OAuth2.0详解

最新推荐文章于 2024-07-27 13:31:57 发布
最新推荐文章于 2024-07-27 13:31:57 发布
阅读量363 收藏 2
点赞数 1
分类专栏: 工具 文章标签: java http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MJH_JASON/article/details/107466072
版权

先贴出我学习的链接,以表尊重,强烈推荐:http://www.ruanyifeng.com/blog/2019/04/oauth_design.html

OAuth是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取数据,系统从而产生的短期令牌,代替密码,给第三方应用使用。

令牌和密码的差异:
①令牌的时间段很短,很快就过期,而且无法自己修改,但是密码不会。
②令牌的权限十分有限,只能做允许的事情。
③资源的所有者可以随时取消令牌的效能。
(泄露令牌与泄露密码的后果是一样的)

令牌授权的4中方式:
(不管哪一种授权方式,第三方应用申请令牌之前,都必须到资源系统备案,说明自己的身份,然后拿到身份识别码,客户端ID(client ID)和客户端密钥(client secret)。反之没有备案的就拿不到令牌)

1.授权码(常用):
适用场景:有后端的web应用
传输方式:授权码通过前端传送,令牌则存储后端,与资源服务器通信也在后端。
详细步骤:(A网站属于第三方应用,B网站属于资源服务器)
①A网站提供链接,点击后跳转到B网站,B网站授权用户数据给A网站使用。
示意链接:

https://b.com/oauth/authorize?
  response_type=code& (代表返回授权码)
  client_id=CLIENT_ID& (代表A网站)
  redirect_uri=CALLBACK_URL& (成功或失败跳转的地方)
  scope=read (授予权限的范围)

②在B网站会要求用户登录,同意登录后就会根据redirect_uri跳转指定网站。并且携带着授权码
③A网站拿到授权码后,就可以在后端,向B网站请求令牌。
示意链接:

https://b.com/oauth/token?
 client_id=CLIENT_ID& (用来确认A网站身份)
 client_secret=CLIENT_SECRET&(用来确认A网站身份,而且参数保密)
 grant_type=authorization_code& (代表授权的方式是授权码)
 code=AUTHORIZATION_CODE& (授权码)
 redirect_uri=CALLBACK_URL (令牌颁发后的回调地址)

④B网站收到请求,颁发令牌,跳转到redirect_uri指定网址,发送json数据。
示意数据:

{    
  "access_token":"ACCESS_TOKEN", (令牌,A网站在后端拿到了)
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  "uid":100101,
  "info":{...}
}

2.隐藏式:
适用场景:纯前端应用,没有后端,并且安全要求不高的场景
传输方式:直接向前端颁发令牌,没有授权码
详细步骤:
①跟授权码式第一步一致。
②跳转B网站,同意授权后,会根据redirect_uri跳转并且在url上携带令牌传到A网站。
注意:这种方式相对比较不安全,通过url传输令牌,所以令牌的有效期必须非常短,一般是浏览器关掉,令牌就失效

3.密码式:
适用场景:高度信任某个应用(风险大)
详细步骤:
①A网站要求用户提供B网站的账号和密码,拿到后直接申请令牌。。

https://oauth.b.com/token?
  grant_type=password& (代表用的是密码式)
  username=USERNAME& (账号)
  password=PASSWORD& (密码)
  client_id=CLIENT_ID (识别A网站)

②B网站验证身份后直接发放令牌,这里没有跳转,而且将令牌存于JSON数据中,作为HTTP回应。

4.凭证式:
适用场景:没有前端的命令行应用
详细步骤:
①A应用在命令行向B应用请求。

https://oauth.b.com/token?
  grant_type=client_credentials& (代表使用凭证式)
  client_id=CLIENT_ID& (确认A身份)
  client_secret=CLIENT_SECRET (确认A身份)

②B应用通过后直接返回令牌

令牌使用:
请求API的时候,都必须带令牌,加上Authorization字段,令牌就存在里面。

更新令牌:
B网站颁发令牌的时候,一次性颁发两个,一个获取数据,一个用于获取新的令牌,令牌到期前,用户用refresh token发送请求,就会更新令牌。

https://b.com/oauth/token?
  grant_type=refresh_token& (表示更新令牌)
  client_id=CLIENT_ID& (代表A网站身份)
  client_secret=CLIENT_SECRET& (代表A网站身份)
  refresh_token=REFRESH_TOKEN (用于更新令牌的令牌)
Mr-小兔崽子
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth 2.0详解
lvlei19911108的博客
05-07 399
概念:OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如基本消息,照片,联系人列表),而无需将用户名和密码提供给第三方应用。一、应用场景为了理解OAuth的适用场合,这里举一个使用第三方账户进行登录的例子。现在一般登陆都会采用第三方授权登陆,比较常见就是微信、qq、微博授权登陆。这里以微信授权登陆为例:现在我在未注册的情况下去访问A网站,A网站为了...
SpringSecurity进阶:OAuth2.0详解
uuuyy_的博客
12-06 1048
OAuth2是什么? OAuth是一个为了方便用户登入而使用的授权流程,他的优点是不需要向第三方平台暴露我们的用户名和密码,而是使用授权服务器颁发短期的token和效验token的方式开放部分资源给第三方平台 OAuth是一个授权协议不是认证协议 OAuth2的授权方式 授权方式第一种: 授权码 (最安全使用最多的方式) 这种方式合适存在后端平台 存在这么一个资源(扣扣头像)和资源拥有者(扣扣号主), 现在喝了么(假设需要授权的平台)需要获取扣扣人头像。 那么现在的步骤
OAuth2.0 详解
weixin_73412838的博客
12-13 947
oauth2.0协议以及Spring Security协议详解
关于 OAuth2.0 详解
weixin_47259205的博客
01-06 510
OAuth是什么呢? OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方不需要用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。oAuth是Open Authorization的简写。 在OAuth 2.0的认证和授权的过程中主要包括以下角色定义: Resource owner: 资源所有者(通常指用户或者提供资源服务的平台) Resource server:
OAuth 2.0 详解
Think
06-14 412
1.定义 OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 2.名词说明 Third-party application:第三方应用程序,本文中又称"客户端"(client)。 HTTP service:HTTP服务提供商,本文中简称"服务提供商"。 Resource Ow
详解OAuth2.0
Joker_ZJN的博客
04-25 1911
一文聊明白OAuth2.0
OAuth 2.0 授权认证详解
emprere的博客
07-15 7349
点击关注公众号:互联网架构师,后台回复2T获取2TB学习资源!上一篇:Alibaba开源内网高并发编程手册.pdf目录1、Auth2.0 协议简介2、OAuth 2.0的授权认证流程OAuth 2.0 的核心概念认证思路与流程3、OAuth2.0 的四种模式授权码模式(authorization c...
Oauth2.0详解及安全使用
pushiqiang的博客
09-13 801
引言:刚刚参加工作的时候接到的第一个任务就是接入新浪的联合登录功能,当时新浪用的还是oauth1.0协议。接入的时候没有对oauth协议有过多的了解,只是按照开放平台的接入流程进行开发,当时还在想这么麻烦就是为了作一个登录功能?(为当年的无知汗颜...)。再后来上家公司需要开发一套自己的基于oauth2.0的联合登录功能,粗粗的看了下oauth2.0协议流程,自以为了解了便开始设计开发,现在来看真
OAuth2.0授权标准详解OAuth2.0四种授权模式详解
秃了也弱了
05-10 3240
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。
OAuth 2.0授权协议详解
10-25
主要介绍了OAuth 2.0授权协议详解,本文对OAuth协议做了详解讲解,对OAuth协议的各个方面做了分解,读完本文你就会知道到底啥是OAuth了,需要的朋友可以参考下
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
Oauth2.0登录鉴权验证
02-24
### Oauth2.0登录鉴权验证 #### OAuth2.0概述 OAuth2.0是一种广泛使用的开放标准,它允许第三方应用在不直接获取用户密码的情况下访问用户在其他网站上存储的数据,比如照片、视频或者联系人列表。这种方式极大地...
详解laravel passport OAuth2.0的4种模式
10-16
**laravel passport OAuth2.0的4种模式详解** OAuth2.0是一种授权框架,用于安全地让第三方应用访问用户的数据,而无需分享其原始凭证。laravel passport 是 Laravel 框架提供的一种用于构建 API 的强大工具,它...
spring oauth2.0
05-04
**Spring OAuth2.0详解** OAuth2.0是一种授权框架,广泛应用于开发API接口的安全访问控制,例如在Google、Facebook等大型互联网公司的API服务中。Spring框架提供了对OAuth2.0的支持,使得开发者能轻松地在Java环境...
golang 接口
m0_70982551的博客
07-24 869
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 454
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 544
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
Java的@DateTimeFormat注解与@JsonFormat注解的使用对比
最新发布
訾博(ZiBo)的博客
07-27 471
在Spring和Jackson框架中,日期和时间格式化是一个常见需求。注解主要用于Spring的表单绑定,而注解则用于Jackson的JSON序列化和反序列化。了解这两个注解的使用场景和方法,可以帮助开发者更高效地处理日期和时间。和是处理日期和时间格式化的两个重要注解。主要用于Spring MVC的请求参数绑定,而主要用于Jackson的JSON序列化和反序列化。了解它们的使用场景和功能,可以帮助开发者更高效地处理日期和时间格式化需求。通过本文的介绍,希望读者能够更清晰地理解和。
oauth2.0详解
05-31
OAuth 2.0是一种授权框架,它允许用户授权第三方应用程序访问其在另一个服务提供商上的资源,而无需将其凭证(例如用户名和密码)直接提供给第三方应用程序。 OAuth 2.0的核心思想是,第三方应用程序从授权服务器获取一个访问令牌,该令牌代表了用户已经授权了第三方应用程序访问他们的资源。第三方应用程序可以使用这个访问令牌来访问用户的资源。 OAuth 2.0定义了四种角色: 1. 资源拥有者:资源拥有者是指能够对资源进行访问的实体,通常是用户。 2. 客户端:客户端是指使用OAuth 2.0协议来请求资源的应用程序。 3. 授权服务器:授权服务器是指负责验证资源拥有者和客户端身份,以及颁发访问令牌的服务器。 4. 资源服务器:资源服务器是指存储资源的服务器,可以是授权服务器本身,也可以是其他服务器。 OAuth 2.0定义了四种授权模式: 1. 授权码模式(Authorization Code Grant):适用于有后端服务器的客户端应用程序,需要客户端能够保持客户端机密性。 2. 隐式授权模式(Implicit Grant):适用于没有后端服务器的客户端应用程序,需要用户直接在浏览器中进行授权,并且不需要客户端机密性。 3. 密码模式(Resource Owner Password Credentials Grant):适用于受信任的客户端应用程序,需要直接从资源拥有者那里获取凭证。 4. 客户端凭证模式(Client Credentials Grant):适用于无需用户参与的客户端应用程序,需要客户端直接向授权服务器进行身份验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值