Oauth 简介

最新推荐文章于 2023-06-27 18:03:15 发布
最新推荐文章于 2023-06-27 18:03:15 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Oauth 文章标签: Oauth 鉴权 accessToken 授权码模式 认证服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pzxwhc/article/details/49877653
版权

一. OAuth 概念

二. OAuth 运行流程

三. OAuth 授权模式


一. OAuth 概念

        OAuth 是一个开放标准,在全世界得到广泛应用,目前版本为 2.0。什么是 OAuth,可以举一个例子:

        有一个 “云冲印”的网站,可以把用户存储在 google 上的照片,冲印出来。用户为了使用该服务,必须让 “云冲印”读取自己存储在 Google 上

的照片。问题是只有得到用户授权,Google 才会同意 “云冲印” 读取这些照片,那么,“云冲印” 怎么获得用户的授权呢?

        传统方法是,用户将自己的 谷歌的 账号密码,告诉 “云冲印”,后者就可以读取用户的照片了。但是这种方式有几个严重的缺点:

  • 用户无法限制 云冲印 获得授权的范围和有效期。除非改密码,改了密码,其他授权的第三方的应用程序全部失效。

  • 只要有一个第三方应用程序,就会导致用户密码泄漏。

        OAuth就是为了解决上述的这些问题,让“客户端” 安全可控地获得“用户”地授权,与“服务提供商”进行互动。

        OAuth 在客户端 和服务提供商之间设置了一个 授权层。“客户端”不能直接登录“服务提供商”,只能登录授权层。“客户端”登录授权层所用的

令牌(token),与用户密码不同。用户可以指定授权层令牌的权限范围 和 有效期。“客户端”登录授权层后,“服务提供商”根据令牌的权限范围 和 

有效期,向 “客户端” 开发用户存储资料。


二. OAuth 运行流程

        几个术语:

  • Resource owner:资源所有者,本文中 称为 “用户”。

  • User Agent:用户代理

  • Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。

  • Resource server:资源服务器,即用户提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。


    流程如下:

  1. A 用户打开客户端以后,客户端要求用户给予授权。

  2. B 用户同意给予客户端授权。

  3. C 客户端使用上一步获得的授权,向认证服务器申请令牌。

  4. D 认证服务器对客户端进行认证后,确认无误后,同意发放令牌。

  5. E 客户端使用令牌,向资源服务器申请获取资源。

  6. F 资源服务器确认令牌无误后,同意向客户端开发资源。

        上面的6个步骤中,重点在于 B 。即用户怎么给客户端授权。有了这个授权,客户端就可以获取令牌,进而凭借令牌获取资源。


三. OAuth 授权模式

        OAuth 2.0 定义了 四种授权模式。分别为:

  • 授权码模式。

  • 简化模式。

  • 密码模式。

  • 客户端模式。


3.1 授权码模式

        授权码模式 是功能最完整,流程最严密 的授权模式。它的特点就是通过客户端的后台服务器,与 “服务提供商”的认证服务器进行互动。

流程如下:


  1. A 用户访问客户端,后者将前者导向认证服务器。

  2. B 用户选择是否给予客户端授权。

  3. C 假如用户给予授权,认证服务器将用户导向客户端事先指定的 “重定向URI”(redirection URI),同时附上一个授权码。  

  4. 客户端收到授权码,附上早先的 “重定向URI” ,向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可 见。

  5. 认证服务器核对了授权码 和 重定向 URI,确认无误后,向客户端发送访问令牌和 更新令牌。

Ps:另外一幅图 解释这个过程:


3.2 简化模式

        简化模式 不经过第三方应用程序的服务器,直接在浏览器中 向认证服务器申请令牌,跳过了 “授权码” 这个步骤,因此得名。所有步骤在浏览器中

完成,令牌对访问者是可见的,而且客户端不需要认证。



  1. A 用户访问客户端,后者将前者导向认证服务器。

  2. B 用户选择是否给予客户端授权。

  3. C 假如用户给予授权,认证服务器将用户导向客户端事先指定的 “重定向URI”(redirection URI),并且在 URI 的hash 部分包含了访问令牌。  

  4. D 浏览器向资源服务器发出请求,其中不包括上一步收到的 hash 值。

  5. E 资源服务器返回一个网页,其中包含的代码可以获取Hash值中的令牌。

  6. F 浏览器执行上一步获得的脚本,提取出令牌。

  7. G 浏览器将令牌发送给客户端。


3.3 密码模式

        用户向 客户端提供 用户名密码。客户端使用这些信息,向 “服务商提供商”索要授权。在这种模式下,客户端不得存储密码。这通常用在用户对客

户端高度可信的情况下。认证服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式。


  1. A 用户向客户端提供用户名,密码。

  2. B 客户端用用户名,密码发给认证服务器,向后者请求令牌。

  3. C 认证服务器确认无误后,向客户端提供访问令牌。


3.4 客户端模式

        指客户端使用自己的名义,而不是以用户的名义,向 “服务提供商” 进行认证。严格来说,客户端模式并不属于 OAuth 框架所需要解决的问题。

在这种模式中,用户直接向客户端注册,客户端以自己的名义要求 “服务提供商” 提供服务,其实并不存在授权的问题。


  1. A 客户端向认证服务器进行身份认证,并且要求一个访问令牌。   

  2. B 认证服务器认证无误后,向客户端提供访问令牌。



四. 参考

  1. 理解 OAuth 2.0: http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

  2. 使用 OAuth 2.0 访问豆瓣 API : http://developers.douban.com/wiki/?title=oauth2

  3. Kong :https://getkong.org/plugins/oauth2-authentication/#authorization-code

  4. Oauth 文档:tools.ietf.org/html/rfc6749


Sauron1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth原理
ww112233j的博客
05-24 3686
包括如下内容: 1 从简单的例子了解 OAuth 2 OAuth 的定义和组成 3 OAuth 的 Refresh Token 4 OAuth授权模式 从简单的例子了解 OAuth 在介绍 OAuth 2.0 之前,让我们来看一个简单的例子。假设你平时喜欢照相,将生活中的点点滴滴记录成电子照片并且存放到云盘上,每隔一段时间会将心仪的照片挑选出来进行打印保存。 同时你发现网络上面有一个款云打印照片的应用,只需要导入电子照片,这款应用就可以帮你进行打印然后将成片邮寄到你的家中。 我们将这
Oauth原理和四种授权模式
qq_44507798的博客
10-20 1706
Oauth四种授权模式 1、oauth授权模式 用户访问应用前端页面(验证是否登录)。 访问的页面将请求重定向到认证服务器认证服务器向用户展示授权页面,等待用户授权。 用户授权认证服务器生成一个code(授权)--->认证前端--->应用前端--->应用服务器。 应用服务器使用client_id、client_secret、code去认证服务器获取token,refresh_token(我们默认应用服务器认证服务器之间的通信是安全的)。 然后,应用服务器拿到
OAuth到底是什么?
Henry_Wu001的专栏
04-13 3024
这是一个很大的规范,但主要的两个组件是它的身份验证请求协议(又称Web SSO),以及它打包身份属性并对其进行签名的方式,称为SAML断言。你可以输入你的电子邮件地址,然后它会动态发现你的OIDC提供者,动态下载元数据,动态知道要使用什么证书,并允许BYOI(带上你自己的身份,Bring Your Own Identity)。这在用户的浏览器上发生。在这种情况下,最终用户与他们的身份提供者对话,身份提供者生成一个经过加密签名的令牌,并将其传递给应用程序以对用户进行身份验证。对于不同的用例,它们是分开的。
什么是OAuth
endswell的专栏
09-13 2652
Oauth
Oauth2.0的四种模式
qq_37457564的博客
07-25 1977
1. 授权模式 (1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize? client_id=p2pweb&response_type=code&scope=app&redirect_uri=http://xx.xx/notify 参数列表如下: client_id:客户端接入标识。 response_type:授权模式固定为code。 scope:客户端权限
OAuth使用教程(一):初识OAuth
zhuyunier的博客
01-29 7664
一、OAuth介绍   OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密提供给第三方移动应用或分享他们数据的所有内容。   OAuth允许用户提供一个令牌给第三方网站,一个令牌对应一个特定的第三方网站,同时该令牌只能在特定的时间内访问特定的资源。 二、OAuth2 角色 OAuth 2 标准中定义了以下几种角色: 资源...
OAuth简介及sina微博开放平台
04-17
OAuth简介及sina微博开放平台.比较详尽。
Spring Cloud与OAuth2整合简介
最新发布
08-22
Spring Cloud与OAuth2整合简介 1、OAuth2中的角色 2、Authorization Server 3、Resource Server 4、访问资源服务器中的API
OpenID与OAuth协议详解
03-31
OpenID与OAuth协议详,很好的文档哦,请支持下载
MCloud - OAuth2 认证中心
06-28
## 简介 `mcloud-oauth-server` 基于**Spring OAuth2**,实现了**OAuth2**认证服务器以及资源服务器,并以 **Restful API** 的方式提供了**OAuth** 客户端以及用户的管理功能。 项目中主要使用了以下技术: - **...
oauthserver:快速实现Spring Boot Oauth2授权服务,保护你的应用资源
02-05
简介 oauthserver是一个基于Spring Boot Oauth2的完整的独立的Oauth2 Server微服务。项目的目的是,仅需要创建相关数据表,修改数据库的连接信息,你就可以得到一个Oauth2 Server微服务。为了开发方便,项目分解成6...
OAuth 简介
weixin_40270125的博客
05-19 1万+
OAuth是一个在不提供用户名和密的情况下,授权第三方应用访问Web资源的安全协议。 常用的应用 OAuth 的场景,一般是某个网站想要获取一个用户在第三方网站中的某些资源和服务。比如在人人网上,想要导入用户MSN里的好友,在没有OAuth时,可能需要用户向人人网提供MSN用户名和密。这种做法使得人人网会持有用户的MSN账户和密,虽然人人网承诺持有密后的安全,但这其实扩大了攻击面,用户也...
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 3925
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
OAUTH的理解
kaikaijin的博客
02-20 1284
1.1 什么是OAUTH OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH授权不会使第三方触及到用户的帐号信息(如用户名与密),即第三方无需使用用户的用户名与密就可以申请获得该用户资源的授权,因此OAUTH是安全的。即允许第三方网站在用户授权的前提下访问在用户在服务商那里存储的各种信息,而这种授权无需将用户提供的用户名和密提供给该第三方网站。 1.2.OAuth认证授权主要特点 简单:容易理解使用 安全:没有涉及到用户密钥的信息,更安全灵活
OAuth 授权的几种模式详解
wzh8108的专栏
04-21 5142
OAuth 鉴权模式
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 4115
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
OAuth2.0 实现单点登录
热门推荐
qq15035899256的博客
03-17 1万+
本文是对OAuth2.0的学习,了解了它的4种授权方式,学会了如何搭建验证服务器,使用 postman对四种模式作了接口测试。并且学会了资源服务器实现单点登录的两种方式,也成功解决了远程调用时没有携带 token 的问题。最后也学会了使用 JWT 存储 Token,大大提高了安全性。
SpringBoot集成OAuth2.0的四种授权方式
Spontaneous_0的博客
01-13 2191
SpringBoot集成OAuth2.0的四种授权方式
认证授权OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3237
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
关于 Spring-Security 以及OAUTH的 技术博文 5000字以上
06-10
2.1 OAuth 简介 OAuth 是一种授权机制,可以用于保护 Web 应用程序中的资源。OAuth 主要用于授权第三方应用程序访问用户的资源。例如,当我们使用第三方登录时,需要使用 OAuth 机制来保护用户的隐私信息。 2.2 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值