WEB安全(十)什么是OAuth 2.0?

已于 2022-02-15 22:57:51 修改
阅读量508 收藏 2
点赞数 1
分类专栏: WEB安全 文章标签: web安全 前端 安全
于 2022-02-15 22:57:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JinYJ2014/article/details/122953894
版权
OAuth 2.0是广泛使用的授权框架,允许第三方应用安全地访问用户数据。它通过短期令牌控制权限,具备四种授权方式:授权码、隐藏式、密码式和客户端凭证。在令牌到期前,用户可通过refresh token更新令牌,提升用户体验。
摘要由CSDN通过智能技术生成

一、概述

OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。

以微信的场景为例。微信储存了我的好友信息,第三方应用要获取这些信息,就必须经过微信的认证授权,请求跳转到微信,微信用户本人同意授权第三方应用,获取好友信息。

简单说,OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。

二、令牌与密码

令牌(token)与密码(password)的作用是一样的,都可以进入系统,但是有三点差异。

(1)令牌是短期的,到期会自动失效,用户自己无法修改。密码一般长期有效,用户不修改,就不会发生变化。

(2)令牌可以被数据所有者撤销,会立即失效。密码一般不允许被他人撤销。

(3)令牌有权限范围(scope)。对于网络服务来说,只读令牌就比读写令牌更安全。密码一般是完整权限。

上面这些设计,保证了令牌既可以让第三方应用获得权限,同时又随时可控,不会危及系统安全。这就是 OAuth 2.0 的优点。

注意,只要知道了令牌,就能进入系统。系统一般不会再次确认身份,所以令牌必须保密,泄漏令牌与泄漏密码的后果是一样的。 这也是为什么令牌的有效期,一般都设置得很短的原因。<

最低0.47元/天 解锁文章
jinyangjie0
关注
专栏目录
10 分钟理解什么是 OAuth 2.0 协议
Deepzz的专栏
03-10 2407
https://deepzz.com/post/what-is-oauth2-protocol.html Desc:什么是oauth2协议,oauth2应用在哪些场景,oauth2如何实现单点登录 什么是 OAuth 2.0 OAuth 2.0 是一个行业的标准授权协议。OAuth 2.0 专注于简化客户端开发人员,同时为 Web 应用程序,桌面应用程序,手机和客厅设备提供特定的授权流程...
什么是OAuth2.0
s041109的博客
05-23 753
目录 前言 1.所以什么是OAuth2.0呢? 举例说明 2. OAuth2中的角色 3. 认证流程 前言 OAuth是Open Authorization的简写。 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。 同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。 1.所以什么是OAuth2.0呢? OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1
【通俗易懂介绍OAuth2.0协议以及4种授权模式】
最新发布
weixin_44585177的博客
09-22 1841
介绍了OAuth 2.0协议及其4种授权模式和刷新token机制,并且介绍了AuthorizationServerConfigurerAdapter里面三个configure方法的配置说明
OAuth 2.0 的一个简单解释
ahjxhy2010的博客
10-21 236
一、授权机制的设计 于是,我设计了一套授权机制。 第一步,门禁系统的密码输入器下面,增加一个按钮,叫做"获取授权"。快递员需要首先按这个按钮,去申请授权。 第二步,他按下按钮以后,屋主(也就是我)的手机就会跳出对话框:有人正在要求授权。系统还会显示该快递员的姓名、工号和所属的快递公司。 我确认请求属实,就点击按钮,告诉门禁系统,我同意给予他进入小区的授权。 第三步,门禁系统得到我的确认以...
什么是Oauth2.0?
weixin_44076260的博客
02-10 825
目录 1.什么是Oauth2.0 2.Oauth2.0 设计到的角色 3.Oauth2.0协议的四种授权模式 3.1 密码模式 3.2 客户端模式 3.3 授权码模式 3.4 简化模式 1.什么是Oauth2.0 对于目前大部分Web应用来说,用户认证基本上都由应用自身来完成。具体来说,Web应用利用自身存储的用户凭证(基本上是用户名/密码)与用户提供的凭证进行比较进而确认其真实身份。但是这种由Web应用全权负责的认证方式会带来如下两个问题: 对于用户来说,天天冲浪的网友,在不同的网站注
webapi基于Owin中间件的oauth2.0身份认证
10-07
基于Owin中间件的OAuth2.0身份认证为.NET WebAPI提供了安全且灵活的授权机制。通过这个框架,开发者可以轻松地集成身份验证和授权服务,保护API资源,同时为用户提供无缝的登录体验。在实践中,理解OAuth2.0的工作...
OAuth2.0代码模拟实现
12-26
OAuth2.0是一种广泛使用的授权框架,用于在第三方应用与用户资源之间建立安全的数据共享机制。这个框架允许用户授权第三方应用访问他们存储在特定服务提供商(如Google或Facebook)上的数据,而无需分享他们的登录...
c# OAuth2.0
05-25
OAuth2.0是一种授权框架,广泛应用于Web应用和API接口的安全访问控制,允许第三方应用在用户许可的情况下,访问其存储在服务提供商上的特定资源。在C#开发环境中,我们可以使用OAuth2.0来实现社交平台如QQ和新浪的...
spring security oauth2.0 (讲义+代码)
03-10
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全Web应用和API。OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何...
OAuth2.0 开放认证和授权/互联网标准协议
weixin_30836759的博客
05-23 247
OAuth2.0 目录 展开展开 前言 OAuth 1.0已经在IETF尘埃落定,编号是RFC5849 这也标志着OAuth已经正式成为互联网标准协议。 OAuth 2.0早已经开始讨论和建立的草案。OAuth2.0很可能是下一代的“用户验证和授权”标准。现在百度开放平台,腾讯开放平台等大部分的开放平台都是使用的OAuth 2.0协议作为支撑。 OAuth(开放授权)是一个...
OAuth 2.0介绍
没有简介
08-24 4147
OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式:授权码模式、隐式授权模式、密码模式和客户端模式。OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权,是目前应用最广泛的开放平台鉴权方式之一。
OAuth2.0是什么?授权模式(纯理论)
xiangjunyes的博客
11-26 4293
概念说明 先说OAuthOAuth是Open Authorization的简写。 OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAuth安全的。 OAuth2.0OAuth协议的延续版本,但不向前兼容(即完全废止了OAuth1.0)。 使用场景 假设,A网站是一个打印照片的网站,B网站是一个存储照片的网站,二者原本
OAuth 2.0
OneGoal的博客
11-12 226
OAuth 2.0 标准 https://tools.ietf.org/html/rfc6749 是什么 OAuth 2.0 授权框架使得第三方可以获取对用户资源的访问(有限访问或者完全访问)。 举个例子:通过你的允许,bilibili 可以去微信服务器获取你的头像,昵称,openid 等等。 为什么 传统授权方式,用户和第三方共享密码。缺点如下: 未来可能持续需要访问各种受限资源。所以第三...
OAuth2.0是什么?
极客神殿
12-29 1298
OAuth2.0OAuth协议的下一版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。同时为Web应用,桌面应用和手机,和起居室设备提供专门的认证流程。2012年10月,OAuth 2.0协议正式发布为RFC 6749。
OAuth2.0是什么?
weixin_48692664的博客
06-05 788
OAuth 2.0 的一个简单解释: OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 这个标准比较抽象,使用了很多术语,初学者不容易理解。其实说起来并不复杂,下面我就通过一个简单的类比,帮助大家轻松理解,OAuth 2.0 到底是什么。
OAuth2.0介绍
oyang的博客
02-01 796
OAuth2.0是目前使用非常广泛的授权机制,用于授权第三方应用获取用户的数据。举例说明:用户可以通过选择其他登录方式来使用gitee,这里就使用到了第三方认证。来自RFC 6749OAuth引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。
OAuth2.0安全授权框架详解
OAuth2.0是现代Web服务和API授权的关键协议,它提供了安全、灵活的方法,使第三方应用能够在用户授权的情况下访问受保护的资源,同时保护用户的隐私和控制权。理解并正确实现OAuth2.0协议对于构建可扩展和安全的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值