OAuth认证流程、Access Token以及Refresh Token简介

最新推荐文章于 2024-06-04 14:18:50 发布
最新推荐文章于 2024-06-04 14:18:50 发布
阅读量3.4k 收藏 5
点赞数
文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hyaloidz/article/details/109146229
版权

OAuth认证流程

背景

很多的网站、APP都弱化了甚至没有搭建属于自己的账号体系,而是使用其它社会化的第三方登陆的方式,比如在登陆某个网站的时候选择通过github或者微信、微博等方式登陆,这样不仅免去了用户注册账号的麻烦,还可以获取用户的好友关系来增强自身的社交功能。

例如要通过github这样的第三方网站去登陆某个没有自己账号体系的平台,最传统的方式是直接在该平台的登陆页面输入github的账号密码,该平台通过用户的账号和密码去github上面获取用户的数据,但是这样做有很多缺陷:

  1. 该平台需要明文保存用户的github账号和密码,不安全;
  2. 该平台拥有获取用户在github的所有权限;
  3. 用户只有修改密码,才能收回赋予该平台的权限,会导致其它获得用户授权的第三方应用全部失效;
  4. 只要有一个第三方应用程序被破解,就会导致用户密码泄露,以及所有使用github登陆过的网站的数据泄漏;

为了解决以上问题,就有了OAuth。

原理

OAuth在“客户端”和“服务端”之间设置了一个授权层(authorization layer)。“客户端”不能直接登陆“服务端”,只能登陆授权层,以此将用户与客户端区分开来。“客户端”登陆授权层所用的oken与用户的密码不同,用户可以在登陆的时候,指定授权层token的权限范围和有效期。

“客户端”登陆授权层之后,“服务端”根据token的权限范围和有效期,向“客户端”开放用户存储的资料。

例如现在有一个平台为平台A,平台A的登陆方式只有通过谷歌账号第三方登录机制登录。流程图大致如下:
流程图

  1. 用户点击Sign in with Google
    跳转到授权页面,授权页面的URL中主要包含的参数有:
  • client_id: 在Google中申请应用ID;
  • redirect_uri: 授权成功之后要跳转到的地址;
  1. 页面自动跳转到初始参数中redirect_uri定义的URL,并自动在URL末尾添加一个code参数
  2. 平台A通过上一步获取的code参数换取Token,平台A请求如下接口获取Token
    POST https://oauth2.googleapis.com/token,需要包含以下参数:
  • client_id: 在Google申请的应用ID;
  • client_secret: 在Google申请时提供的APP Secret;
  • grant_type: 需要填写authorization_code;
  • code: 上一步获得的code;
  • redirect_uri: 回调地址,需要与注册应用里的回调地址以及第一步的redirect_uri参数一致;
  1. 通过第三步的请求,接口返回Token和相关数据
{
	"access_token": "ACCESS_TOKEN",		// Token的值
	"expires_in": 1000,		// 过期时间
	"uid": "1234567", 		// 当前授权用户的UID
}
  1. 使用在第四步中获取到的access_token,就可以去获取用户的资源了
  2. Google返回用户信息,平台A进行处理,整个流程结束;

通过以上方式,在平台A和Google之间建立了一个独立的权限层,这个权限由用户赋予,可以被用户随时取消,不同于第三方应用之间的相互独立,互不干扰,这样就解决了明文存放账号密码的问题。

Access Token

Access Token是用于访问被保护的资源的一种凭据,它是一个不透明的字符串。一般Access Token的有效时间都比较短,如果想要用户不用频繁登录平台A,就需要用到Refresh Token了。至于为什么需要用到Refresh Token而不是再次去获得Access Token,主要是因为获取Access Token的时候需要使用到一个code,而生成这个code需要用户再次进行操作,而有了Refresh Token,用户就可以不用再次进行操作了。

Refresh Token

在OAuth机制中,Refresh Token并不是必须设置的,但是不设置Refresh Token,则会增加用户登录的次数。Refresh token的作用是刷新Access token。为Refresh Token是保存在客户端的服务器上的,当前的Access Token失效或者过期时,Refresh Token就会去获取一个新的Token,Refresh Token也是一个对客户端不透明的字符串。

一个比较有效的token返回结果如下:

HTTP/1.1 200 OK
Content-Type: application/json
Cache-Control: no-store
Pragma: no-cache
 
{
  "access_token":"MTQ0NjJkZmQ5OTM2NDE1ZTZjNGZmZjI3",
  "token_type":"bearer",
  "expires_in":3600,
  "refresh_token":"IwOGYzYTlmM2YxOTQ5MGE3YmNmMDFkNTVk",
  "scope":"create"
}

大致流程如下:
在这里插入图片描述

  1. 客户端通过认证服务器请求认证;
  2. 认证服务器检验客户端认证是否有效,如果有效,返回一个Access Token和一个Refresh Token;
  3. 客户端通过Access Token去请求服务器的资源;
  4. 如果Access Token有效,服务器返回给客户端资源,如果Access Token失效,服务器返回给客户端Token失效的信息,然后客户端会通过Refresh Token再次请求获取新的Access Token;

Refresh Token本身也是有过期时间的,一般会比Access Token的过期时间长很多,如果想要将Refresh Token设置为永久有效,则可以通过配置参数实现。

参考链接:

http://www.rfcreader.com/#rfc6749
https://www.oauth.com/oauth2-servers/access-tokens/access-token-response/

SseaMount
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
解决Spring OAuth2 每次生成access_tokenrefresh_token都是新的问题
一一哥
07-22 9537
解决Spring OAuth2 每次生成access_tokenrefresh_token都是新的问题 一. 问题描述 我们的项目中使用到了Spring OAuth2,但是在利用Spring OAuth2生成access_tokenrefresh_token的时候,每次传递过来username和password,生成的对应的token都是一个新的值,过期时间也一直是最新的默认值89400...
accessTokenrefreshToken区别
Mr.绵羊的知识星球
09-01 2161
accessTokenrefreshToken关联和区别
`AccessToken`和`RefreshToken`安全令牌
最新发布
qq_31532979的博客
06-04 899
`AccessToken`和`RefreshToken`安全令牌
[转]OAuth2.0授权协议+4种认证模式了解
Admans的专栏
11-06 891
OAuth2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。对于用户而言,我们在互联网应用中最常见的 OAuth 应用就是各种。
OAuth2有了token为啥还要refresh token
qq_27210677的专栏
02-24 808
access token 就是普通理解的token,用于唯一身份的标识,每次在请求后端,访问受保护的资源时,比如用户的个人信息,通讯录等,需要通过access token令牌来 访问受保护的资源。OAuth2是一种授权框架,用于允许第三方应用程序(客户端)在不知道用户的凭证(例如用户名密码)的情况下,访问受保护的资源(比如用户的个人信息,通讯录等)。在OAuth2授权框架中,access tokenrefresh token授权认证的令牌,但他们的作用是不同的。资源持有者:拥有受保护资源的用户。
Oauth2认证、登录模式
随心
10-25 261
​ redirect_uri 跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)​ redirect_uri 跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)​ redirect_uri 跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)这种模式是最方便但最不安全的模式。
OAuth2.0用refresh_token更新access_token令牌
张俊杰 的博客
02-07 6287
概述 使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。 修改授权服务器配置,增加refresh_token配置 ​ @Autowired private UserService userService; @Override public void configure(AuthorizationServerEndpointsConfigurer endpoint
oauth2.0 access_token资源认证
01-10
在这个场景中,我们关注的是如何利用OAuth2.0来实现对Oracle数据库资源的认证,以及生成access_token的过程。 OAuth2.0的核心流程分为四个角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器...
oauth2获取access_token1
08-08
OAuth2 获取 access_token 的几种方式 在 OAuth2 协议中,获取 access_token 是一个非常重要的步骤。 access_token 是客户端访问资源服务器的唯一凭证,用于身份验证和授权。下面将详细介绍 OAuth2 获取 access_...
OAuth2获取token报错invalid stream header
12-14
记一次异常解决:OAuth2获取token...检查需要创建的OAuth2的几张表:oauth_access_tokenoauth_approvals、oauth_client_details、oauth_client_tokenoauth_code、oauth_refresh_token 这几张表的字段类型一定要设
Spring Security OAuth 个性化token的使用
08-26
首先,我们需要了解默认的token返回的报文格式,包括access_tokentoken_type、refresh_token、expires_in、scope等参数。这些参数都是一些基本信息,不能满足我们的需求。 为了扩展默认的token,我们可以使用...
access_token验证过期类
11-29
2. **刷新令牌**:如果`access_token`未过期但接近到期,应用可以使用刷新令牌(`refresh_token`)来获取新的`access_token`。刷新令牌通常具有较长的有效期,允许在不重新授权用户的情况下获取新令牌。 3. **重新...
前后端利用accessTokenrefreshToken无感刷新
没有翅膀的我们,只是随便认为不能飞而已
06-15 5217
项目初衷 以jwt(由header,payload和signature组成)为例,用户登录成功,后端返回accessToken。前端保存,请求接口携带,一切都是水到渠成的 可是在acessToken失效时,你正好请求一次接口,接口就挂了,可能你就跳到登录页了,用户体验也不好。我们希望虽然过期了,但是页面偷偷地刷新,不影响当前接口运行。如果你的方案是把accessToken的有效期设置地久一点,比如100年。你真的是个机智Boy,那设置jwt的意义何在。 方案 accessTokenrefreshToken
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 9178
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
【SSO单点登录】JWT续签问题 && OAuth2.0 中的refreshToken刷新机制
老男孩的架构路
10-14 2214
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
OAuth 2.0 授权认证详解
GJ_ia的博客
01-13 2604
从上图中可以看出,造成 CSRF 攻击漏洞问题的关键点在于,OAuth2 的认证流程是分为好几步来完成的,在上一章节授权码模式流程中的流程图中的第 4步骤中,第三方应用在收到一个 GET 请求时,除了能知道当前用户的 cookie,以及 URL 中的。"云冲印"网站将李四的 Google 账号同张三的"云冲印"账号关联绑定起来,从此以后,李四就可以用自己的 Google 账号通过 OAuth 登录到张三在 “云冲印” 网站中的账号,堂而皇之的冒充张三的身份执行各种操作。这样的前后端分离,可以避免令牌泄漏。
【笔记】浅谈OAuth2 accessToken和OIDC idToken的理解和使用场景
热门推荐
LeoSong121的博客
04-02 1万+
前言 OAuth2 官网:https://oauth.net/2/ OIDC:Open ID Connect 官网:http://openid.net/connect/ What is OpenID Connect? OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User bas
OAuth2认证流程
qq_41860765的博客
03-05 894
Spring Security支持OAuth2认证OAuth2提供授权码模式、密码模式、简化模式、客户端模式等四种授权模式,前边举的微信扫码登录的例子就是基于授权码模式,这四种模式中授权码模式和密码模式应用较多,本实例使用Spring Security演示授权码模式、密码模式,其余两种请自行查阅相关资料。答案是否定的,服务提供商会给批准接入的客户端一个身份,用于接入时的凭据,有客户端标识和客户端秘钥,在这里配置批准接入的客户端的详细信息。
token刷新、续期,access_tokenrefresh_token实效如何设置
诚的博客
07-29 2229
token刷新、续期,access_tokenrefresh_token实效如何设置 token认证生成token 过一段时间就会失效(不要故意把时间设的很长,这样不安全,token变得毫无意义!),用户需要重新登录获取token。用户经常使用客户端,使用过程中 由于token到期 客户端跳转到登录界面要求登录,这样体验极差!比如: token有效期2h,用户一直在使用客户端,使用过程中token到期跳转到登录页面邀请重新登录。第一次忍了,过了2个小时又要重新登录! 用户:MDZZ,再见。 为了
access tokenrefresh token一般存在哪
05-26
Access TokenRefresh Token 通常是在身份验证(Authentication)和授权(Authorization)过程中使用的。它们可以存储在客户端(如浏览器、移动应用程序等)或服务器端,具体取决于应用程序的需求和安全性要求。 在 OAuth2.0 中,Access Token 是由授权服务器颁发的,用于向受保护的资源服务器进行身份验证和授权。Access Token 通常被存储在客户端的内存或本地存储中,以便在每次请求时将其包含在请求头中。这样,资源服务器可以验证请求的有效性并根据授权范围决定是否允许访问。 Refresh Token 是用于获取新 Access Token 的凭证。通常,它会在 Access Token 过期时使用,以便在不需要用户重新登录的情况下获取新的 Access TokenRefresh Token 通常被存储在客户端的本地存储中,并且应该被妥善保护,以防止被盗用或泄漏。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值