认证、授权攻略一、OAuth2.0认证和授权机制

最新推荐文章于 2024-07-21 07:15:00 发布
最新推荐文章于 2024-07-21 07:15:00 发布
阅读量1.1k 收藏
点赞数
分类专栏: 认证、授权 文章标签: OAuth2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ETTTTTSS/article/details/96872763
版权
OAuth2.0是一个开放授权协议,用于让应用之间安全地访问数据。本文详细介绍了OAuth2.0的四个授权模式:授权码模式、简化模式、密码模式和客户端模式,以及如何使用授权码和更新令牌进行安全的数据访问。
摘要由CSDN通过智能技术生成

OAuth2官网:https://oauth.net/2/

概述

OAuth2.0是一个能够使应用之间彼此访问数据的开放授权协议,OAuth2.0是OAuth1.0协议的延续版本,但不向后兼容OAuth1.0,即完全废止了OAuth1.0。

让我们看看OAuth2.0的流程,如下图:
在这里插入图片描述
下面我们以第三方应用简书使用微信快速登录为例说明!!!

以上图中所涉及到的对象分别为:

  • Client 第三方应用,即简书;
  • Resource Owner 资源所有者,即微信用户;
  • Authorization Server 授权服务器,提供第三方登录服务的服务器,即微信服务器;
  • Resource Server 拥有资源信息的服务器,即微信服务器。

根据上图的信息,我们可以知道OAuth2.0的基本流程为:

  1. 第三方应用请求用户授权;
  2. 用户同意授权,并返回一个用户凭证(code);
  3. 第三方应用通过第二步的用户凭证(code)向授权服务器请求授权;
  4. 授权服务器验证用户凭证(code)通过后,同意授权,并返回一个资源访问的凭证(Access Token);
  5. 第三方应用通过第四步的凭证(Access Token)向资源服务器请求相关资源;
  6. 资源服务器验证凭证(Access Token)通过后,将第三方应用请求的资源返回。

上述第二步中用户同意授权,返回一个用户凭证code,再由用户凭证code和授权服务器交换一个资源访问的Access Token。
用户凭证主要作用:让用户主动参与到该流程中,确保用户身份正确,实际中需要登录或已经登录,再确定同意授权操作。用户凭证生成也是由授权服务器来完成,并且主动推送到第三方应用,后续操作由第三方应用完成,和用户无关了。

简书微信登录时序图如下:
在这里插入图片描述

OAuth2.0解决的问题:
第三方应用无需得到用户密码(如微信密码)就可以得到授权令牌,安全访问用户在服务提供商的数据,令牌有时效和权限范围。
把用户密码提供给第三方应用是不安全的做法!

OAuth2.0专用名词定义

  1. Third-party application:第三方应用,又称客户端(client),即简书。
  2. HTTP service:HTTP服务提供商,简称"服务提供商",即微信服务器。
  3. Resource Owner:资源所有者,即微信用户。
  4. User Agent:用户代理,本文中就是指浏览器。
  5. Authorization server:授权服务器,即服务提供商专门用来处理认证的服务器。
  6. Resource server:资源服务器,即微信服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。

客户端的授权模式
参考oauth2官网:https://tools.ietf.org/html/rfc6749#section-1.3.1

最低0.47元/天 解锁文章
java爱分享
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring oauth2官方实现
01-21
测试可以运行的spring oauth2 web工程,给一些下载工程后不知道怎么搭建的朋友.
手机端访问第三方java服务器后判断是否进行OAuth2.0网页微信公众号授权认证
平凡之路无尽路的博客
06-14 3460
在网上看了好多案例关于网页授权认证,但不是自己想要的,所以尝试写了一篇,怎么在服务器端引导授权认证!不足之处请指出共同学习。 一、关于什么是OAuth2.0网页授权认证网上资料很多,也可以去官网查看,官网地址:点击打开链接          另外网页认证只支持80端口,回调函数不能带端口,回调函数值在测试公众号可以为ip或域名,生产只能为域名。之前看到帖子说测试环境下可以带端口,但我还没测试过
使用Java实现OAuth2.0认证
最新发布
省赚客开发者博客
07-21 311
OAuth2.0是一种开放标准的授权协议,允许用户授权第三方应用访问其资源,而无需将用户名和密码提供给第三方应用。在Web开发中,OAuth2.0已经成为一种常见的认证机制,用于保护API和用户数据。认证成功后,授权服务器返回授权码,客户端使用授权码获取访问令牌,并通过访问令牌访问受保护的资源。通过以上步骤,我们可以在Java应用程序中轻松地集成和使用OAuth2.0认证,保护用户数据和应用程序资源的安全访问。文件,配置OAuth2.0的相关信息,如客户端ID、客户端秘钥、授权服务器地址等。
OAuth2.0介绍
weixin_34120274的博客
11-05 106
OAuth2.0介绍 OAuth2.0简介 四种许可类型 2.1. 授权码许可(Authorization Code) 2.2. 隐式许可(Implicit) 2.3. 资源拥有者密码凭据许可(Resource Owner Password Credentials) 2.4. 客户端凭据许可(Client Credentials) 1、OAuth2.0简介 OAuth2官网是这么描述的: ...
oauth2相关理解(网上的都是互相抄还是错的,学的很累,所及决定参照官网自己整理一份)
qq_44742816的博客
04-20 212
1.需求1: admin用户可以访问所有资源,role1用户只可以访问role1资源 :只需要spring security就能实现 //spring security提供的关键类,实现2+1方法(实现2个方法,另外一个返回PasswordEncoder的方法) WebSecurityConfigAdapter /** 方法一:配置UserDetailService 数据源。设置用...
OAuth2相关知识和理解
fenger_c的博客
06-02 1942
1 什么是OAuth2? 是一个代理授权的框架 是基于令牌Token的授权(无需用户密码也能拥有访问权限) 认证授权解耦分离 主流的标准安全框架,可以支持多种使用场景 服务器WebApp 浏览器单页SPA 无线/原生APP 服务器对服务器之间 2 OAuth2核心-令牌Token是什么? 给应用赋予有限的访问权限,让应用有权限去访问用户数据 举个例子,你把你的保时捷911停到一家酒店,那么你会给酒店服务员保时捷钥匙帮你停车,你给服务员的钥匙,是有限制的,不能行使太远的距..
微信公众平台开发(71)OAuth2.0网页授权
weixin_33762321的博客
11-09 945
微信公众平台开发 OAuth2.0网页授权认证 网页授权获取用户基本信息 作者:方倍工作室   微信公众平台最近新推出微信认证认证后可以获得高级接口权限,其中一个是OAuth2.0网页授权,很多朋友在使用这个的时候失败了或者无法理解其内容,希望我出个教程详细讲解一下,于是便有了这篇文章。   一、什么是OAuth2.0 官方网站:http://oauth.net/   http://oa...
OAuth2.0详解(简介篇)
breakloop
08-22 4564
本博文,只是一个OAuth2.0引子。用于介绍OAuth的大致内容。 有关OAuth授权模式以及实现,我们将在之后的博文中进行描述。(一)什么是Oauth2.0首先,什么是Oauth?Oauth,即Open Authorization,是一种解决用户资源共享问题的协议。例如,我们可以使用微信身份登录某些APP,这样就无需进行花样繁多的注册。该协议使用授权的方式,在其他APP不触及用户名及密码的情况
OAuth2.0网页授权
chuoban7047的博客
08-01 328
什么是OAuth2.0 官方网站:http://oauth.net/ http://oauth.net/2/ 权威定义:OAuth is An open protocol to allow secure authorization in a simple and standard me...
OAuth2.0简单介绍
qq_38014921的博客
06-12 216
概念说明 先说OAuth,OAuth是Open Authorization的简写。 OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与 密码就可以申请获得该用户资源的授权,因此OAuth是安全的。 OAuth2.0是OAuth协议的延续版本,但不向前兼容(即完全废止了OAuth1.0)。 使用场景 假设,A网站是一个打印照片的网站...
OAuth 2.0中文译本
01-28
OAuth 2.0很可能是下一代的“用户验证和授权”标准,目前在国内还没有很靠谱的技术资料。为了弘扬“开放精神”,让业内的人更容易理解“开放平台”相关技术,进而长远地促进国内开放平台领域的发展,笔者特意将OAuth 2.0协议翻译成中文。
OAuth2.0系列博客教程汇总
Nicky's blog
07-24 1891
OAuth2.0简单说就是一种授权的协议,OAuth2.0在客户端与服务提供商之间,设置了一个授权层(authorization layer)。客户端不能直接登录服务提供商,只能登录授权层,以此将用户与客户端区分开来。然后客户端在登录时候不使用账号密码,而是使用会自动过期的令牌token。定义比较难理解,可以举个例子,假如我们要登录豆瓣网,可以你是没账号的,又不想注册,然后这时候可以用QQ登录,登录时候会转跳到QQ登录页面,这个就是QQ就是一个认证服务器,豆瓣是服务提供商,也可以说是资源服务器.......
spring cloud oauth2微服务认证授权
寂夜了无痕的博客
07-01 2719
springcloud oauth 官方页面https://spring.io/projects/spring-security-oauth#learn oauth2官网https://oauth.net/2/ OAuth 2.0 is the industry-standard protocol for authorization. OAuth 2.0 focuses on client developer simplicity while providing specific authoriza..
OAuth 2.0授权模式时序图
罗小爬的技术宝书
03-20 2159
最近在准备一次技术分享,故整理了OAuth2.0不同授权模式对应的时序图,有需要的小伙伴尽请收下。
【OAuth2学习之路】Spring Security OAuth官网文档翻译
weixin_34088598的博客
09-09 577
为什么80%的码农都做不了架构师?>>> ...
OAuth 2.0官方文档内容归纳
weixin_44543578的博客
12-07 4028
OAuth 2.0 授权框架 Abstract OAuth 2.0授权框架使第三方应用程序能够代表资源所有者获得对HTTP服务的有限访问权,方法是协调资源所有者和HTTP服务之间的批准交互,或者允许第三方应用程序代表自己获得访问权。本规范取代并废除RFC 5849中描述的OAuth 1.0协议。 1. 介绍 OAuth通过引入授权层并将客户端角色与资源所有者角色分离来解决这些问题。在OAuth中,客户端请求访问由资源所有者控制并由资源服务器托管的资源,并且得到与资源所有者不同的一组凭据 客户机没有使用资源所
OAuth2.0实现第三方登录
Icebreaker
12-16 3953
目录 1、引言 2、OAuth2.0是什么 3、OAuth2.0怎么写 1、引言 本篇文章是介绍OAuth2.0中最经典最常用的一种授权模式:授权码模式 非常简单的一件事情,网上一堆神乎其神的讲解,让我不得不写一篇文章来终结它们。 一项新的技术,无非就是了解它是什么,为什么,怎么用。至于为什么,本篇文章不做重点探讨,网上会有各种文章举各种什么丢钥匙、发船票的例子供你去阅读,个人认为还是有些哗众取宠...
基于spring-security-oauth2实现oauth2(持续更新)
热门推荐
weixin_34080571的博客
05-31 10万+
为什么80%的码农都做不了架构师?>>> ...
Spring Security Oauth2 官方表结构解析,字段详解
技术博客
10-15 7131
spring-security-oauth官方表结构文件:https://github.com/spring-projects/spring-security-oauth/blob/master/spring-security-oauth2/src/test/resources/schema.sql 客户端详细信息表:oauth_client_details 字段 注释 client_id 主键,客户端ID resource_ids 客户端所能访问的资源id集合,多个资源时用逗号(,)分
OAuth 2.0授权协议详解
"OAuth 2.0 是一种授权协议,用于允许第三方应用在用户的许可下访问其私有资源。此规范定义了OAuth 2.0 授权协议的详细流程,适用于标准化用户验证机制。" OAuth 2.0 协议是互联网上广泛采用的授权框架,主要用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值