauth_nonce=\"F05FDFAE-251C-4F5C-96B8-8891E9FFA798\",

     oauth_version=\"1.0\"";

注:oauth_signature字段保存本次请的鉴名信息,用于本次用于鉴名的字符串为”http://www.douban.com/service/auth/request_token&oauth_consumer_key=08317f4ef55c69f818947dece0153de8&oauth_nonce=F05FDFAE-251C-4F5C-96B8-8891E9FFA798&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1296185895&oauth_version=1.0,用于鉴名的密匙为oauth_consumer_secretd5123fbe2351a66a

B. OAUTH服务提供商同意使用者的请求,并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret,并返回给使用者;

     oauth_token=bd91a88ccc59247038b4f9a6650b6d50&oauth_token_secret=6630aaac2859a95f

C. 使用者向OAUTH服务提供商请求用户授权的RequestToken。即向UserAuthorization URL发起请求并在请求中携带上一步服务提供商颁发的未授权的token与其密钥。

    本次请求URL格式:http://www.douban.com/service/auth/authorize?oauth_token=bd91a88ccc59247038b4f9a6650b6d50&oauth_token_secret=6630aaac2859a95f

D. OAUTH服务提供商通过网页要求用户登录并引导用户完成授权

    引导页面如下:

点击登录,进入登录页面,输入用户Email及密码;登录成功后,要求用户选择是否允许第三方应用访问

点击同意,允许第三方应用操作douban数据


E. Request Token授权后,使用者将向http://www.douban.com/service/auth/access_token发起请求,将B)步骤中获得的RequestToken换取成AccessToken,同样在请求头中包含Authorization参数:

     Authorization ="OAuth realm=\"\",

     oauth_consumer_key=\"08317f4ef55c69f818947dece0153de8\",

     oauth_token=\"bd91a88ccc59247038b4f9a6650b6d50\",

     oauth_signature_method=\"HMAC-SHA1\",

     oauth_signature=\"D1FG9iv536wT75flCsd4Myf60CA%3D\",

     oauth_timestamp=\"1296185954\",

     oauth_nonce=\"C607984D-7249-4C69-B50E-3051F0FF6711\",

     oauth_version=\"1.0\"";

注:oauth_signature字段保存本次请的鉴名信息,用于本次用于鉴名的字符串为”http://www.douban.com/service/auth/access_token&oauth_consumer_key=08317f4ef55c69f818947dece0153de8&oauth_nonce=C607984D-7249-4C69-B50E-3051F0FF6711&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1296185954&oauth_token=bd91a88ccc59247038b4f9a6650b6d50&oauth_version=1.0,用于鉴名的密匙为oauth_consumer_secret6630aaac2859a95f

F. OAUTH服务提供商同意使用者的请求,并向其颁发AccessToken与对应的密钥,并返回给使用者。对于douban应用服务器还返回了douban_user_id。返回结果:oauth_token=a8368ebd03415dfdf8a3ac3709c419f7&oauth_token_secret=2b211ceab9b567f6&douban_user_id=48880757

G. 使用者以后就可以使用上步返回的AccessToken密钥访问用户授权的资源。







lingedeng
关注
专栏目录
SaaS开放平台安全鉴权方式: Oauth鉴权机制及接入说明
行者无疆
10-09 2796
SaaS开放平台鉴权,通常使用Oauth鉴权方式,微信开放平台、淘宝开放平台等都采用了这种鉴权方式。下面介绍一下Oauth鉴权的原理以及如何接入。 1. Oauth是什么 Oauth(开放授权,Open Authorization)是一个开放标准。 允许第三方应用在用户授权的前提下访问户在服务商(平台)那里存储的各种信息。 而这种授权无需将用户提供用户名和密码提供给该第三方网站。 OAu...
oauth2.0鉴权
02-18
oauth2.0认证!支付宝、微信相关sdk是采用它进行鉴权
鉴权 OAuth 2.0的实现(Spring_Security_Oauth2)
qq_25156781的博客
01-28 2893
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
记一次OAuth2.0用户鉴权
2401_84578953的博客
07-16 967
我们平时登录不同的平台,总会有使用到Token的场景,比如用github账户登录掘金,这个时候我们肯定不会把自己的github账号密码给掘金, OAuth 就是这样一套机制,用于各种免密授权登录场景,在便利的同时保证安全性,其实就是向平台申请token授权。笔者最近在用spotify API二次开发自己的应用,所以也碰到用户鉴权登录的场景,踩坑蛮多,也学到很多,所以整理下来,希望能帮助到大家🤗。
OAuth鉴权——原理
lingedeng的专栏
09-16 8209
<!-- p {margin-bottom:0.21cm} --> OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名
请提供一张oauth2鉴权示例
07-28
但我可以为您提供一个OAuth 2.0鉴权的示意图的描述: 1. 用户向客户端应用发起请求。 2. 客户端应用将用户重定向到授权服务器,并携带自己的客户端ID和重定向URI。 3. 用户在授权服务器上进行身份验证,并授权...
Oauth2.0登录鉴权验证
02-24
### Oauth2.0登录鉴权验证 #### OAuth2.0概述 OAuth2.0是一种广泛使用的开放标准,它允许第三方应用在不直接获取用户密码的情况下访问用户在其他网站上存储的数据,比如照片、视频或者联系人列表。这种方式极大地...
Spring Boot 3 极速搭建OAuth2认证框架示例项目
最新发布
08-13
Spring Boot 3 极速搭建OAuth2认证框架示例项目 博文地址: https://blog.csdn.net/oscar999/article/details/136927093
authlete-php-sample-server:使用 Authlete 在 PHP 中实现 OAuth 2.0 服务器的示例
07-11
server.sh是启动服务器的脚本,它实现了 OAuth 2.0 端点(授权端点和令牌端点)和两个受保护的资源端点( /fortune和/saying )作为示例。 有关详细信息,请参阅。 请注意,此源代码树( )中包含的client.json中...
《开放平台鉴权方式详解:OAuth 2.0、API Key、HTTP Basic Authentication》
weixin_42233867的博客
04-22 4523
当今开放平台已经成为了很多应用程序的核心,如何在保证用户数据安全的前提下,为第三方应用程序提供必要的数据访问权限,是开放平台鉴权方式设计的关键问题之一。本文将从OAuth 2.0API Key和三个方面来介绍开放平台主要鉴权方式。
SpringSecurityOauth实现鉴权-动态权限
weixin_62421895的博客
08-11 486
在BaseController,每个Controller都会继承这个的,在里面写给getUser()的方法,只要用户带了token来访问,我们可以直接获取当前登录用户的信息了。为什么需要这个呢,如果不配置这个,对于前端,后端来说都很难去理解鉴权失败返回的内容,还不能统一解读,废话不多说,先看看不配置和配置了的返回情况。(2)我们规定一下,鉴权失败的接口返回接口之后,变成下面这种了,是不是更利于我们处理和提示用户。(1)未自定义前,没有携带token去访问受保护的API接口时,返回的结果是这样的。...
理解OAuth 2.0
05-13 1912
理解OAuth 2.0 作者: 阮一峰 日期: 2014年5月12日 OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAu
前后端常见的几种鉴权方式
热门推荐
wang839305939的博客
01-03 11万+
常见的授权四种授权方式HTTP Basic Authentication,session-cookie,token(jwt),OAuth(开放授权)
OAuth 及 移动端鉴权调研
weixin_33720078的博客
05-15 198
OAuth OAuth是一个解决用户无需向第三方应用提供用户名密码,让第三方应用访问用户私密资源的授权方案。 举例: 用户a,在网站B存有私密信息(年龄、邮箱、头像),而a在访问第三方网站C时,为了让C可以知道a在B网站上的信息,可以通过OAuth授权,让C访问B拿到a的信息。 逻辑步骤 a是下图里的User,B是下图里的Consumer,C是Servi...
豆瓣OAuth2.0针对移动平台的第三方应用授权
mmdev
08-11 214
最近无聊找一些开放平台提供的资源,做一些第三方应用练练手。 对于微博类开放平台,因为很早前还在做Android的时候做过一次,没什么新鲜感。 恰巧本人以前玩豆瓣,对于豆瓣社区的一些资源还是比较感兴趣,比如小组,评论,书电影音乐资源。 虽然最后浏览完API后,发现已开发的几个接口,相对来说做一个扩展应用的真心比较乏力。 比如关于同城的api提供 比较给力,但是你发现豆瓣自己有客户端了。 豆...
JWT技术——基于token鉴权机制
zollty的专栏
12-27 7074
本文是《REST API安全认证研究》的一部分。   JWT技术(基于token鉴权机制) 流程上是这样的: 用户使用用户名密码来请求服务器 服务器进行验证用户的信息 服务器通过验证后生成一个token发送给用户 客户端存储token,并在每次请求时附送上这个token值 服务端验证token值,并返回数据 这个token必须要在每次请求时...
oauth2.0鉴权,登录访问 “/oauth/token”,请求头Authorization(basicToken)如何取值???
君临天下tjm的博客
06-30 4866
springcloud项目通常使用oauth2.0做鉴权管理微服务模块,当使用grantType="password"和jwt存储token时,需要设置clientId和clientSecret,这两个值可以随便取,配置在application.yml文件里面。访问 “/oauth/token”,参数@RequestHeader("Authorization")的取值是Basic开头,加空格,加clientId:clientSecret格式进行base64加密后的字符串。 在做用户登录的时候,需要传入us
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值