OAuth 2.0 入门指南:理解关键概念和流程

最新推荐文章于 2024-02-16 19:26:11 发布
最新推荐文章于 2024-02-16 19:26:11 发布
阅读量934 收藏 23
点赞数 26
分类专栏: 后端专栏 文章标签: OAuth2.0 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Flemming323/article/details/135232940
版权

1 OAuth官网地址

OAuth 2.0 — OAuthicon-default.png?t=N7T8https://oauth.net/2/

2 OAuth2能解决哪些问题域和场景?

    2.1 开放系统间授权

        (1)社交联合登录

        (2)开放API平台

    2.2 现代微服务安全

        (1)单页浏览器APP(HTML5、JS、无状态)
        (2)无线原生APP
        (3)服务器端WebApp
        (4)微服务与API间调用

    2.3 企业内部应用认证授权(IAM/SSO)

3 初识OAuth2

场景描述

假设有个客户应用需要访问用户的数据,如下图所示↓

auth_pic_01


        如果说这个时候我们来了一个恶意的客户,那么如果没有安全限制的话,就会出现资源服务器也会把用户数据给到恶意的客户,所以我们需要一种安全保护机制来保护用户数据。
        业界实践是提前给客户应用颁发一个Access Token(访问令牌),它表示客户应用被授权可以访问用户数据,如下图所示↓ 

auth_pic_02

        该机制可以工作的前提是必须提前给客户应用颁发Access Token,那么谁来颁发Access Token呢?

        答:授权服务器,由它来颁发和管理Access Token。

客户应用和授权服务器之间的交互流程如下:

 (1)首先客户应用请求Access Token
 (2)授权服务器征询用户意见,是否将权限授予客户应用
 (3)如果用户同意,则授权服务器会生成一个Access Token 并将它颁发给客户应用
 (4)有了这个Access Token客户应用就可以访问资源服务器拿到用户数据了

auth_pic_03

3.1 什么是OAuth2.0?

(1)用于REST/APIs的代理授权框架(delegated authorization framework)
(2)基于令牌Token的授权,在无需暴露用户密码的情况下,使应用能获取对用户数据的有限访问权限
(3)解耦认证和授权,将认证和授权进行分离
(4)事实上的标准安全框架,支持多种用例场景
        a、服务器端WebApp
        b、浏览器单页SPA
        c、无线/原生APP
        d、服务器对服务器之间
令牌是OAuth2.0的核心,针对令牌它是有一个比喻的,把令牌类比为仆从钥匙(Valet Key),给应用授予有限的访问权限,让应用能够代表用户去访问用户的数据。

3.2 OAuth2.0的历史简介

如下图所示↓

auth_pic_04

3.3 OAuth2.0的优势

(1)OAuth2.0比OAuth1.0易于实现
(2)更安全,客户端不接触用户密码,服务器端更容易集中保护
(3)广泛传播并被持续采用
(4)短寿命和封闭的Token(可以配置时限)
(5)资源服务器和授权服务器解耦
(6)集中式授权,简化客户端
(7)HTTP/JSON友好,易于请求和传递Token
(8)考虑多种客户端架构场景
(9)客户可以具有不同的信任级别(有一些细分权限)

3.4 OAuth2.0的不足

(1)协议框架太宽泛,造成各种实现的兼容性和互操作性差
(2)和OAuth1.0不兼容
(3)OAuth2.0不是一个认证协议,OAuth2.0本身并不能告诉你任何用户信息

3.5 OAuth2.0的四大角色

授权流程渠道(channels)

  • 前端渠道
    凡是资源拥有者、客户应用和授权服务器之间的发生的一些交互(没有资源服务器)
  • 后端渠道
    凡是资源服务器、客户应用和授权服务器之间的发生的一些交互(没有资源拥有者)

    auth_pic_05

3.6 OAuth2.0的术语

  • 客户应用(Client Application)
    通常是一个Web或者无线应用,它需要访问用户的受保护资源
  • 资源服务器(Resource Server)
    是一个Web站点或者web service API,用户的受保护数据保存于此
  • 授权服务器(Authorized Server)
    在客户应用成功认证并获得授权之后,向客户应用颁发说令牌Access Token
  • 资源拥有者(Resource Owner)
    资源的拥有人,想要分享某些资源给第三方应用
  • 客户凭证(Client Credentials)
    客户的clientId和密码用于认证客户
  • 令牌(Tokens)
    授权服务器在接收到客户请求后,颁发的访问令牌
  • 作用域(Scopes)
    客户请求访问令牌时,由资源拥有者额外指定的细分权限(permission)

3.7 OAuth2.0的令牌类型

auth_pic_06

3.8 OAuth2.0的误解

auth_pic_07

4 学习回顾

  • OAuth的本质是如何获取Token、如何使用Token
  • OAuth是一种在系统之间的代理授权(delegation authorization)协议
  • OAuth提供一个宽泛的协议框架,具体按全场景需要定制
  • OAuth使用代理协议的方式解决密码共享反模式问题

客户应用类型如,下图所示↓

auth_pic_08

四种OAuth2.0授权,下图所示↓

auth_pic_09

  • 授权码模式(Authorization Code)
  • 简化模式(Implicit)
  • 密码模式(Resource Owner Password Credentials)
  • 客户端模式(Client Credentials)

未来应用,授权类型选型流程,下图所示↓

auth_pic_10

授权服务器的组成,下图所示↓

    1、授权端点(Authorize Endpoint)
    2、Token端点(Token Endpoint)
    3、校验端点(Introspection Endpoint)
    4、吊销端点(Revocation Endpoint)

auth_pic_11

Spring Security OAuth2架构,下图所示↓

auth_pic_12

远见阁
关注
  • 26
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring boot 入门教程-Oauth2.0 (授权码模式)
程序猿踩坑集锦
09-06 4万+
之前 密码模式和客户端模式非常顺利的就搞好了,准备在试一下授权码模式,毕竟授权码模式在生活中已经随处可见了,比如CSDN使用QQ,或者微信账号登录。可是在之前代码的基础上测试授权码模式遇到了好多坑,所以有必要把采坑经过记录一下,也供大家参考。 当然阅读之前还是需要先看一下这两篇文章: Spring boot 入门教程-集成security Spring boot 入门教程-在Spring S...
OAuth2.0入门
03-09
OAuth入门,比较不错的文档,看看吧,如果想了解此方面的知识
OAuth 2.0 教程
QiHY的专栏
09-04 9296
OAuth 2.0 (原文:http://tutorials.jenkov.com/oauth2/index.html)OAuth 2.0 教程OAuth 2.0 是一个开放的标准协议,允许应用程序访问其它应用的用户授权的数据。例如:一个游戏可以获取Facebook中的用户信息,或者是一个地理位置程序可以获取Foursquare的用户信息等。 这儿是一个示例图: 首先用户进入游戏的web应用
oauth2.0认证和授权原理以及视频教程
我是传奇
12-19 316
所谓OAuth(即Open Authorization,开放授权),它是为用户资源授权提供了一种安全简单的标准,也就是说用户在访问第三方web或应用的时候,第三方不会知道用户的信息(登录密码等),现在基本都支持OAuth2.0版本了。 首先来看看我们在第三方使用oauth流程如下: 第一步:用户登录第三方网站,使用qq登录。 第二步:点击登录后,会跳到qq平台提示输入用户名和密码。...
OAuth 2.0教程
子冉冰清的博客
09-05 222
OAuth 2.0系列教程 参考链接 http://ifeve.com/oauth2-tutorial-all/
OAuth 2.0 极简教程 (The OAuth 2.0 Authorization Framework)
禅与计算机程序设计艺术
10-26 9356
OAuth 2.0 是什么?OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数...
OAuth 2.0 入门指南:掌握授权码模式》这篇文章的demo示例源码
12-27
这个示例源码旨在提供一个实际的、可操作的示范,让读者可以直观地理解和学习 OAuth 2.0 授权码模式的实现细节。 源码包括了设置授权服务器、配置客户端应用,以及实现授权码获取和使用的所有必要步骤。 此资源对于...
oAuth2.0WithSwaggerUI2.0:使用OAuth2 JWT保护Swagger API
05-13
OAuth 2.0 Swagger-UI 如何运行? mvn clean mvn spring-boot:run Swagger-UI 启动应用程序后,单击 配置 我使用H2 DB来获取有关用户的信息,您可以在添加用户 为了保护方法,可以在(ResourceServerConfiguration...
jfinal-oauth2.0-server:jfinal-oauth2.0-server,参考http
04-29
jfinal-oauth2.0-server基于,参考实现了4.节描述的内容。实现了OAuth 2.0定义了四种授权方式授权码模式(authorization code): 先获取下次请求token的code,然后在带着code去请求token;简化模式(implicit):...
jfinal-oauth2.0-server:jfinal-oauth2.0-服务器
05-24
jfinal-oauth2.0-server jfinal-oauth2.0-server 基于,, 参考 实现了4.节描述的内容。 实现了OAuth 2.0定义了四种授权方式 授权码模式(authorization code): 先获取下次请求token的code,然后在带着code去请求...
OAuth2.0-PHP:用于OAuth2.0实现PHP库
05-01
OAuth2.0-PHP 用于OAuth2.0实现PHP库-Beta 1.0 当前的示例项目带有包含的库,无需任何特殊设置即可工作。 您可以使用随附的oAuth_2_0.json通过Postman测试创建的端点。 PHP版本> = 5.3 安装: 下载/克隆项目 将...
OAuth 2.0 教程 http://tutorials.jenkov.com/oauth2/index.html
ZiLongO的专栏
01-27 1389
OAuth 2.0  是一个开源的授权协议,他能是一个应用访问另一个应用的数据。比如一个游戏应用可以访问你Facebook上的数据,或者一个基于位置的应用可以获取你在Foursquare 应用的数据。 这是一个介绍几本概念的图: OAuth 2.0是怎样被用于在应用之间共享数据 当用户玩一个网络游戏时,游戏要求你用Facebook登录,用户登录Facebook
OAuth 2.0 最简向导图文教程,一目了然
最新发布
怀揣梦想,一颗执着于技术的心从未磨灭,内心住着一颗顽强的小强时刻提醒自己层层突破自我,同时也成就他人
02-16 589
逐步深入,用最简单的展示方式,讲解最难理解的权限调用关系及技术实现原理
OAuth2.0系列博客教程汇总
Nicky's blog
07-24 1878
OAuth2.0简单说就是一种授权的协议,OAuth2.0在客户端与服务提供商之间,设置了一个授权层(authorization layer)。客户端不能直接登录服务提供商,只能登录授权层,以此将用户与客户端区分开来。然后客户端在登录时候不使用账号密码,而是使用会自动过期的令牌token。定义比较难理解,可以举个例子,假如我们要登录豆瓣网,可以你是没账号的,又不想注册,然后这时候可以用QQ登录,登录时候会转跳到QQ登录页面,这个就是QQ就是一个认证服务器,豆瓣是服务提供商,也可以说是资源服务器.......
OAuth2.0从入门到实战(附github地址)
Javaer
02-25 2706
Oauth2.0 从入门到实战,一篇文章搞懂第三方登录和SSO
认证服务器的搭建_「最简OAuth 2.0 教程」开发认证中心及资源服务器接入
weixin_36125467的博客
01-11 891
背景: 网上很多讲配置 oauth2 ,配置方法 复杂纷繁对于初学者很不友好,让人望而却步欢迎关注本系列博客 基于 spring cloud 最新版本 hoxton 完成oauth2 的实践基于 Spring Cloud OAuth,用简洁的方式搭建oauth的认证中心,关于oauth2 的授权模式 请直接参考 阮一峰 OAuth 2.0 的四种方式的详细介绍项目版本核心说明名称 版本 Sprin...
OAuth2.0入门图解
流楚丶格念的博客
07-22 1931
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。是一个标准,用来给第三方应用授权来访问当前用户存储在其他应用上的信息OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。httpshttps。.......
Spring Security系列教程29--OAuth2.0协议详解
一一哥
11-05 2487
前言 截止到现在,一一哥 已经带各位把Spring Security中的主要功能学完了,并且剖析了这些内容的底层实现原理,希望你可以有所收获。 但是在安全认证领域,还有另一种很重要的授权机制---OAuth2.0开放授权。而且OAuth2.0开放授权与Spring Security经常配合使用,这两者之间可以说是“焦不离孟,孟不离焦”的搭配关系,所以为了进一步掌握Spring Security,在这里 壹哥 给大家再介绍另一个OAuth2.0开放授权协议。 OAuth2.0开放授权并不是Spring
oauth1.0和oauth2.0的区别
07-24
OAuth(Open Authorization)是一种用于授权的开放标准协议,允许用户授权第三方应用访问其受保护的资源。OAuth 1.0和OAuth 2.0是OAuth协议的两个不同版本,它们有以下几点区别: 1. 认证流程OAuth 1.0使用了三个步骤的认证流程,包括请求令牌和访问令牌;OAuth 2.0简化了认证流程,只使用了一个访问令牌。 2. 安全性:OAuth 1.0在请求过程中使用了数字签名,提供了更高的安全性;而OAuth 2.0主要依赖于HTTPS来保证通信安全。 3. 扩展性:OAuth 2.0相对于OAuth 1.0更加灵活和可扩展,允许开发者自定义授权流程和令牌类型。 4. 支持范围:OAuth 1.0广泛支持各种应用场景,包括客户端应用、Web应用和移动应用等;OAuth 2.0在Web应用和移动应用方面更加成熟,但对于一些特殊场景(如客户端应用)可能需要进行扩展。 需要注意的是,虽然OAuth 2.0相对于OAuth 1.0有更多的优势,但它也引入了一些新的安全问题,如访问令牌的滥用和授权范围的管理。因此,在选择OAuth版本时,需要根据具体应用场景和需求进行权衡和选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

远见阁

你的鼓励就是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值