基于 Oauth2 搭建微服务 API 开放平台第 1 篇 —— 了解 Oauth2

最新推荐文章于 2024-01-16 11:52:29 发布
最新推荐文章于 2024-01-16 11:52:29 发布
阅读量1.3k 收藏 4
点赞数 1
分类专栏: 互联网安全架构 文章标签: Oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BiandanLoveyou/article/details/117588807
版权

 

OK,根据系列博客我们已经学习了互联网的基本安全架构:https://blog.csdn.net/biandanloveyou/category_11074285.html

接下来,我们开始搭建基于 Oauth2 的 API 开放平台。

什么是 API 开放平台?

在一些大型互联网公司,随着公司的业务发展逐渐庞大,需要和外部合伙伙伴进行合作,需要将公司的接口开放给外部其他合伙伙伴进行调用。
比如腾讯的QQ互联网、微信开放平台、蚂蚁金服开放平台 、微博开放平台,比如实现功能QQ联合登陆、微信扫码登陆、微信小程序、公众号的开发、微信支付等等。
还有就是在大型集团公司中,分为总公司,和旗下多个分公司,总公司与分公司相互通讯也可以采用开放平台形式对接口进行授权。

比如微信公众号开发平台:https://developers.weixin.qq.com/doc/offiaccount/Getting_Started/Overview.html

 

什么是 Oauth2?

OAuth,Open Authorization(开放授权)的简写。OAuth是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。 QQ登录OAuth2.0:对于用户相关的OpenAPI(例如获取用户信息,动态同步,照片,日志,分享等),为了保护用户数据的安全和隐私,第三方网站访问用户数据前都需要显式的向用户征求授权。 QQ登录OAuth2.0采用OAuth2.0标准协议来进行用户身份验证和获取用户授权,相对于之前的OAuth1.0协议,其认证流程更简单和安全。

 

Oauth2 常见概念

1、appId:商户号,一旦申请成功不可更改。

2、appKey:秘钥,可以更改。

3、授权码 Code:用于获取 accessToken

4、回调地址:授权成功后,重定向的地址。

5、openId:开放平台产生的用户唯一ID。

 

Oauth2 授权原理

OAuth 认证和授权的过程如下(以腾讯QQ为例子): 

1、用户访问第三方网站网站,想对用户存放在腾讯QQ的某些资源进行操作。

2、第三方网站向腾讯QQ请求一个临时令牌

3、腾讯QQ验证第三方网站的身份后,授予一个临时令牌。

4、第三方网站获得临时令牌后,将用户导向至腾讯QQ的授权页面请求用户授权,然后这个过程中将临时令牌返回地址发送给腾讯QQ。

5、用户在腾讯QQ的授权页面上输入自己的用户名和密码,进行授权登录。

6、授权成功后,腾讯QQ将用户导向第三方网站的返回地址。

7、第三方网站根据临时令牌从腾讯QQ那里获取访问令牌(accessToken)。 

8、腾讯QQ根据令牌和用户的授权情况(同意的情况下)授予第三方网站访问令牌。

9、第三方网站使用获取到的访问令牌访问存放在腾讯QQ的对应的用户资源。

简单来说:①生成授权链接,获取授权码。②使用授权码获取AccessToken。③使用AccessToken获取openId。④使用openId获取用户信息

 

Oauth2 四种授权方式

1、授权码模式(authorization code)用在客户端与服务端应用之间授权。一般用于网页端,让用户授权登录的方式,如上面的例子。(重点掌握)
2、密码模式(resource owner password credentials)应用直接都是受信任的,一般是微服务直接调用 API 接口进行授权。(重点掌握)
3、简化模式(implicit)用在移动app或者web app(这些app是在用户的设备上的,如在手机上调起微信来进行认证授权) 。(不常用)
4、客户端模式(client credentials)用在应用API访问。(不常用)

 

Oauth2 角色划分

1、Authotization Server:Oauth2 的认证授权中心

2、Resource Server:被授权访问的资源服务

3Resource Owner: 用户

4Client:使用API的客户端(如Android 、IOS、web app)

 

SpringCloud 如何整合 Oauth2 ?

   在Spring Cloud 环境下,需要使用 Oauth2 来实现多个微服务的统一认证授权,通过向 Oauth 服务发送某个类型的 grant type 进行集中认证和授权,从而获得 access_token,而这个 access_token 是受其他微服务信任的,后续的访问可以通过 access_token 来进行,从而实现了微服务的统一认证授权。
  客户端根据约定的 ClientID、ClientSecret、Scope来从 access Token URL 地址获取 accessToken,并经过 AuthURL 认证,用得到的 access_token 来访问其他服务资源的接口。
 Spring Cloud oauth2 需要依赖Spring Security。

 

OK,关于 Oauth2 的理论讲解到这。

 

 

流放深圳
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
openplatform:SpringCloud开放平台
03-06
开放平台 业务介绍:将我们的服务器资源对外进行开放,同时:淘宝开放平台/抖音开放平台 该项目对我们开放出去的服务进行控制,对外开放的接口有如下属性:是否免费,是否幂等,是否有效 用户在请求我们的接口时需要传递用户信息,网关接入用户信息进行校正,分段校准通过后,然后提供服务,同时进行收费 技术栈:ssm + springboot + springcloud + mysql + rabbitmq + redis +。。。。 1. eureka模块 eureka服务器,单机配置,项目完成后根据需要配置 面积:20000 注册中心地址: 用户名:admin 密码:admin 地点进行放行:/ eureka / ** 2.配置模块 config server统一配置中心,为其他模块提供配置,基于gitee,提供基于rabbitmq的手动刷新。如果配置自动刷新的需求,则配置webhooks来发布我
Oauth2.0详解及安全使用
weixin_30480075的博客
09-04 836
引言:刚刚参加工作的时候接到的第一个任务就是接入新浪的联合登录功能,当时新浪用的还是oauth1.0协议。接入的时候没有对oauth协议有过多的了解,只是按照开放平台的接入流程进行开发,当时还在想这么麻烦就是为了作一个登录功能?(为当年的无知汗颜...)。再后来上家公司需要开发一套自己的基于oauth2.0的联合登录功能,粗粗的看了下oauth2.0协议流程,自以为了解了便开始设计开发,现在来看真...
完全指南:用 Apifox 调试 OAuth 2.0 验证的步骤
最新发布
01-16 1046
OAuth 2.0 是一种授权框架,它可以让第三方应用程序在得到你的授权后,有限度地访问一些开放的个人信息。它被广泛用于互联网上的身份验证和授权机制。OAuth 2.0 可以比作使用微信账号登录:你扫码并授权后,Apifox 从微信获得一个访问令牌,这个令牌让 Apifox 获取你的部分信息(如昵称和头像)用于登录,无需单独设置账号密码,同时确保你的其他微信信息保持私密。这样一来,你就可以安全且便捷地使用微信账号在 Apifox 上工作。
基于OWIN WebAPI 使用OAuth授权服务【客户端模式(Client Credentials Grant)】
weixin_33860147的博客
06-29 336
适应范围 采用Client Credentials方式,即应用公钥、密钥方式获取Access Token,适用于任何类型应用,但通过它所获取的Access Token只能用于访问与用户无关的Open API,并且需要开发者提前向开放平台申请,成功对接后方能使用。认证服务器不提供像用户数据这样的重要资源,仅仅是有限的只读资源或者一些开放的 API。例如使用了第三方的静态文件服务,如Google S...
OAuth2:客户端证书授权(Client Credentials)类型的开放授权
dream8062的专栏
04-13 6953
适应范围 认证服务器不提供像用户数据这样的重要资源,仅仅是有限的只读资源或者一些开放的API。例如使用了第三方的静态文件服务,如Google Storage或Amazon S3。这样,你的应用需要通过外部API调用并以应用本身而不是单个用户的身份来读取或修改这些资源。这样的场景就很适合使用客户端证书授权。 流程剖析 1. 用客户端证书交换访问令牌 应用程序需要向认证
【Spring Security OAuth2】客户端授权模式(client credentials)~获取访问令牌
不务正业的野猴子
09-02 6606
访问路径:http://localhost:8081/oauth/token?grant_type=client_credentials&client_id=app&client_secret=app 如果我们在请求中添加了scope参数则会对该参数进行校验,没设置并不会报错 112行,验证请求中是否设置了grant_type参数,若没有设置则抛出异常 随后判断是否为隐式授权、是...
授权设计之OAuth 2.0
十维之眼的博客
09-18 717
介绍认证和授权,重点讲述OAuth 2.0授权的框架协议和具体实现。
开放平台实现安全的身份认证与授权原理与实战:如何设计一个OAuth2.0服务器
禅与计算机程序设计艺术
11-09 99
作者:禅与计算机程序设计艺术 1.背景介绍 在互联网时代,对于任何一种新事物来说都不容易,许多创业者也会遇到很多坎,其中最难的就是选择正确的方向、突破重重困难,只要往前走就不会后退回头。开源社区、云服务和开放平台都给创业者提供了一条通往成功的捷径。对于那些需要在网上创建商业价值的公司而言,用好这些平
SpringCloud 微服务开放平台接口
小尾寒羊的博客
07-31 1807
一、什么是开放平台接口 场景 : 总公司与子公司 对接接口 还有一些合作伙伴 总公司 提供接口 1、能够获取到哪个子公司调用 2、授权机制,能够灵活控制接口调用权限。 例:阿里和顺丰闹矛盾,顺丰把权限修改阿里巴巴就不能调用接口。 很多公司都有开放平台接口可以供我们练习使用的哈哈:比如腾讯的QQ互联网、微信开放平台、蚂蚁金服开放平台 、微博开放平台,比如实现功能QQ联合登陆、微信扫码登陆。都提供了...
第三方登录解决方案-Oauth2授权模式
qq_39687472的博客
02-21 1308
第三方认证技术方案最主要是解决认证协议的通用标准问题,因为要实现跨系统认证,各系统之间要遵循一定的 接口协议。 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认 证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。互联网很多服务如Open API,很多大公司如Google,Ya
jpsite-security-oauth2-open:微服务开放API授权平台
05-28
jpsite-security-oauth2-open(微服务开放API授权平台)本项目是一个基于oath2协议的应用,实现的的功能逻辑与,类似,都是同一套认证授权流程。项目结构简单易懂,却不偷工减料,在学习完本Demo后,Demo中的项目...
微服务框架搭建 基于oauth2 认证中心服务
03-26
#微服务框架认证授权中心 项目采用spring cloud、oauth2、spring security # 依赖环境 JDK8、 Maven、 Mysql、 Redis 、nacos 注册中心采用阿里巴巴 nacos 缓存使用的是redis oauth2数据存储在数据库中 ...
react+fastapi前后端分离OAuth2权限验证的用户登陆案例
10-30
User-OAuth2-Login是react+fastapi前后端分离OAuth2权限验证的用户登陆案例.后端采用fastapi创建的OpenAPI接口,后端通过OAuth2的token来验证前端的登陆请求.前端采用React+Material UI布局,通过Axios访问接口获得...
springboot+oltu.oauth2搭建oauth2环境
10-08
springboot和apache的开源项目org.apache.oltu.oauth2组合搭建oauth2环境,一般的oauth配置下就可以用了,但是我这个项目,是用原理上讲如何搭建oauth2,哪个controller转发到哪个controller,为什么这样,都有...
oauth2id:基于oauth2开放ID连接协议的SSO门户
04-06
oauth2id 基于oauth2 id协议的SSO Portal开发环境设置设置puma-dev以在本地支持https。 brew install puma/puma/puma-devsudo puma-dev -setuppuma-dev -installcd ~/.puma-devln -s /Users/<username>/git/oauth2id...
基于 Oauth2 搭建微服务 API 开放平台第 2 —— 搭建认证授权中心服务 oauth2-server
流放深圳
06-06 1207
搭建授权中心,我们先了解几个表。 这是GitHub上面开发者提供的表结构地址:https://github.com/spring-projects/spring-security-oauth/blob/main/spring-security-oauth2/src/test/resources/schema.sql 这是国人对表结构的解读地址:https://andaily.com/spring-oauth-server/db_table_description.html 接下来,我们建表...
Nginx 反向代理、负载均衡配置、Location正则表达式
流放深圳
06-21 915
查看之前的博客可以点击顶部的【分类专栏】
系列学习互联网安全架构第 8 —— API 接口增加签名(验签)
流放深圳
06-06 906
通过学习之前的博客: API 接口安全设计:https://blog.csdn.net/BiandanLoveyou/article/details/117487626 信息加密技术(对称加密、非对称加密):https://blog.csdn.net/BiandanLoveyou/article/details/117524716 现在我们来讲解 API 接口增加签名的内容。不像网上讲解的那种那么难理解,不用那么复杂。 如何保证 API 接口的安全性,一般来说,解决办法有以下几种: 1、...
单点登录oauth2 微服务
07-27
引用\[1\]中提到了使用OAuth 2.0来实现单点登录的思路,引用\[2\]中给出了一些配置参数的示例,可以根据实际情况进行配置。引用\[3\]中解释了单点登录的概念和优势。 #### 引用[.reference_title] - *1* [OAuth2.0 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值