浅谈OAuth

于 2022-04-10 13:45:04 发布
阅读量920 收藏
点赞数
分类专栏: 后端学习 文章标签: 后端 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ben_Pan1024/article/details/124076992
版权

一、 为什么会有OAuth?

举个例子(举例而已并不真实
有一个运动软件,可以将微信好友运动量的排行。而用户为了使用此功能必须授权运动软件读取微信好友列表。

那怎么让运动软件怎么获取用户的同意呢?

我们可以将微信的账号和密码告诉这个运动软件,运动软件就可以读取微信好友列表了。

但我们很明显能发现这种方法有很大问题:

  1. 很不安全。运动软件需要经常性获取好友列表,所以会一直保存账号密码;
  2. 而运动软件也可以获得微信的其他权限;
  3. 如果运动软件被攻击导致破解会使得密码泄露;
  4. 而用户想收回权限的时候,只有通过修改密码实现,同时也会导致其他被授权的软件不能使用。

所以才有了OAuth。

二、 什么是OAuth

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。

OAuth协议特点

  1. 简单:不管是OAUTH服务提供者还是应用开发者,都很易于理解与使用;
  2. 安全:没有涉及到用户密钥等信息,更安全更灵活;
  3. 开放:任何服务提供商都可以实现OAUTH,任何软件开发商都可以使用OAUTH;

三、 运行流程

image.png

Client:客户端
Resource Ower:资源拥有者
Authorization Service: 验证服务器
Resource Service: 资源服务器

(A) 请求授权 用户打开客户端以后,客户端要求用户给予授权。
(B) 授权许可 用户同意给予客户端授权。
(C) 授权许可 客户端使用上一步获得的授权,向认证服务器申请令牌。
(D) 访问令牌 认证服务器对客户端进行认证以后,确认无误,同意发放令牌。
(E) 访问令牌 客户端使用令牌,向资源服务器申请获取资源。
(F) 受保护的资源 资源服务器确认令牌无误,同意向客户端开放资源。

四、 授权模式

有四种授权模式

1. 授权码模式(Authorization Code)

image.png

2. 密码模式(Resource Owner PasswordCredentials)

image.png

3. 简化模式(implicit)

image.png

4. 客户端模式(client credentials)

image.png

下期详细聊聊四种模式。

参考资料:
Oauth2.0协议rfc6749 https://datatracker.ietf.org/doc/html/rfc6749
阮一峰的网络日志 https://www.ruanyifeng.com/blog/2019/04/oauth_design.html

鱼在锅里煲真香
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
七、OAuth协议
洛阳城下逢公子
01-14 93
不管是SpringSocial还是SpringSecurityOAuth,这两个框架都是根据OAuth协议来提供功能的。为了理解这两个框架的功能,我们需要对OAuth协议有一个较全面的理解。 一、OAuth协议要解决的问题 首先我来举一个例子。 比如说我要开发一个微信翻译助手,即将用户手动输入的语言文字转化为另一方需要的语言翻译过去。这件事对于双方系统都是一件有利的事。对于微信来...
OAuth协议原理
likaibk的博客
11-18 438
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 OAuth的思路 OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。"客户端"不能直接登录"服务提供商
OAuth 简介
weixin_40270125的博客
05-19 1万+
OAuth是一个在不提供用户名和密码的情况下,授权第三方应用访问Web资源的安全协议。 常用的应用 OAuth 的场景,一般是某个网站想要获取一个用户在第三方网站中的某些资源和服务。比如在人人网上,想要导入用户MSN里的好友,在没有OAuth时,可能需要用户向人人网提供MSN用户名和密码。这种做法使得人人网会持有用户的MSN账户和密码,虽然人人网承诺持有密码后的安全,但这其实扩大了攻击面,用户也...
OAuth认证协议原理分析及使用方法
tiandirensoon
07-25 82
twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到 twitter登录,之后转回原网站,你会发现你已经登录此网站了,这种网站就是这个效果。其实这都是拜 OAuth所赐。 OAuth是什么? OAuth是一个开放的认证协议,让你可以在Web或桌面程序中使用简单而标准的,安全的API认证。 OAuth有什么用?为什么要使用OAuth? 网络开放是一个不变的趋势,那么不可避免的...
浅谈微信小程序登陆与Oauth
03-29
理解OAuth 2.0 小程序官方文档 微信小程序之登录态维护(十一) 微信的登陆认证方式跟Oauth的授权码认证模式非常相似,接下来我大致讲解Oauth的三种常用模式以及与微信登陆认证的关联。 Oauth的三种常用模式 密码模式 ...
jmeter 实现oauth1.0授权认证
08-18
在本文中,我们将深入探讨如何使用Apache JMeter进行OAuth 1.0授权认证。OAuth 1.0是一种授权协议,允许第三方应用安全地访问用户在另一服务上的资源,而无需获得用户的用户名和密码。JMeter是一款强大的性能测试...
OAuth2.0Demo
03-06
OAuth2.0是一种广泛使用的开放授权协议,它允许第三方应用以安全的方式获取用户在另一服务上的资源,而无需用户在每次请求时都提供密码。在本文中,我们将深入探讨OAuth2.0的核心概念、实现机制,以及如何在Spring ...
springboot集成oauth2.0
07-27
SpringBoot集成OAuth2.0是将流行的OAuth2.0安全框架与SpringBoot应用程序相结合的过程,以便为API和Web应用提供安全的访问控制。OAuth2.0是一个授权框架,允许第三方应用在用户授权的情况下访问其受保护的资源,而...
Oauth2.0 in Action
11-26
OAuth 2 in Action teaches you the practical use and deployment of this ... You'll learn how to confidently and securely build and deploy OAuth on both the client and server sides. Foreword by
OAuth协议
weixin_34238642的博客
01-25 123
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任...
对于OAuth的理解
大牛的IT征程
10-29 2885
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。oAuth是Open Authorization的简写。http://baike.baidu.com/link?url=XRcH9z5SLbVt
帮你深入理解OAuth2.0协议
热门推荐
SecCloud的专栏
11-16 12万+
1. 引言 如果你开车去酒店赴宴,你经常会苦于找不到停车位而耽误很多时间。是否有好办法可以避免这个问题呢?有的,听说有一些豪车的车主就不担心这个问题。豪车一般配备两种钥匙:主钥匙和泊车钥匙。当你到酒店后,只需要将泊车钥匙交给服务生,停车的事情就由服务生去处理。与主钥匙相比,这种泊车钥匙的使用功能是受限制的:它只能启动发动机并让车行驶一段有限的距离,可以锁车,但无法打开后备箱,无法使用车内其他
OAuth2.0的简单理解与使用
03-17 1万+
最近在做小程序的开发,在调用数据接口的时候发现一个以前知道却不了解的协议OAuth2.0,只有获得授权才可以顺利调用自己想要的API,没办法只能花时间研究下咯。1.应用场景假设你想玩现在很火的一款吃鸡游戏,但是需要使用你的微信账号登录,这时就出现一个授权访问的问题,OAuth2.0协议就是应用于这种场景之下的。如图微信会告诉你,吃鸡游戏将会访问你的那些用户数据首先我们来理解下OAuth2.0协议的...
Oauth2.0(一):为什么需要 Oauth2.0 协议?
blowing00的专栏
02-28 721
假设有两家互联网企业 A 和 B,其中 B 是一家提供相片云存储的公司。即 B 的用户可以把相片上传到 B 网站上长期保存,然后可以在不同的设备上查看。某一天,A 和 B 谈成了一项合作:希望 B 用户在使用 A 的客户端时,也可以观看他在 B 的相片。假设你是技术负责人,需要出一个实现方案,怎么做? 要不让 B 提供一个接口: http://xxx.xxx.co...
2.为什么需要 OAuth2
Lambda
01-19 1023
为什么需要 OAuth2? 应用场景 我们假设有一个“云笔记”产品,并提供了“云笔记服务”和“云相册服务”,此时用户需要在不同的设备 (Android、iPhone、TV、Watch)上去访问这些“资源”(笔记、图片) 那么用户如何才能访问属于自己的那部分资源呢?此时传统的做法就是提供自己的账号和密码给我们的“云笔记”,登录成功后就可以获取资源了。但是这样做法会有以下几个问题: ...
对不起,我来晚了,为什么要学习OAuth 2.0?
新栋BOOK
07-05 472
我从2014年加入京东,便开始接触开放平台相关的技术,主要包括网关、授权两块的内容。在刚开始的几年时间里面,我一直都认为网关是开放平台的核心,起到 “中流砥柱” 的作用,毕竟网关要承载整...
OAuth 核心思想 为什么要通过Authorization Code获取Access Token
dns007
02-09 9886
OAuth 2.0的运行流程如下图,摘自RFC 6749。OAuth运行流程(A)用户打开客户端以后,客户端要求用户给予授权。(B)用户同意给予客户端授权。(C)客户端使用上一步获得的授权,向认证服务器申请令牌。(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。(E)客户端使用令牌,向资源服务器申请获取资源。(F)资源服务器确认令牌无误,同意向客户端开放资源。OAuth2中最典型的Au...
oauth2 access_token
最新发布
08-17
OAuth2的access_token是用于访问受保护的资源时进行身份验证和授权的凭证。通过将access_token附加到请求头或请求参数中,客户端可以向资源服务器发送请求并获得资源的访问权限。access_token通常是使用JWT(JSON Web Token)进行签名的,以确保其安全性和完整性。然而,access_token只提供了身份验证的功能,而没有提供有关用户的其他信息。这就是为什么在OAuth2中还存在idToken的原因。idToken是一个包含用户相关信息的令牌,如用户ID、姓名、电子邮件等。它通常被用于提供身份验证和用户信息的完整性,并且可以通过认证服务器的/token端点进行验证。因此,通过同时使用access_token和idToken,客户端可以获得对资源的访问权限,并获得关于用户的更详细的信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [【笔记】浅谈OAuth2 accessToken和OIDC idToken的理解和使用场景](https://blog.csdn.net/qq_26878363/article/details/115394602)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [springsecurity-oauth2令牌 access_token验证](https://blog.csdn.net/clonetx/article/details/125395593)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值