OAuth 2.0

最新推荐文章于 2024-06-05 22:27:13 发布
最新推荐文章于 2024-06-05 22:27:13 发布
阅读量197 收藏
点赞数
文章标签: 计算机 OAuth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OneGoal/article/details/103029258
版权

OAuth 2.0

标准

https://tools.ietf.org/html/rfc6749

是什么

OAuth 2.0 授权框架使得第三方可以获取对用户资源的访问(有限访问或者完全访问)。

举个例子:通过你的允许,bilibili 可以去微信服务器获取你的头像,昵称,openid 等等。

为什么

传统授权方式,用户和第三方共享密码。缺点如下:

  1. 未来可能持续需要访问各种受限资源。所以第三方要存储用户密码,一般情况密码是明文,显然不安全。
  2. 第三方将可以访问所有的资源,而实际上它只应当有权限访问部分资源。
  3. 用户不能撤销单个第三方的访问权限。改密码,所有第三方都会失效。
术语

案例:用户通过“微信登陆”登陆 bilibili 。

专业称呼通俗叫法
资源所有者用户
资源服务器保存用户信息的服务器并且能够验证令牌是否合法(比如说,微信服务器,保存你的微信头像等)
客户端第三方应用程序(比如说,bilibili)
授权服务器发送令牌给第三方的服务器(可以和资源服务器是同一个)

授权码模式、隐式模式、密码模式、客户端模式

授权码模式(适用前后端分离)

最常用的模式,微信、QQ、Github 登陆第三方网站就是这种模式。优点前后端分离,避免令牌泄露。

  1. 哔哩哔哩提供一个“微信登陆”的链接,用户点击跳转到微信授权服务器。
  2. 用户根据微信授权服务器提示登陆微信并确认授权给哔哩哔哩。
  3. 微信授权服务器返回用户代理(浏览器)一个授权码。
  4. 用户代理(浏览器)把这个授权码传给哔哩哔哩。
  5. 哔哩哔哩凭借授权码向微信授权服务器请求令牌。
  6. 微信授权服务器发送令牌给哔哩哔哩。

之后哔哩哔哩就可以带着令牌去微信资源服务器读取用户资料。

三个问题:

  1. 为什么要有授权码?
  2. 为什么要重定向?
  3. 授权码为什么不直接返回给 bilibili ?
隐式模式(不推荐使用)(适合没有后台的第三方)
  1. 哔哩哔哩提供一个“微信登陆”的链接,用户点击跳转到微信授权服务器。
  2. 用户根据微信授权服务器提示登陆微信并确认授权给哔哩哔哩。
  3. 微信授权服务器发送令牌给哔哩哔哩。
https://weixin.com/oauth/authorize?
  response_type=token&
  client_id=123&
  redirect_uri=http://www.bilibili.com/callback&
  scope=read
密码模式(适合用户极其信任第三方)
  1. 哔哩哔哩使用用户给的微信登陆账号和密码直接向微信授权服务器索要令牌。
  2. 微信授权服务器发送令牌给哔哩哔哩。
https://weixin.com/token?
  grant_type=password&
  username=张三&
  password=123456&
  client_id=123
客户端模式(适合没有前端的第三方,整个过程没有用户参与)
  1. 哔哩哔哩向微信授权服务器请求令牌。
  2. 微信授权服务器发送令牌给哔哩哔哩。
https://weixin.com/token?
  grant_type=client_credentials&
  client_id=123&
  client_secret=xxxxx
OneGoal
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OAuth2.0(QQ授权第三方登录)
12-21
自己练手写的第三方登录,主要重点在AfterAction中参数的配置以及方法的调用,注意Config中qqconnectin那个配置文件,里面的参数很重要
Java的oauth2.0 服务端与客户端的实现 (完整源码、demo)
10-01
Java的oauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:...
OAuth2.0 开放认证和授权/互联网标准协议
weixin_30836759的博客
05-23 214
OAuth2.0 目录 展开展开 前言 OAuth 1.0已经在IETF尘埃落定,编号是RFC5849 这也标志着OAuth已经正式成为互联网标准协议。 OAuth 2.0早已经开始讨论和建立的草案。OAuth2.0很可能是下一代的“用户验证和授权”标准。现在百度开放平台,腾讯开放平台等大部分的开放平台都是使用的OAuth 2.0协议作为支撑。 OAuth(开放授权)是一个...
一文搞懂OAuth2.0
最新发布
沈洋的博客
06-05 775
2.此时该游戏APP后台会请求授权服务器(附上回调URL),游戏界面会跳转到微信授权页面,提示你需要向该游戏授权你的个人信息,例如用户昵称,手机号,好友信息等(这些其实就是需要做授权保护的资源)。2.此时该网页会请求授权服务器(附上回调URL),跳转到微信授权页面,提示你需要向该游戏授权你的个人信息,例如用户昵称,手机号,好友信息等(这些其实就是需要做授权保护的资源)。4.微信的授权服务器将通过调用请求中的回调URL,直接向该游戏颁发一个令牌(与授权码模式不同,此处直接给令牌,而非授权码)
Oauth2.0通俗易懂的理解和四种方式
fanbojiayou的专栏
04-26 1216
重点:以下内容来自于阮一峰老师写的资料: http://www.ruanyifeng.com/blog/2019/04/oauth_design.html http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 这个标准比较抽象,使用了很...
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
oauth2.0.zip_oauth2.0
09-20
这个压缩包文件"oauth2.0.zip_oauth2.0"包含了深入理解OAuth 2.0的基础知识,特别是针对初学者的入门介绍。其中的"oauth2.0.pdf"文档很可能是详细阐述OAuth 2.0概念、工作流程和实际应用的教程。 OAuth 2.0的核心...
webapi基于Owin中间件的oauth2.0身份认证
10-07
**OAuth2.0简介** OAuth2.0是一种授权框架,广泛应用于Web API的身份验证和授权。它允许第三方应用在用户授权的情况下,访问该用户的特定资源,而无需获取用户的用户名和密码。OAuth2.0的核心是将认证和授权分离,...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
Oauth2.0
Lu_QQ的博客
08-20 117
第一步:引导用户到授权服务器 那需要传递哪些参数呢? response_type:表示响应类型,必选项,此处的值固定为"code"; client_id:表示客户端的ID,用来标志授权请求的来源,必选项; redirect_uri:成功授权后的回调地址; scope:表示申请的权限范围,可选项; state:表示客户端的当前状态,可以指定任意值,授权服务器会原封不动地返回这个值。 https://graph.qq.com/oauth2.0/authorize?client_id=100410602 &
OAuth2.0 知多少
weixin_33882443的博客
03-17 94
1. 引言 周末逛简书,看了一篇写的极好的文章,点击大红心点赞,就直接给我跳转到登录界面了,原来点赞是需要登录的。 可是没有我并没有简书账号,一直使用的QQ的集成登录。下面有一排社交登录按钮,我们可以用第三方社交账号登陆即可。点击QQ图标,就给我跳转到了QQ登录授权页面,如下图: 从图片上我们可以看到主要包括两个部分,一个是左边的用户登录,一个是右边告知简书将获取哪些权限。输入QQ账号和密码,...
OAuth2.0
xiao2431的专栏
10-01 654
如果互联网应用需要实现上面的授权场景,肯定有许多的实现方式。而OAuth2就是实现上述目标的一种规范,也就是具体实现的指导方案。OAuth(Open Authorization,开放授权)是为用户资源的授权定义了一个安全、开放及简单的标准,第三方无需知道用户的账号及密码,就可获取到用户的授权信息。OAuth2是用于REST/APIs的代理授权框架(delegated authorization framework)
Oauth2.0详解及安全使用
weixin_30480075的博客
09-04 849
引言:刚刚参加工作的时候接到的第一个任务就是接入新浪的联合登录功能,当时新浪用的还是oauth1.0协议。接入的时候没有对oauth协议有过多的了解,只是按照开放平台的接入流程进行开发,当时还在想这么麻烦就是为了作一个登录功能?(为当年的无知汗颜...)。再后来上家公司需要开发一套自己的基于oauth2.0的联合登录功能,粗粗的看了下oauth2.0协议流程,自以为了解了便开始设计开发,现在来看真...
OAuth 2.0:开放授权的安全认证协议
恋上、小幸福的博客
07-13 1223
OAuth 2.0是一种开放标准的授权协议,允许用户授权第三方应用程序代表其访问受保护的资源。它解决了传统的用户名和密码认证方式存在的一些问题,提供了更安全、更便捷的身份验证和授权机制。
Spring Security OAuth 2.0
weixin_46894136的博客
07-15 2302
OAuth2通常用于构建安全的API和Web应用程序,使用户能够授权其他应用程序访问其数据,同时提供了更好的安全性和用户控制。除了OAuth2之外,Spring Security还提供了其他身份验证和授权机制的支持,例如基于表单的身份验证和基于角色的授权。OAuth 2.0是一种授权框架,提供了一套规范和协议,用于实现授权流程和访问令牌的管理,而非单个的授权协议。简化模式的优点是简单易用,适用于客户端是浏览器的应用程序,但缺点是安全性较低,因为访问令牌直接传递给浏览器,容易被恶意攻击者截获。
django oauth2.0
03-15
Django OAuth2.0是一个基于Django框架的认证授权协议,它允许用户通过第三方应用程序进行身份验证和授权。OAuth2.0是一种开放标准的授权协议,它允许用户授权第三方应用程序访问其受保护的资源,而无需将用户名和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值