Auth2.0 授权码模式个人分析思路

最新推荐文章于 2024-01-31 00:27:53 发布
最新推荐文章于 2024-01-31 00:27:53 发布
阅读量4.4k 收藏
点赞数 3
分类专栏: 协议 文章标签: auth2.0 授权码模式 用户授权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28666081/article/details/75808253
版权

架构:
http://www.cnblogs.com/yuanloo/p/4330098.html  

接口设计:获取code的接口+获取access_token+获取资源服务器
页面设计:登录页->授权页   (需要打开app并判断是否已登录,未登录先登录,已登录则调到授权页(可静默授权直接返回到 redirect_uri))     

 

①建立一个开放平台用于开发者注册获取app key、app secret,然后app key与app secret会将数据存储到认证服务器  #此处需建立一个数据表(开发者信息表-developer 表、authorzation表)


开发者信息表(developer):id、app_key(相当于微信的appid、oauth2.0中的client_id)、app_secret、redirect_uri(授权后的回调地址)、code(用于记录授权码)access_token、username、desc、created_at、updated_at
认证表(authorization):id、developer_id(索引对应的开发者信息)、user_id(用户id索引)、code、access_token、expires_in、created_at、updated_at   #可合并到用户表


注:开放平台返回时可能会存在第三方应用的正式网址,但是这样可能会存在本地验证测试问题

②在客户端(即向我们开放平台申请用户信息的用户的站点)向认证服务器发起 类似以下请求
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz                 # 整个get请求需要强正则验证顺序
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1         # redirect_uri写在开放文档中,用于认证完回调的的地址
Host: server.example.com        # 认证服务器
请求到认证服务器,先判断是否已登录(未登录跳转到登录页面),反之跳转到用户授权页面(建议静默授权无需用户点击确认),授权后根据redirect_uri返回授权码(相应的authorzation认证表更新授权码code及updated_at)。
注: 在客户端使用session标记是否授权状态,决定用户是否登录后进而判断验证client_id返回授权码code
响应:
HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz
注:以上是请求后返回的响应,state用于防止csrf攻击

③上一步获取了授权码code(get可获取),由于这里是经过用户授权通过后获取到的code,所以是安全的,发起请求如下:
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
这里验证code、redirect_uri,然后更新authorization中 access_token、updated_at
??问题??:授权码要绑定用户吗?每一个用户对应一个授权码?     目前情况是分理处一个认证表(authorization)用于单独为每个用户绑定,最好就是将该表合并到用户表
响应:
     HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store                    # 不得缓存
     Pragma: no-cache


     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

 

④获取access_token后即可获取指定资源(过期重新refresh_token即可)
POST /token HTTP/1.1
Host: server.example.com


Authorization: Basic 2YotnFZFEjr1zCsicMWpAA
Content-Type: application/x-www-form-urlencoded


参考资料:
http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 
http://www.cnblogs.com/yuanloo/p/4330098.html 
https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp14211408
 

Lidisam
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 793
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
单点登录和Auth2.0
weixin_63212264的博客
11-17 713
单点登录英文全称Single Sign On,简称SSO。指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。OAuth 2.0 是一种用于授权的开放标准协议,允许用户通过第三方应用程序授权访问其在其他网站或应用程序上存储的受保护资源,而无需将其用户名和密提供给第三方应用程序。
auth2.0机制 以及jwt
黑猫
03-13 6420
具体来说,auth2.0一共分成四种授权类型 第一种是授权模式,这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。比如A应用想要获取B应用的用户数据,A会首先访问B的授权页面,用户点击确认授权之后,B会请求A配置的回调地址,同时附带上授权code,A可以通过这个code向B申请登录令牌access_token,获取到登录令牌之后,然后就可以向B应用请求用户信息数据
OAuth2的四种授权方式
最新发布
qq_46073180的博客
01-31 1053
OAuth2四种授权方式
OAuth2.0四种授权模式及实战
CODEING一场空的博客
06-27 7412
Oauth2.0具有多种授权许可机制协议授权许可机制、客户端凭据机制、资源拥有者凭据机制(密模式)和隐式许可机制。在源中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证登录或者微信扫登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证模式
你知道吗?OAuth2客户端有两种,认证方式有七种。
程序猿DD
03-29 647
OAuth2客户端按照它们与授权服务器进行安全认证的能力可以分为机密类型(Confidential)和公共类型(Public)。机密类型的自身会有个密凭据,比如Web服务器后端程序;而公共类型则没有密凭据,纯浏览器前端应用或者移动客户端应用大都属于这一种类型。不管是哪一种,它们都有客户端ID(client_id)。关注星标、转发、点赞、再看,请以实际行动支持原创技术分...
OAuth 2.0 授权认证详解
emprere的博客
07-15 7228
点击关注公众号:互联网架构师,后台回复2T获取2TB学习资源!上一篇:Alibaba开源内网高并发编程手册.pdf目录1、Auth2.0 协议简介2、OAuth 2.0的授权认证流程OAuth 2.0 的核心概念认证思路与流程3、OAuth2.0 的四种模式授权模式authorization c...
Auth2.0授权模式
12-29
从流程上看申请分为两个阶段:首先需要申请Authorization Code;之后使用Authorization Code来申请Access Token。
天猫,京东,唯品会 Auth2.0 Token授权步骤
08-09
手把手教你如何获取各大平台Auth2.0 Token授权
Spring Security OAuth2 授权模式的实现
08-18
主要介绍了Spring Security OAuth2 授权模式的实现,文中通过示例代介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
blog:SSO单点登录、auth2.0第三方登录
05-28
1、SSO单点登录实现2、auth2.0第三方登录3、elasticsearch常用操作4、JWT token自动续签中间件
某宝购买springClode一整套实战项目源代+视频、auth2.0+jwt、认证权限
02-25
某宝购买springClode一整套实战项目源代+视频,包含技术:Eureka、Feign、Zuul、Config、Ribbon、...权限认证:auth2.0+jwt;消息中间件:rebbitMQ, 注:当中的视频是整个项目的难点和技术点的介绍,通俗易懂值得收藏
OAuth2.0授权系统实现单点登录
01-13
实现OAuth2授权,并且实现单点登录的小例子,请使用vs2015打开
统一认证中心-auth2.0
CCCdingding的博客
10-27 1852
背景 随着微服务架构的兴起,模块之间细分力度更小。许多公司将单点登录会做成一个统一的微服务平台。但是一旦抽象出一个单独的微服务平台之后,就会涉及到如下问题:(1)接入方在不同的域名,会涉及到跨域问题;(2)安全问题,整个登录接口全部暴露给所有的接入方,存在一定的数据泄露等问题。本片文章主要是介绍当前较通用的一种单点登录认证协议Auth2.0。 SSO单点登录介绍: 单点登录(SSO):传统的多点登录方式对于站点都会开发一套登录系统和用户数据维护系统,同时不同的站点整个用户的数据维护在其自己数据库中,无
OAuth2.0 详解
XT4625的专栏
01-13 1572
OAuth2.0 的授权简单理解其实就是获取令牌(token)的过程,OAuth 协议定义了四种获得令牌的授权方式(authorization grant ):授权authorization-code)、简单式(implicit)、密式(password)、客户端凭证(client credentials),一般常用的是授权和密模式。发布于 2022-05-04 18:16。
Authentication(认证方式)与 Authorization(授权
Pursuit_li的博客
03-15 1098
认证 认证是关于验证凭据,如用户名/用户ID和密,以验证身份。系统确定凭据是否正确。在公共和专用网络中,系统通过登录密验证用户身份。认证通常通过用户名和密完成,有时与认证因素结合使用,后者指的是认证的多种方式。 授权 授权发生在系统成功认证身份后,最终会授予访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。简单来说,授权决定了访问系统的能力以及达到的程度。
(图解)OAuth 2.0授权模式及应用场景
weixin_42233867的博客
04-22 1622
主要看一下授权模式和客户端凭证模式。 OAuth和OAuth 2.0都是为了解决第三方应用程序访问资源服务器(Resource Server)中的用户资源的问题。但是它们之间存在一些重要的区别。本文将从认证流程、安全性和应用场景三个方面深入剖析OAuth 2.0与OAuth的区别。及OAuth 2.0授权的工作流程
OAuth2.0详细介绍与实践(通俗易懂)
热门推荐
cV展示的学习园
11-07 4万+
Oauth2.0详细介绍及其实践
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 4167
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
auth2.0+jwt+spring security
08-29
Auth2.0是一种用于授权的开放标准,它允许用户授权第三方应用访问他们的资源,而无需直接分享他们的凭据。这种授权方式对于保护用户敏感信息非常有用。 JWT(JSON Web Token)是Auth2.0中使用的一种令牌格式。它由...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值