什么是OAuth2

最新推荐文章于 2023-02-01 11:17:58 发布
最新推荐文章于 2023-02-01 11:17:58 发布
阅读量236 收藏 3
点赞数
分类专栏: 身份认证

什么是OAuth2

本文准备用最简单的语言告诉大家什么是OAuth2 OAuth2是干什么的。

我们有一个资源服务器,资源服务器中有一系列的用户数据。

https://i-blog.csdnimg.cn/blog_migrate/47f60bb1c9aa0ed71913ebc6ab751919.png

现在有一个应用想想要获取我们的用户数据。
https://i-blog.csdnimg.cn/blog_migrate/1b663ecaaed99cf1463a0f356e1d2a55.png
那么最简单的方法就是我们开发一个API
https://i-blog.csdnimg.cn/blog_migrate/795d6680c68422387a844a1f9ab84aee.png
可是某天来了个恶意应用,或者是我们不想给它数据的应用,我们就会造成数据的泄漏。
https://i-blog.csdnimg.cn/blog_migrate/7095aa23131da502af1aa9e902d86c3c.png
所以我们就需要对第三方的应用进行校验,比如最原始的方法是使用IP地址,如果是不认识的IP地址就不给他资源。
https://i-blog.csdnimg.cn/blog_migrate/e9cb2e592e8d0fc959a8782ea273b0b1.png
可是这种方案有两个严重的缺点:

1、当客户应用换了IP地址之后,我们也要同时维护更换IP地址。

2、当客户应用是分布式部署很多份的时候,我们就要为同一个用户维护很多份IP地址。

3ip是可以伪装的。

这样无疑是繁琐麻烦、难以维护的。

所以一般业界的解决方案是给予客户应用一个出入证”——专业称为访问令牌(Access Token)。如果来访问的客户应用带有合法的访问令牌,则可以给他数据,否则便拒绝。
https://i-blog.csdnimg.cn/blog_migrate/a6015af518cc953b380e0587cece14cc.png
那么Access Token哪里来的呢?我们一般是由一个授权服务器颁发的。每个允许其访问资源的客户应用都现在我们的系统中注册一个appkey,然后每次用这个appkey向我们的授权服务器申请Access Token。这样不论客户应用换不换ip、有多少ip,只要客户应用的appkey是唯一不变的就不用做任何修改,也不用担心ip伪装的问题。
https://i-blog.csdnimg.cn/blog_migrate/21289e0e4d880566f2161511e4365560.png
到此为止我们其实还面临着一个问题,那就是当我们获取用户数据的时候,虽然我们允许第三方的客户应用获取用户数据,用户本人却不一定允许。比如,用户在我们系统里存储了图片、文档、视频等数据,用户只允许第三方应用获取他的文档,而不允许第三方应用获取他的图片和视频。所以在我们颁发给客户应用相关权限的Access Token的时候,需要经过用户的同意。
https://i-blog.csdnimg.cn/blog_migrate/70dfb553369e85018c938a6f8f18ea92.png
OAuth2.0本质上就是将这里的客户应用向授权服务器请求令牌与授权服务器颁发令牌的过程标准化了,根据这样一套标准与解决方案,我们就可以安全的让第三方应用访问存储在我们服务器上的用户数据了。

原文地址:https://www.cnblogs.com/meibaorui/p/9182660.html

沙漠之鹰007
关注
专栏目录
啥是OAuth2
JaneRoad
12-19 603
什么是OAuth2 OAuth 2.0 是目前流行的一种授权机制,用来授权第三方应用,获取用户数据。 为什么需要用到OAuth2 几乎每个人在使用一个APP或网页应用的时候都看过他们支持第三方登录比如微信登录、 QQ 登录、微博登录、 Google 账号登录、github 授权登录等等。这些都是典型的 OAuth2 使用场景。 假设我们做了一个自己的服务平台,如果不使用 OAuth2 登录方式,那么我们需要用户先完成注册,然后用注册号的账号密码或者用手机验证码登录。相信很多人使用过、甚至开发过公众号网页服
bitnami-docker-oauth2-proxy:用于OAuth2代理的Bitnami Docker映像
04-04
什么是OAuth2代理? 反向代理和静态文件服务器,使用提供程序(Google,GitHub和其他提供商)提供身份验证,以通过电子邮件,域或组验证帐户。 TL; DR $ docker run --name oauth2-proxy bitnami/oauth2-proxy:...
什么是oAuth2
niwoxiangyu的博客
07-01 425
oAuth是一个关于授权的开放网络标准,用来授权第三方应用,获取用户的数据。其最终的目的是为了给第三方应用颁发一个有时效性的令牌access_token,第三方应用根据这个access_token就可以去获取用户的相关资源,如用户显示名称,email这些信息。 OAuth 2.0基本授权机制: 客户端(应用程序)请求资源所有者(用户)的授权。 资源所有者同意给予应用程序授权,客户端收到授权准许。 客户端使用上一步获得的授权,向认证服务器申请令牌。 认证服务器对客户端进行认证以后,确认无误,同意发放令牌。
oAuth2是什么
Mr-Bean的博客
07-31 240
oAuth2是针对特定问题的一种解决方案 oAuth2主要解决两类问题 开放系统间授权 分布式访问问题 开放系统间授权: Lucy喜欢把照片存在百度云盘,但他想用网络上的照片打印服务,此时照片打印服务不能直接对百度云盘进行操作,需要Lucy的授权才能操作;类似于我们打开一个微信小程序要访问我们在微信上的个人信息,需要调用微信的授权。怎么授权,就是oAuth2做的事情。 授权方式 1.用户名密码复制:就是将Lucy的百度网盘账号密码给照片打印服务。 最不安全。 2. 通用开发者key:用于合作商或.
OAuth2 图解
06-11 4938
本文简单的描述出了 OAuth2 工作背景,看完后可以轻松理解 OAuth2 是用来解决什么问题的。 1. 用户有自己的数据 2. 有一个服务器,负责管理用户的数据。这个服务器被称为”Resource Server(资源服务器)“ 3. 有一个客户端应用,想要使用用户的数据 4. 资源服务器需要准备一个 API 接口,用来传递用户的数据 5. 客户端应用请求 API 接口,想要用户的数据 6. 资源服务器返回用户数据 7. 如果某个客户端应用心术不正怎么办? 8. 坏客户端应用也请求资源服务
Oauth2是个什么东西?
Java鱼仔的博客
05-25 1148
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息
Spring Cloud下OAUTH2注销的实现示例
08-27
首先,让我们了解什么是 OAUTH2 和为什么需要注销。 OAUTH2 是一种授权协议,用于确保客户端应用程序能够安全地访问资源服务器上的资源。然而,在某些情况下,客户端应用程序可能需要撤回对资源服务器的访问权限,...
gin-oauth2:还希望使用OAuth2的Gin Framework用户的中间件
05-06
Gin-OAuth2 Gin-OAuth2专为也希望使用OAuth2的用户而设计。 它是由Go开发人员创建的,他们需要Gin中间件才能使用OAuth2,但找不到任何中间件。 项目背景和功能 在选择Go框架时,对于使用什么有很多困惑。 场景非常...
yii2-league-oauth2-server:Yii 2.0 实现 PHP 联盟 OAuth2 服务器接口
05-30
OAuth2是一种授权协议,它允许第三方应用在用户授权的情况下访问受保护的资源。在Yii 2.0中实现OAuth2服务器接口,可以帮助开发者为他们的API提供安全的认证和授权机制。 首先,我们需要安装`league/oauth2-server`...
OAuth2-Go:使用Go的OAuth2示例应用
05-17
OAuth2-Go示例应用 已使用Go编程语言编写了此OAuth 2.0示例应用程序,以提供OAuth 2.0概念的有效示例以及如何与Intuit端点集成。 目录 要求 为了成功运行此示例应用程序,您需要做一些事情: 去安装 一个帐户 上的...
OAuth2.0是什么?
极客神殿
12-29 1285
OAuth2.0是OAuth协议的下一版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。同时为Web应用,桌面应用和手机,和起居室设备提供专门的认证流程。2012年10月,OAuth 2.0协议正式发布为RFC 6749。
什么是oauth2
Leon_Jinhai_Sun的博客
06-03 84
什么是oauth2
什么是Oauth2?
Tech in Pieces
10-14 232
通俗的来讲就是让我们用谷歌账号登录一切其他的网站变为可能。 详细一点说 就比如其他网站的云冲印服务,我们想让云冲印独去谷歌账户里面存的图片。但是不可能我们直接把账号密码交给他们。 所以OAuth就应运而生。 我们引入了一个新的概念: user我们自己 user-agent:浏览器 authorization server:服务提供生专门用来处理认证的服务OAuth就是让user agent安全可控的获得用户的授权 与服务商提供商进行互动。 Oauth思路: 我们加入了一个授权层 然后我们获得授权 从授权
oauth2
qq_41426326的博客
04-18 608
OAuth是一个开发标准,该标准可以允许用户提供第三方应用访问某一网站存储的私密资源(如:视频,照片,头像等) OAuth2中的几个基本角色: 资源所有者:资源所有者即用户,具有头像,照片,视频等资源 客户端:客户端即第三方应用,列如知乎,QQ等 授权服务器:授权服务器用来验证用户提供的信息是否正确,并返回一个令牌给第三方应用 资源服务器:资源服务器是提供给用户资源的服务器,列如头像,照...
微信oauth2授权登录实践
热门推荐
MJ的博客
11-01 1万+
1、准备工作 微信公众平台测试号申请一个帐号,扫码登录 扫码关注一下,否则获取授权码时报错 授权成功回调地址redirect_url配置,可配置baidu.com,有些域名会有问题 绑定微信开发者账号 二、按照文档走oauth2授权码流程 1.获取授权码。scope为snsapi_base为静默模式及自动授权不会弹框,而snsapi_userinfo则必须显示点击确认授权按钮。redirecurl需要URLencode一下。 https://open.weixin.qq.com
OAuth2简介
最新发布
weixin_67677668的博客
02-01 985
OAuth2简介
oauth2基本概念
qq_31211493的博客
03-21 1万+
1.什么是oauth2 OAuth2.0介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点:简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使
OAuth2实战:Manning版
"Manning出版的《OAuth 2 in Action》由Justin Richer和Antonio Sanso撰写,这本书深入探讨了OAuth 2.0协议及其在实际应用中的使用。" OAuth 2.0是一种授权框架,它允许第三方应用在用户许可的情况下访问其私有资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值