OAuth 2.0 原理与流程详解

最新推荐文章于 2024-05-29 00:46:29 发布
最新推荐文章于 2024-05-29 00:46:29 发布
阅读量2.8k 收藏 4
点赞数 1
分类专栏: php 文章标签: oauth2 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gekkoou/article/details/50913709
版权

OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。

本文例子为 在多个不同域名的网站下,使用同一套用户中心体系,点击登录跳转到已搭建 OAuth2.0 的服务端后,用户授权登录。

流程:

(A)用户访问客户端,后者将前者导向认证服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的”重定向URI”(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的”重定向URI”,向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access_token)和更新令牌(refresh_token)。
(F)客户端用 access_token 向认证服务器获取用户信息

步骤详解:

搭建 OAuth2.0 的服务端 简称 i.com

步骤A

用户在 a.com 网站上点击登录,网站带上参数跳转到 i.com
参数:

response_type:表示授权类型,必选项
client_id:表示客户端的ID,必选项
redirect_uri:表示重定向URI,可选项
scope:表示申请的权限范围,可选项
state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。

例如:

GET
http://i.com/authorize?response_type=login&client_id= {%client_id%} &redirect_uri=http%3A%2F%2Fa%2Ecom
HTTP/1.1
Host: a.com

步骤B

i.com 根据 client_id 去数据库 client 表查找是否存在 client_id,存在则根据cookie或者其它方式验证用户是否在 i.com 为登录状态。
有登录则出现授权界面让用户确认是否授权,没有则进入正常用户帐号密码登录流程,登录成功后则出现授权界面让用户确认是否授权。

步骤C

当用户确认授权后,i.com 根据 client_id 搜出来数据 $data,生成 $code$redirect_uri$expires,等信息并保存到 code 表中,code有效期为60秒内,
最后跳转回 client 表中根据 client_id 搜索出来的 $data['redirect_uri']

$code = md5($client_id.$user_id.date("YmdHis",time()));
$redirect_uri = $data['redirect_uri'].'?code='.$code;
$expires = time()+60;
//保存数据到 code 表中

...

$url = $redirect_uri.'&client_id='$client_id.'&referer_url='.$_GET['redirect_uri'];
header("Location:".$url);

步骤D

i.com 收到 $_GET['code']$_GET['client_id'] 后,

POST http://i.com/token HTTP/1.1
Host: a.com
code= {%code%} &client_id= {%client_id%} &client_secret= {%client_secret%}

步骤E

服务器 i.com 接收到 codeclient_idclient_secret 后,验证 code 表,验证通过后生成 $access_token$refresh_token$expires, 保存到 token 表中后,发送的HTTP回复到 a.com,包含以下参数:

$access_token  = md5($client_id.$user_id.date("YmdHis",time()));
$refresh_token = md5($client_id.$client_secret.date("Ymd",time()));
$expires = time()+3600; //access_token有效期为1小时
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

    {
        "access_token" : "example",
        "token_type" : "example",
        "expires_in" : 3600,
        "refresh_token" : "example"
    }

access_token:表示访问令牌,必选项。
token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。
scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。

步骤F

a.com 用收到的 access_tokeni.com 获取用户信息并在 a.com 下存cookie或其它方式进行登录。

附上数据表

CREATE TABLE `oauth_client` (  
  `id` bigint(20) NOT NULL auto_increment,  
  `client_id` varchar(32) NOT NULL,  
  `client_secret` varchar(32) NOT NULL,  
  `redirect_uri` varchar(200) NOT NULL,  
  `create_time` int(20) default NULL,  
  PRIMARY KEY  (`id`)  
) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;  

CREATE TABLE `oauth_code` (  
  `id` bigint(20) NOT NULL auto_increment,  
  `client_id` varchar(32) NOT NULL,  
  `user_id` varchar(32) NOT NULL,  
  `code` varchar(40) NOT NULL,  
  `redirect_uri` varchar(200) NOT NULL,  
  `expires` int(11) NOT NULL,  
  `scope` varchar(250) default NULL,  
  PRIMARY KEY  (`id`)  
) ENGINE=MyISAM DEFAULT CHARSET=utf8;  

CREATE TABLE `oauth_token` (  
  `id` bigint(20) NOT NULL auto_increment,  
  `client_id` varchar(32) NOT NULL,  
  `user_id` varchar(32) NOT NULL,  
  `access_token` varchar(40) NOT NULL,  
  `refresh_token` varchar(40) NOT NULL,  
  `expires` int(11) NOT NULL,  
  `scope` varchar(200) default NULL,  
  PRIMARY KEY  (`id`)  
) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

**(文章写的估计外人都看不懂了,没关系,我是写给我自己看的。。。请原谅~)
** 配合用户中心同步机制可实现多网站同步登录(详情请用力戳我),方可实现一次登录,多个域名网站同步登录。





Gekkoou
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Auth2.0原理
沈荣荣的博客
06-15 1万+
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。目前Auth2.0已经得到了广泛应用,比如微信登录、微博、QQ等。一、为什么要使用OAuth为了理解OAuth的适用场合,让我举一个假设的例子。有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。...
Oauth2.0的四种模式
qq_37457564的博客
07-25 2109
1. 授权码模式 (1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize? client_id=p2pweb&response_type=code&scope=app&redirect_uri=http://xx.xx/notify 参数列表如下: client_id:客户端接入标识。 response_type:授权码模式固定为code。 scope:客户端权限
SpringCloud之SSO单点登录-基于Gateway和OAuth2的跨系统统一认证和鉴权详解
最新发布
踏雨歌青春,诗酒趁年华
05-29 1万+
本文详述了如何利用SpringCloud、Gateway和OAuth2实现跨系统的统一认证和鉴权。文章介绍了SSO单点登录的概念和优势,通过具体的配置和代码示例,讲解了如何搭建一个安全、高效的认证中心,实现用户只需一次登录即可访问多个系统的目标,从而提高系统安全性和用户体验。
OAuth2.0 实现单点登录
热门推荐
qq15035899256的博客
03-17 2万+
本文是对OAuth2.0的学习,了解了它的4种授权方式,学会了如何搭建验证服务器,使用 postman对四种模式作了接口测试。并且学会了资源服务器实现单点登录的两种方式,也成功解决了远程调用时没有携带 token 的问题。最后也学会了使用 JWT 存储 Token,大大提高了安全性。
【安全】探索统一身份认证:OAuth 2.0的介绍、原理和实现方法
橘足轻重的博客
06-28 1972
OAuth 2.0作为一种流行的统一身份认证协议,为用户在多个应用程序之间共享身份验证和授权信息提供了安全可靠的解决方案。本文介绍了OAuth 2.0的概念、原理和实现方法,希望读者能够更好地理解和应用该技术,以提升用户体验并促进应用之间的集成和互操作性。
OAuth 2.0 的四种方式
勿忘初心
04-24 1705
OAuth 2.0 是一种授权机制,主要用来颁发令牌(token)。 RFC 6749 OAuth 2.0 的标准是 RFC 6749 文件。该文件先解释了 OAuth 是什么。 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。…资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。 这段话的意思就是,OAuth 的核心就是向第三方应用颁发令...
OAuth2.0 流程
Leon_Jinhai_Sun的博客
12-17 202
OAuth2.0 流程
简单介绍 Oauth2.0 原理
weixin_41044151的博客
06-01 567
有两家互联网企业 A 和 B,其中 B 是一家提供相片云存储的公司。用户可以把相片上传到 B 网站上长期保存,然后可以在不同的设备上查看。某一天,A 和 B 谈成了一项合作:希望用户在使用 A 的客户端时,也可以观看他在 B 的相片。这个技术上要怎么实现呢? 选项一:由 B 提供一个接口: GET /photos?account= 参数: account : B 账号 返回: 指定账号下的所有相片 有了这个接口,A 的客户端只需在界面上显示一个输入框,让用户输入他的 B 账号,然后调用这个接口来获取相片就可
OAuth2.0 原理简介
weixin_30507481的博客
10-09 101
写在前面: 在正式介绍OAuth2.0之前我们先来看一个场景:小李是一个文艺小青年, 经常喜欢出去旅游并且把自己旅行中的美景照片分享到各大社交网站上,比如朋友圈,新浪微博。小李马上要向女朋友求婚了,他想把这三年来和自己女朋友出去旅游的照片打印出来做成照片墙,好在求婚的时候讲女友感动的一塌糊涂,然后你懂得...,那么问题来了,按照小李带女朋友一个月出去玩一次,每次分享30张照片,三年就是3...
大话微服务:Spring Cloud gateway+OAuth2 实现单点登录和权限控制(三)OAuth2.0原理深入研究
热水钟博客
04-23 8542
一、OAuth2.0原理 1.OAuth2.0有四种认证模式,常用的密码模式(本公司开发的各个系统)和授权码模式(针对第三方应用),他们均通过给客户端一个令牌来授权对资源所有者的资源。 2. OAuth2.0为用户和应用定义了以下角色: 资源拥有者: 拥有共享数据的人或者应用,改为叫资源访问者更合适。 资源服务器:托管资源的服务器。 客户端应用:请求访问存储在资源服务器上...
Oauth2.0流程和逻辑整理
weixin_43443954的博客
12-18 3042
Oath2.0 的方案介绍
什么是OAuth2.0
s041109的博客
05-23 700
目录 前言 1.所以什么是OAuth2.0呢? 举例说明 2. OAuth2中的角色 3. 认证流程 前言 OAuth是Open Authorization的简写。 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。 同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。 1.所以什么是OAuth2.0呢? OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1
OAuth2.0授权原理及开发流程详解
u013322876的博客
08-17 6857
OAuth2.0授权原理及开发流程详解 程序员小强 1天前 OAuth2.0在认证和授权的过程中参与的几个角色如下: Client - 第三方应用, 下面以小明使用qq登陆本站为例来讲解OAuth2.0授权原理(小明为Resource Owner,本站36nu.com为Client,qq授权服务器为Authorization Server,提供小明qq基本信息的服务器为
OAuth2.0基本原理及应用
weixin_30920091的博客
09-11 226
OAuth2.0基本原理及应用 一.OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 在详细讲解OAuth 2.0之前,需要了解几个专用名词,理解它们对理解OAuth2.0的基本原理很重要。 (1) Third-party application:第三方应用程序,本文中又称"客户端"(client)。 (2)HTTPservi...
Oauth2.0详解及安全使用
weixin_30480075的博客
09-04 849
引言:刚刚参加工作的时候接到的第一个任务就是接入新浪的联合登录功能,当时新浪用的还是oauth1.0协议。接入的时候没有对oauth协议有过多的了解,只是按照开放平台的接入流程进行开发,当时还在想这么麻烦就是为了作一个登录功能?(为当年的无知汗颜...)。再后来上家公司需要开发一套自己的基于oauth2.0的联合登录功能,粗粗的看了下oauth2.0协议流程,自以为了解了便开始设计开发,现在来看真...
OAuth原理,图文并茂,通俗易懂
西瓜的博客
03-06 5171
步骤2请求OAuth登录页(慕课的服务器请求腾讯服务器)步骤3使用第三方账号登录并授权步骤4返回登录结果拿到了加密后的code参数,有了code基本上可以确定(用户输入的QQ号和密码)是匹配的,也就是说登录是成功的。但还不够出于安全性的考虑单单凭借code还不能赋予第3方网站使用用户的QQ号去执行一些操作。有些别有用心的可能会劫持code,为了确保code被合法的服务器获取到,还需要慕课网的服务器...
OAuth2.0认证和授权机制讲解
05-10 743
大多数网站提供的第三方登录都遵循OAuth协议,虽然大多数网站的细节处理都是不一致的,甚至会基于OAuth协议进行扩展,但大体上其流程是一定的。今天,我们就来看看基于OAuth2的第三方登陆功能是怎样一个流程

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值