什么是 OAuth 2.0?一文搞懂现代授权协议

于 2025-05-02 14:15:00 发布
阅读量1.5k 收藏 32
点赞数 41
分类专栏: 开发基础知识 文章标签: 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2501_91858856/article/details/147621823
版权

在你使用微信、支付宝、Google、GitHub 等第三方账号登录网站时,你可能没有意识到背后运行的是一种通用的授权协议 —— OAuth 2.0。它为“用户授权第三方访问自己的数据”提供了安全、灵活的解决方案。本文将带你全面了解 OAuth 2.0 的原理、流程、常见应用与核心概念。

一、OAuth 2.0 是什么?

OAuth 2.0 是一种授权框架(Authorization Framework),用于让第三方应用在不获取用户账号密码的情况下,获得对用户资源的有限访问权限。

它的核心理念是:

用户授权 → 第三方拿“令牌” → 调用接口获取资源

与“身份认证(如登录)”不同,OAuth 更关注的是权限授权 —— 谁能在什么范围、什么时间内访问什么数据。

二、真实例子说明

假设你使用一个第三方排班系统登录你的企业钉钉账户,以便同步员工信息。这时:

  • 钉钉不会把密码给排班系统;
  • 用户会在钉钉官方页面上点击授权;
  • 授权后,排班系统获得访问接口所需的 令牌(Token)
  • 排班系统用这个 Token 调用接口获取员工列表。

这背后的机制就是 OAuth 2.0。

三、核心角色介绍

OAuth 2.0 中主要有四个角色:

角色描述
资源所有者(Resource Owner)用户本人,有权决定是否授权
客户端(Client)第三方应用(如小程序、网站)
授权服务器(Authorization Server)颁发令牌的系统(如钉钉开放平台)
资源服务器(Resource Server)提供用户数据接口的服务(通常与授权服务器同属一平台)

四、OAuth 2.0 的授权流程(以授权码模式为例)

  1. 用户点击授权登录按钮

    • 第三方将用户重定向到授权服务器(如微信授权页)

  2. 用户确认授权

    • 用户同意授权访问某些信息,如昵称、头像、邮箱

  3. 返回授权码

    • 授权服务器跳转回第三方,并携带一次性授权码(code

  4. 客户端用授权码换取 Token

    • 客户端发送 code + app_secret 到授权服务器,获取 Access Token

  5. 用 Access Token 访问资源接口

    • 第三方调用接口,如获取用户信息、绑定账号等

五、四种授权模式简介

模式类型使用场景是否推荐
授权码模式(Authorization Code)Web 应用、服务器端、最安全✅ 推荐
简化模式(Implicit)纯前端应用、无法存储密钥❌ 安全性低
密码模式(Resource Owner Password Credentials)用户与客户端高度信任(如同一组织)⚠️ 不推荐
客户端凭证模式(Client Credentials)无用户参与,系统与系统通信✅ 适合后台服务对接

六、常见术语说明

  • Access Token:访问令牌,授权后获得的凭证,用于调用 API。
  • Refresh Token:刷新令牌,用于在 Access Token 过期后重新获取一个新的 Token。
  • Scope:授权范围,例如仅允许访问“邮箱”和“头像”。
  • State:防止 CSRF 攻击的参数,保持请求完整性。

七、OAuth 的优势

  • 用户账号信息不泄露(第三方看不到密码)
  • 按需授权(只允许访问指定范围)
  • 可随时撤销权限(用户控制力更强)
  • 适配多端多平台(移动端、Web、IoT)

八、常见应用场景

  • 使用微信/QQ/微博/支付宝/Google 登录第三方网站
  • 第三方营销平台获取用户社交资料
  • 多平台账号绑定与数据同步
  • SaaS 产品 API 授权集成(如 GitHub Actions 授权部署权限)

九、OAuth 2.0 与 OpenID Connect 的关系

  • OAuth 2.0 是授权框架 → 关注“你是否允许我访问你的资源?”
  • OpenID Connect 是基于 OAuth 的认证协议 → 关注“你是谁?”

当你用微信/Google 登录系统,并想获取用户身份信息时,背后使用的是 OAuth + OpenID Connect。

OAuth 2.0 是现代互联网服务中实现第三方授权访问的标准方案。它通过安全的令牌机制,实现了“用户控制授权”、“客户端免存密码”、“服务提供方可限制权限”的三赢效果。

无论是接入第三方平台,还是构建自己的开放 API 系统,掌握 OAuth 2.0 都是构建安全、标准化授权机制的关键一步。

第三方登录——OAuth2.0协议
dengwenjieyear的博客
11-04 1789
想不想在自己的产品中加入微信、QQ、新浪微博等第三方登录的功能?知道这些功能使用的都是什么技术吗?答案就是“开放式授权”,英文简称为“OAuth”。OAuth协议为用户资源的授权提供了一个安全、简易、开放的标准。OAuth协议不会使第三方触及到用户的账户信息,第三方无需使用用户的用户名和密码就可以申请获得该用户资源的授权完成登录。 OAuth的工作原理如下: step1:获取Reque
一文读懂单点登录系统对企业的价值
IDAAS的博客
04-02 1166
在过去的十年中,企业的IT管理员一直在应对企业内部各种不同的关键性变革: 企业上云使得云服务应用被越来越多地被采用; 企业需要为员工提供随时随地访问工作相关应用程序的便利,这意味着IT人员需要为远程访问用户提供相关的技术支持; 消费类APP使用体验良好,员工期待在工作中也享受到相似的、简单便捷的应用程序使用体验; 如今,企业IT人员面临十分沉重的压力,他们一方面要在混合IT环境下管理数量众多的...
第三方登录—OAuth2.0协议
liuzp111的专栏
05-16 1989
oAuth2.0协议介绍oAuth简介oAuth is short for Open Authorization OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH安全oAuth工作原理
OAuth 2.0 协议详解
最新发布
ttyy1112的专栏
03-04 565
允许第三方应用在用户授权下,安全地访问用户在其他服务提供者(如Google、Facebook)的受保护资源,而无需共享用户的凭据(如密码)。通过OAuth 2.0,开发者可以在不暴露用户密码的前提下,安全地实现跨系统授权。实际应用中需根据场景选择合适的授权模式,并严格遵循安全最佳实践。4. 重定向回客户端,携带授权码(Authorization Code)用户在授权服务器登录并确认是否授权客户端访问其资源。6. 发送授权码和客户端凭证,请求访问令牌。如果用户同意,授权服务器生成一个短期有效的。
oauth2.0协议
07-17
The OAuth 2.0 Authorization Framework, RFC 6749官方文档完整版,全书总共128页。
OAuth 2.0 协议
脚步6978
02-22 246
客户端的授权模式 客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。OAuth 2.0定义了四种授权方式。 授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。 简化模式(implicit) 密码模式(resource ow...
OAuth2.0协议
zehuawong的博客
05-20 272
微信网页开发-网页授权 具体而言,网页授权流程分为四步: 1、引导用户进入授权页面同意授权,获取code 2、通过code换取网页授权access_token(与基础支持中的access_token不同) 3、如果需要,开发者可以刷新网页授权access_token,避免过期 4、通过网页授权access_token和openid获取用户基本信息(支持UnionID机制) OAuth2.0安全解析 风险1:redirect_url 回调域名欺骗 服务端必须验证clientid注册的应用与redirect_
深入ABAP:一文掌握从URL到本地文件的高效下载策略
本文系统地介绍了ABAP下载功能的理论基础和实现方法,涵盖了网络通信协议、数据流与缓冲管理、ABAP与网络协议交互等多个方面。文中详细探讨了使用内建函数、HTTP客户端、以及在复杂环境下文件下载的具体实现策略,...
金蝶云WebAPI快速精通指南:一文搞定基础与高级技巧
[金蝶云WebAPI快速精通指南:一文搞定基础与高级技巧](http://czyundie.cn/static/upload/image/20221016/1665885128956749.png) # 摘要 金蝶云WebAPI作为连接企业内部系统与云平台的关键技术,为开发者提供了丰富...
【OpenID与SAML的集成】:如何在Python中实现OpenID和SAML的集成,一文解锁
![【OpenID与SAML的集成】:如何在Python中实现OpenID和SAML的集成,一文解锁]...OpenID Connect和SAML是两种广泛使用的身份协议,它们在简化身
Java学习专栏!全网最牛!
weixin_70730532的博客
08-12 3062
00254:《SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2.000242:《SpringCloud Alibaba微服务实战二十四 - SpringCloud Gateway的全局异常处理》00251:《SpringCloud Alibaba微服务实战十五 - SpringCloud 容器化部署》00248:《SpringCloud Alibaba微服务实战十八 - Oauth2.0 自定义授权模式》00184:《TCP网络那点破事!..
OAuth2.0协议中文版
11-29
OAuth2.0协议中文版,方便了解OAuth2.0协议
OAuth2.0协议中文版.pdf
01-05
OAuth 2.0是一个应用之间彼此访问数据的开源授权协议。本文档是OAuth 2.0协议的中文翻译资料,供大家参考。
HttpClient获取OAuth2.0中的code
09-20
通过httpclient post去获取,response返回码是302,返回的code放在header的Location中。 请求的时候client_id,response_type,redirect_uri,state拼接在url后面,account和password放在body表单(x-www-form-urlencoded)中
OAuth2.0 协议
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
05-27 748
之前文章都是讲解的用户名或者短信登录认证的方式,这节开始学习第三方授权认证的登录方式,在学习授权登录之前就不得不先学习OAuth2.0协议的相关知识,一起来看看吧!
OAuth2协议
qq_32954567的博客
04-23 1086
OAuth2.0、单点登录
说下OAuth2.0协议
就当我是那云朵
02-07 282
说下OAuth2.0协议,有哪些角色,授权模式有哪些以及应用场景。
OAuth2.0
qq_41893505的博客
09-22 2073
OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。互联网应用中最常见的 OAuth2 就是各种第三方登录,例如:QQ 授权登录、微信授权登录等。它们允许用户通过 QQ 或微信账号来登录其他网站或应用,而不需要为这些网站或
什么是OAuth2.0?解决什么问题?
08-15
### 回答1: OAuth2.0 是一个用于授权的开放标准协议,它允许用户授权第三方应用程序(如社交媒体应用程序)访问他们的受保护资源(如照片、视频等)。OAuth2.0 的主要目的是为了减少用户在第三方应用程序和资源服务提供者之间共享凭证的需求,从而提高安全性并减少安全风险。 OAuth2.0 的主要组成部分包括: 1.授权服务器:用于管理用户授权的服务器,验证用户身份并颁发访问令牌。 2.资源服务器:存储和管理受保护的资源。 3.客户端应用程序:代表用户请求访问受保护资源的应用程序。 4.访问令牌:由授权服务器颁发给客户端应用程序,用于访问资源服务器中受保护的资源。 5.刷新令牌:用于更新访问令牌,以便客户端应用程序可以持续访问受保护的资源。 使用 OAuth2.0,用户不需要将他们的用户名和密码直接提供给第三方应用程序,从而提高了安全性和隐私保护。但是,使用 OAuth2.0 也存在一些安全风险,例如客户端应用程序的恶意行为可能导致访问令牌泄漏。为了解决这些问题,开发者需要遵循 OAuth2.0 的最佳实践,并在实现过程中注意安全性。 ### 回答2OAuth2.0(开放授权)是一种授权框架,用于授权第三方应用程序访问用户资源。它允许用户将他们在某个资源所有者(如Facebook、Google)处的身份验证信息提供给其他站点或应用程序进行访问,而不需要共享他们的用户名和密码。OAuth2.0所解决的问题是用户如何安全授权第三方应用程序访问他们的个人数据。 在过去,用户通常需要将他们的用户名和密码提供给第三方应用程序,以使其能够访问他们的个人数据。然而,这样的方式存在很多潜在风险,因为用户的敏感信息可能会被盗取或滥用。为了解决这个问题,OAuth2.0允许用户通过对资源所有者进行身份验证来授权第三方应用程序的访问权限。 OAuth2.0通过引入授权服务器和令牌的概念来实现这里的授权过程。当用户希望授权第三方应用程序时,他们将被重定向到授权服务器,在授权服务器上他们输入其凭证进行身份验证。一旦身份验证成功,授权服务器将向第三方应用程序颁发一个访问令牌,该令牌允许第三方应用程序代表用户访问用户资源。 这种方式的优点在于用户不需要共享其用户名和密码,只需授权给第三方应用程序访问特定资源的权限。如果第三方应用程序滥用权限,用户可以随时撤销访问令牌,从而终止对其个人数据的访问。 总之,OAuth2.0是一种安全授权框架,通过授权服务器和令牌概念,解决了用户如何安全授权第三方应用程序访问其个人数据的问题。 ### 回答3: OAuth2.0是一种开放授权协议,用于在不泄露用户账号密码的情况下,允许用户授权第三方应用或网站访问其受保护的资源。 OAuth2.0协议的主要目的是解决用户在多个应用间共享资源时所面临的问题。在传统的授权方式中,用户需要提供自己的账号密码给第三方应用,这样做存在安全风险,因为第三方应用可能会滥用这些信息。同时,用户在每个应用中都需要输入账号密码,非常繁琐。 OAuth2.0采用了一种更安全且更便捷的授权方式。首先,用户只需要向授权服务器提供一次账号密码,而不是向每个应用提供。授权服务器会颁发一个授权码给第三方应用,该授权码是一次性的,只能用于获取特定资源。第三方应用通过这个授权码访问受保护的资源,而无需知道用户的账号密码。 另外,OAuth2.0还引入了不同的授权模式,以适应不同应用场景。常见的授权模式包括授权码模式、隐式模式、密码模式和客户端凭证模式等。每种授权模式都有自己的特点和适用场景。 综上所述,OAuth2.0解决了用户在多个应用间共享资源时的安全和便捷性问题。它可以保护用户的账号密码不被第三方应用获取,同时简化了用户登录过程,提高了用户体验。同时,OAuth2.0的广泛应用也促进了应用间的互操作性和数据共享,推动了互联网生态的发展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值