OAuth2.0授权码模式流程详细

最新推荐文章于 2024-04-28 15:32:54 发布
最新推荐文章于 2024-04-28 15:32:54 发布
阅读量3.5k 收藏 9
点赞数 6
分类专栏: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CodersCoder/article/details/111084901
版权

流程图

之前受朋友启发学习了一下阮一峰的理解OAuth2.0,里面的流程图如下:在这里插入图片描述
感觉不是很直观,有一点点难理解,找到了一个稍微美观一些的流程图,如下:
在这里插入图片描述

步骤详情以及参数

步骤
1、用户访问客户端,后者将前者导向认证服务器
2、用户选择是否给予客户端授权
3、假设用户给予授权,认证服务器将用户导向客户端事先指定的重定向URI,同时附上一个授权码
4、客户端收到授权码,附上早先的重定向URI,向认证服务器申请令牌。这一步是在客户端后台的服务器上完成的,对用户不可见。
5、认证服务器核对了授权码和重定向的URI,确认无误后,向客户端发送访问令牌和更新令牌。

参数
第一步,客户端申请认证的URI,包含以下参数:

response_type:表示授权类型,必选项,此处的值固定为"code"
client_id:表示客户端的ID,必选项
redirect_uri:表示重定向URI,可选项
scope:表示申请的权限范围,可选项
state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。

第三步,服务器回应客户端的URI,包含以下参数:

code:表示授权码,必选项。该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。
state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。

第四步,客户端向认证服务器申请令牌的HTTP请求,包含以下参数:

grant_type:表示使用的授权模式,必选项,此处的值固定为"authorization_code"。
code:表示上一步获得的授权码,必选项。
redirect_uri:表示重定向URI,必选项,且必须与A步骤中的该参数值保持一致。
client_id:表示客户端ID,必选项。

第五步,认证服务器发送的HTTP回复,包含以下参数:

access_token:表示访问令牌,必选项。
token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。
scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。

其他参数:
客户端发出更新令牌的HTTP请求,包含如下参数:

granttype:表示使用的授权模式,此处的值是固定位“refreshtoken”,必选项。
refresh_token:表示早前收到的更新令牌,必选项、
scope:表示申请的授权范围,不可以超出上一次申请的范围,如果省略,则表示和上一次一样。

参考:理解OAuth 2.0

CodersCoder
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0入门图解
流楚丶格念的博客
07-22 1937
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密提供给第三方应用或分享他们数据的所有内容。是一个标准,用来给第三方应用授权来访问当前用户存储在其他应用上的信息OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。httpshttps。.......
oauth2.0授权模式详解
weixin_44846436的博客
03-07 4828
oauth2.0授权模式 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章http://www.javaman.cn/sb2/oauth-code 授权(authorization code)方式,指的是第三方应用先申请一个授权,然后再用该获取令牌。 这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。 1、授权模式流程 第一步,A
学会 OAuth2.0 授权登录,10 张图就够了
竹林幽深
02-10 926
https://mp.weixin.qq.com/s/emMpEaLLU3SyO7_X2JAUHQ
OAuth2 工作流程详解_oauth2流程
2401_84263434的博客
04-28 983
OAuth2协议可以用于不同类型的应用程序,但它最常用于web、移动和桌面应用程序。本节将讨论在web应用程序中部署OAuth2,也称为web应用程序流(或授权授予)。一个简化的Web应用流程如下图所示:下面详解每一步。
SpringSecurity学习(八)OAuth2.0授权服务器、资源服务器、JWT令牌的使用
Huathy的博客
03-18 3993
OAuth2协议、授权服务器搭建、资源服务器搭建、JWT令牌的使用
OAuth2.0简化流程图
weixin_43759606的博客
08-11 472
(A) 客户端从资源拥有者那里请求授权授权请求能够直接发送给资源拥有者,或者间接地通过授权服务器这样的中介,而后者更为可取。 (B) 客户端收到一个访问许可,它代表由资源服务器提供的授权。 (C) 客户端使用它自己的私有证书到授权服务器上验证,并出示访问许可,来请求一个访问令牌。 (D) 授权服务器验证客户端私有证书和访问许可的有效性,如果验证通过则分发一个访问令牌。 (E) 客户端通过出示访问令牌向资源服务器请求受保护资源。 (F) 资源服务器验证访问令牌的有效性,如果验证通过则响应这个资..
OAuth2.0协议(一) - 授权许可流程
it_lihongmin的博客
01-06 3708
OAuth2.0是什么可以拿来做什么,它只认真的做了一件事授权(Authorization)。OAuth2.0是 Open Authorization 2.0的简称,既然是2.0那前面肯定有个1.0。 Oauth1.0想要使用一套授权机制解决所有的授权应用场景,很显然废弃了,所以OAuth2.0协议针对不同的应用场景规定了四种获取令牌的授权认证流程。不过我还是建议先理解流程最完善的授权许可流程,在此基础上再理解其他三种授权流程和其适用场景。 四个角色: 资源拥有者 客户端(或三方平台) 授权服务
OAuth 授权流程图
Aurora.Q 的博客
12-24 809
OAuth 授权流程图: #mermaid-svg-cUhXv8OnqzcSco4D .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-cUhXv8OnqzcSco4D .label text{fill:#333}#mermaid-svg-cUhXv8OnqzcSco4D .node rect,#mermaid-s
Spring Security OAuth2 授权模式的实现
08-18
授权模式流程回顾 在授权模式中,用户首先登录到授权服务器,并对第三方应用(客户端)进行授权授权服务器将授权发送给客户端,客户端然后使用授权换取 access_token。该模式要求授权服务器与用户直接...
oauth2.0授权机制,授权
最新发布
05-28
1. **授权模式**:这是OAuth2.0中最常见的授权类型,适用于有服务器端的应用。当用户同意授权后,授权服务器会返回一个授权给客户端。客户端随后使用这个授权授权服务器验证并换取访问令牌(Access Token)...
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
nodejs实现OAuth2.0授权服务认证
10-18
1. 授权模式(Authorization Code Grant):适用于服务器端应用程序,安全但流程复杂。 2. 简化模式(Implicit Grant):适用于浏览器应用,不涉及服务器端,令牌直接在URL中返回,安全性较低。 3. 密模式...
OAuth2.0授权实例
12-26
在实际开发中,OAuth2.0有多种授权类型,如授权模式(Authorization Code Grant)、简化模式(Implicit Grant)、密模式(Resource Owner Password Credentials Grant)和客户端凭证模式(Client Credentials ...
OAuth 2.0 授权认证详解
GJ_ia的博客
01-13 2631
从上图中可以看出,造成 CSRF 攻击漏洞问题的关键点在于,OAuth2 的认证流程是分为好几步来完成的,在上一章节授权模式流程中的流程图中的第 4步骤中,第三方应用在收到一个 GET 请求时,除了能知道当前用户的 cookie,以及 URL 中的。"云冲印"网站将李四的 Google 账号同张三的"云冲印"账号关联绑定起来,从此以后,李四就可以用自己的 Google 账号通过 OAuth 登录到张三在 “云冲印” 网站中的账号,堂而皇之的冒充张三的身份执行各种操作。这样的前后端分离,可以避免令牌泄漏。
【集合】统一身份认证(CAS)和OAuth2的工作流程
热门推荐
tpriwwq的专栏
07-12 2万+
单点登录SSO(Single Sign ON),指在多个应用系统中,只需登录一次,即可在多个应用系统之间共享登录。统一身份认证CAS(Central Authentication Service)是SSO的开源实现,利用CAS实现SSO可以很大程度的降低开发和维护的成本。...
OAuth2授权模式详细流程(一)——站在OAuth2设计者的角度来理解code
andy_zhaozhao的专栏
04-14 2179
本文来自于公众号链接: 彻底理解浏览器同源策略SOP ) ​本文接上篇公众号文章《OAuth2核心协议概览》 大纲 概述 为什么要有授权模式 站在OAuth2设计者的角度来理解code 第一次实验:OAuth2 Client直接向用户要token 第二次实验:OAuth2 Client在后端直接向AS要token 第三次实验:OAuth2 Client在前端直接向AS要token 第四次实验:O...
授权流程(Oauth2)
zhaoliubao1的博客
07-16 229
keycloak“授权模式”的运行流程(个人理解)
m0_65939803的博客
02-20 606
keycloak授权模式
springboot oauth2.0 授权模式
05-11
SpringBoot OAuth2.0 授权模式是一种常见的授权方式,通常用于安全访问受保护的 API。在此模式下,客户端必须向授权服务器发送一个授权请求,授权服务器返回一个授权,客户端使用该授权向资源服务器请求访问令牌,最终客户端使用该访问令牌访问受保护的 API。 SpringBoot 提供了 OAuth2.0 授权模式的支持,使用 Spring Security 相关组件实现了 OAuth2.0授权相关功能。在 SpringBoot 应用中,我们可以通过编写配置类来配置 OAuth2.0 客户端和资源服务器相关参数,从而启用授权模式,具体流程如下: 1. 配置 OAuth2.0 客户端参数,包括授权服务器 URL、客户端 ID、客户端密钥等。 2. 在客户端应用中发起授权请求,包括重定向到授权服务器的 URL、授权类型等参数。 3. 授权服务器验证请求参数,生成授权并将其返回给客户端。 4. 客户端使用授权授权服务器请求访问令牌。 5. 授权服务器验证授权并生成访问令牌,将其返回给客户端。 6. 客户端使用访问令牌访问受保护的 API。 SpringBoot OAuth2.0 授权模式提供了一种安全的访问 API 的方式,可以保护 API 的访问安全。同时,通过使用 Spring Security 相关组件,开发者可以轻松地完成授权相关的配置操作,从而集中关注业务逻辑的实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值