OAuth认证流程、Access Token以及Refresh Token简介

最新推荐文章于 2024-09-22 19:29:03 发布
最新推荐文章于 2024-09-22 19:29:03 发布
阅读量3.8k 收藏 5
点赞数
文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hyaloidz/article/details/109146229
版权

OAuth认证流程

背景

很多的网站、APP都弱化了甚至没有搭建属于自己的账号体系,而是使用其它社会化的第三方登陆的方式,比如在登陆某个网站的时候选择通过github或者微信、微博等方式登陆,这样不仅免去了用户注册账号的麻烦,还可以获取用户的好友关系来增强自身的社交功能。

例如要通过github这样的第三方网站去登陆某个没有自己账号体系的平台,最传统的方式是直接在该平台的登陆页面输入github的账号密码,该平台通过用户的账号和密码去github上面获取用户的数据,但是这样做有很多缺陷:

  1. 该平台需要明文保存用户的github账号和密码,不安全;
  2. 该平台拥有获取用户在github的所有权限;
  3. 用户只有修改密码,才能收回赋予该平台的权限,会导致其它获得用户授权的第三方应用全部失效;
  4. 只要有一个第三方应用程序被破解,就会导致用户密码泄露,以及所有使用github登陆过的网站的数据泄漏;

为了解决以上问题,就有了OAuth。

原理

OAuth在“客户端”和“服务端”之间设置了一个授权层(authorization layer)。“客户端”不能直接登陆“服务端”,只能登陆授权层,以此将用户与客户端区分开来。“客户端”登陆授权层所用的oken与用户的密码不同,用户可以在登陆的时候,指定授权层token的权限范围和有效期。

“客户端”登陆授权层之后,“服务端”根据token的权限范围和有效期,向“客户端”开放用户存储的资料。

例如现在有一个平台为平台A,平台A的登陆方式只有通过谷歌账号第三方登录机制登录。流程图大致如下:
流程图

  1. 用户点击Sign in with Google
    跳转到授权页面,授权页面的URL中主要包含的参数有:
  • client_id: 在Google中申请应用ID;
  • redirect_uri: 授权成功之后要跳转到的地址;
  1. 页面自动跳转到初始参数中redirect_uri定义的URL,并自动在URL末尾添加一个code参数
  2. 平台A通过上一步获取的code参数换取Token,平台A请求如下接口获取Token
    POST https://oauth2.googleapis.com/token,需要包含以下参数:
  • client_id: 在Google申请的应用ID;
  • client_secret: 在Google申请时提供的APP Secret;
  • grant_type: 需要填写authorization_code;
  • code: 上一步获得的code;
  • redirect_uri: 回调地址,需要与注册应用里的回调地址以及第一步的redirect_uri参数一致;
  1. 通过第三步的请求,接口返回Token和相关数据
{
	"access_token": "ACCESS_TOKEN",		// Token的值
	"expires_in": 1000,		// 过期时间
	"uid": "1234567", 		// 当前授权用户的UID
}
  1. 使用在第四步中获取到的access_token,就可以去获取用户的资源了
  2. Google返回用户信息,平台A进行处理,整个流程结束;

通过以上方式,在平台A和Google之间建立了一个独立的权限层,这个权限由用户赋予,可以被用户随时取消,不同于第三方应用之间的相互独立,互不干扰,这样就解决了明文存放账号密码的问题。

Access Token

Access Token是用于访问被保护的资源的一种凭据,它是一个不透明的字符串。一般Access Token的有效时间都比较短,如果想要用户不用频繁登录平台A,就需要用到Refresh Token了。至于为什么需要用到Refresh Token而不是再次去获得Access Token,主要是因为获取Access Token的时候需要使用到一个code,而生成这个code需要用户再次进行操作,而有了Refresh Token,用户就可以不用再次进行操作了。

Refresh Token

在OAuth机制中,Refresh Token并不是必须设置的,但是不设置Refresh Token,则会增加用户登录的次数。Refresh token的作用是刷新Access token。为Refresh Token是保存在客户端的服务器上的,当前的Access Token失效或者过期时,Refresh Token就会去获取一个新的Token,Refresh Token也是一个对客户端不透明的字符串。

一个比较有效的token返回结果如下:

HTTP/1.1 200 OK
Content-Type: application/json
Cache-Control: no-store
Pragma: no-cache
 
{
  "access_token":"MTQ0NjJkZmQ5OTM2NDE1ZTZjNGZmZjI3",
  "token_type":"bearer",
  "expires_in":3600,
  "refresh_token":"IwOGYzYTlmM2YxOTQ5MGE3YmNmMDFkNTVk",
  "scope":"create"
}

大致流程如下:
在这里插入图片描述

  1. 客户端通过认证服务器请求认证;
  2. 认证服务器检验客户端认证是否有效,如果有效,返回一个Access Token和一个Refresh Token;
  3. 客户端通过Access Token去请求服务器的资源;
  4. 如果Access Token有效,服务器返回给客户端资源,如果Access Token失效,服务器返回给客户端Token失效的信息,然后客户端会通过Refresh Token再次请求获取新的Access Token;

Refresh Token本身也是有过期时间的,一般会比Access Token的过期时间长很多,如果想要将Refresh Token设置为永久有效,则可以通过配置参数实现。

参考链接:

http://www.rfcreader.com/#rfc6749
https://www.oauth.com/oauth2-servers/access-tokens/access-token-response/

SseaMount
关注
OAuth2中 access_tokenrefresh_token的各类配置与使用场景FAQ
weixin_45738731的博客
05-17 3709
过去几年的OAuth2经历与使用,总结一下,记录有关 access_token, refresh_token的各类配置与场景适应,到此以自问自答的形式把这些琐碎的点总结下来。说明:以下问答中的截图或表等信息以中配置为参考。
Oauth2.0(三):Access TokenRefresh Token
blowing00的专栏
02-28 3761
access token 是应用方访问资源服务器的接口时,需要提供的一个令牌。拥有这个令牌代表着得到用户的授权。然而,这个授权应该是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险。 然而引入了有效期之后,应用方使用起来就不那么方便了。每当 ...
Web API与OAuth:既生access token,何生refresh token
weixin_33727510的博客
07-13 400
在前一篇博文中,我们基于 ASP.NET Web API 与 OWIN OAuth 以 Resource Owner Password Credentials Grant 的授权方式( grant_type=password )获取到了 access token,并以这个 token 成功调用了与当前用户(resource owner)关联的 Web API。 本以为搞定了 access tok...
OAuth2.0认证授权协议
最新发布
qq_41893505的博客
09-22 1223
OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。互联网应用中最常见的 OAuth2 就是各种第三方登录,例如:QQ 授权登录、微信授权登录等。它们允许用户通过 QQ 或微信账号来登录其他网站或应用,而不需要为这些网站或
OAuth2.0的refresh token
热门推荐
wenlei_zhouwl的专栏
02-13 4万+
转载自http://www.html-js.com/?p=1297 最近看人人网的OAuth认证,发现他是OAuth2.0,之前一直看的是新浪的OAuth,是OAuth1.0. 二者还是有很多不同的,主要的不同点在access token的获取方式. OAuth1.0的access token获取过来之后,就可以存到数据库里,然后长期使用,因为它有效期很长,通常有效期
accessTokenrefreshToken区别
Mr.绵羊的知识星球
09-01 2640
accessTokenrefreshToken关联和区别
App之OAuth授权登录、access tokenrefresh token
LVXIANGAN的专栏
09-18 8290
OAuth授权是什么? 先说一下常见的应用场景来理解吧, 情景1:我们访问一个购物应用/网站,把商品加入购物车进行结算时,会被要求先注册才能使用。但我不想在注册页面填那么多东西又想购买怎么办?那就涉及到授权登录了。我在WX里面允许这个App读取我的基本信息,让它为我自动创建一个账号,这样就可以继续购物流程了。在这授权过程中,实际是WX向App提供了一个令牌(AccessToken),Ap...
`AccessToken`和`RefreshToken`安全令牌
qq_31532979的博客
06-04 1563
`AccessToken`和`RefreshToken`安全令牌
oauth2.0 access_token资源认证
01-10
在这个场景中,我们关注的是如何利用OAuth2.0来实现对Oracle数据库资源的认证,以及生成access_token的过程。 OAuth2.0的核心流程分为四个角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器...
oauth2如何refreshToken
m0_46190243的博客
09-29 5130
oauth2如何refreshToken? post请求,跟请求token一样的url地址:http://localhost:9098/oauth/token post需要的参数: grant_type :refresh_token” client_id:分配的客户端id client_secret:分配的客户端密码 refresh_token:值为上一次请求返回值中"refresh_token 实例如下所示 oauth2配置文件需要设置支持refreshToken @Override pu
oauth2获取access_token1
08-08
OAuth2 获取 access_token 的几种方式 在 OAuth2 协议中,获取 access_token 是一个非常重要的步骤。 access_token 是客户端访问资源服务器的唯一凭证,用于身份验证和授权。下面将详细介绍 OAuth2 获取 access_...
Access TokenRefresh Token
daobuxinzi的博客
02-09 3146
  access token 是在 Oauth2.0 协议中,客户端访问资源服务器的令牌(其实就是一段全局唯一的随机字符串)。拥有这个令牌代表着得到用户的授权。它里面包含哪些信息呢?答案是:   哪个用户 在什么时候 授权给哪个客户端 去做什么事情   对于 Oauth2.0 不了解的读者,请看我的另一篇文章:简单介绍 Oauth2.0 原理   这个授权是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个...
访问令牌(AccessToken)与刷新令牌(RefreshToken
昨夜丶雨疏风骤的博客
05-15 1万+
源码点我 闲着无聊的我又来了,今天介绍一下访问令牌(AccessToken)与刷新令牌(RefreshToken)。 最近公司来了几个Java,然后空气顿时充满了学术的氛围,每天都弥漫着垃圾回收,内存分配,堆栈等等各种技术问题的讨论,竖起了我的小耳朵,我偶然间听到了这个Token过期的问题,今天来说一说。 众所周知,JWT是我们常用的Token类型之一,但是JWT是无状态的,所有的信息,包括超时时间都会编码在JWT中。如果Token设置的超时时间过长会显得有些不安全,如果设置的过短则必须频繁的登录。 在Id
access_token VS refresh_token
RayPick的博客
11-29 6474
众所周知, 在 OAuth 2.0 授权协议中, 有两个令牌 token , 分别是 access_tokenrefresh_token, 为什么已经有了 access_token, 还需要 refresh_token 呢? 我们先看下面两者的介绍 access_token 访问令牌, 它是一个用来访问受保护资源的凭证 refresh_token 刷新令牌, 它是一个用来获取access token的凭证 下面是 OAuth 2.0 中的 token 工作流程图 回归主题, 这两个令牌的主要区别如下
Oauth认证
点滴积累成就技术梦想
01-05 5746
一、Oauth简介 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。 与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的(没有涉及到用户密钥)。任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAU
oauth 认证
qq_36528073的博客
06-03 505
需求 在微服务架构中,我们有很多业务模块,每个模块都需要有用户认证,权限校验。有时候也会接入来自第三方厂商的应用。要求是只登录一次,即可在各个服务的授权范围内进行操作。看到这个需求,立马就想到了这不就是单点登录吗?于是基于这样的需求,作者使用spring-cloud-oauth2去简单的实现了下用户认证和单点登录。 相关介绍 OAuth2 OAuth2是一个关于授权的网络标准,他定制了设计思路和执行流程OAuth2一共有四种授权模式:授权码模式(authorization code)、简化模式(impli
Token设计:Access TokenRefresh Token
常备不懈
08-07 1236
在现代Web应用中,身份验证和授权是确保安全性的关键部分。Access TokenRefresh Token是用于这一过程的重要组件。
关于Oauth认证
Bo109的博客
03-07 265
关于OAth认证
accesstokenrefreshtoken
qq_33600019的博客
06-29 1万+
在工作的时候,有点疑惑accesstokenrefreshtoken这两个是怎么实现的,简单查找了一下百度,得到了如下的解释1,token化的协议过程2,当用户登录的时候,生成access_tokenrefresh_token,并返回给APP。      当access_token失效时,APP使用refresh_token来请求刷新token。      如果refresh_token过期,...
access tokenrefresh token一般存在哪
05-26
Access TokenRefresh Token 通常是在身份验证(Authentication)和授权(Authorization)过程中使用的。它们可以存储在客户端(如浏览器、移动应用程序等)或服务器端,具体取决于应用程序的需求和安全性要求。 在 OAuth2.0 中,Access Token 是由授权服务器颁发的,用于向受保护的资源服务器进行身份验证和授权。Access Token 通常被存储在客户端的内存或本地存储中,以便在每次请求时将其包含在请求头中。这样,资源服务器可以验证请求的有效性并根据授权范围决定是否允许访问。 Refresh Token 是用于获取新 Access Token 的凭证。通常,它会在 Access Token 过期时使用,以便在不需要用户重新登录的情况下获取新的 Access TokenRefresh Token 通常被存储在客户端的本地存储中,并且应该被妥善保护,以防止被盗用或泄漏。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值