【项目01】OAuth 2.0

已于 2023-04-17 10:45:17 修改
阅读量117 收藏
点赞数
分类专栏: 项目总结 文章标签: 1024程序员节
于 2022-10-24 15:19:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RiceVan/article/details/127493464
版权

文章目录

OAuth 2.0

  • OAuth,Open Authorization,是一种授权机制。用来分离第三方应用和资源数据。
  • OAuth 2.0,是2012年对原始开放授权协议的重写,是当前授权软件的行业标准框架。

角色

  • 资源所有者(Resource Owner):用户,可以授权应用获取账号信息。
  • 资源服务器(Resource Server):保存账号信息等资源数据。
  • 授权服务器(Authorization Server):验真身份及发放访问令牌。
  • 客户端(Client):第三方应用。

令牌

  • 资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。
  • 令牌(token)特性
    (1)令牌是短期有效的,到期会自动失效,用户自己无法修改。
    (2)令牌是可控的,可以被数据所有者撤销,会立即失效。
    (3)令牌是有权限范围的(scope)。
  • 保证了令牌既可以让第三方应用获得权限,同时又随时可控,不会危及系统安全。这就是 OAuth 2.0 的优点。
  • 只要知道了令牌,就能进入系统。系统一般不会再次确认身份,所以令牌必须保密,泄漏令牌与泄漏密码的后果是一样的。

模式

  • 第三方应用申请令牌之前,都必须先到系统备案,说明自己的身份,会拿到两个身份识别码:客户端 ID(client ID)和客户端密钥(client secret)。
  • OAuth 2.0 规定了四种获得令牌的流程
    (1)授权码模式(authorization-code)
    (2)隐式模式(implicit)
    (3)密码模式(password):
    (4)客户端凭证(client credentials)
  • 参数
    (1)response_type:表示要求返回授权码(AC)
    (2)client_id:说明是谁在请求
    (3)redirect_uri:接受或拒绝授权后,重定向供用户访问的地址
    (4)scope:表示要求的授权范围
  • AC:Authorization Code
  • AT:Access Token
  • RT:Refresh Token
https://b.com/oauth/authorize?
  response_type=code&
  client_id=CLIENT_ID&
  redirect_uri=CALLBACK_URL&
  scope=read

授权码(Authorization Code)模式

  • 授权码是通过授权服务器来获得的,授权服务器是客户端和资源拥有者之间的媒介。
  • 流程
    1、客户端构造了一个用于请求authorization code的URL并引导User-agent跳转访问。
    2、客户端发送clientID、clientSecret、scope、redirect参数请求账号服务器获取AC。
    3、账号服务器验证用户是否同意授权。
    4、账号服务器返回AC到客户端。
    5、客户端发送AC、clientID、clientSecret参数请求账号服务器获取AT、RT。
    6、账号服务器返回AT、RT到客户端。
    7、直到access token过期或失效之前,客户端可以通过资源服务器API访问用户的帐户,并具备scope中给定的操作权限。
    8、AT过期后,后端可以通过RT获取新的AT。

隐式模式(implicit)

  • 在隐式模式中,直接将AT颁发给Client,去除了发送AC的流程
  • 可以提高某些客户端的响应能力和效率
  • 流程
    1、客户端构造了一个用于请求authorization code的URL并引导User-agent跳转访问。
    2、客户端发送clientID、clientSecret、scope、redirect参数请求账号服务器获取AT
    3、账号服务器返回AT到客户端
    4、直到AT过期或失效之前,客户端可以通过资源服务器API访问用户的帐户,并具备scope中给定的操作权限。

密码模式(password)

  • 客户端能够直接获取用户凭据(用户名和密码),进而访问服务器资源
  • 流程
    1、用户向客户端提供用户名与密码作为授权凭据。
    2、客户端向授权服务器发送用户输入的授权凭据以请求 access token。
    3、授权服务器对客户端进行认证并检验用户凭据的合法性,如果检验通过,将向客户端派发 access token
    4、直到AT过期或失效之前,客户端可以通过资源服务器API访问用户的帐户,并具备scope中给定的操作权限。

客户端凭证(client credentials)

  • 适用于没有前端的命令行应用,即在命令行下请求令牌
  • 流程
    1、客户端可以直接使用它的client credentials或其他有效认证信息向授权服务器发起获取access token的请求。

参考:
https://www.ruanyifeng.com/blog/2019/04/oauth_design.html
https://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html
https://www.cnblogs.com/Wddpct/p/8976480.html

RiceVan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0项目实战干货(亚马逊平台对接)
weixin_41141000的博客
04-26 1357
@[TOC](消息队列的对比(Auth2.0项目实战(亚马逊平台对接) ) 一 OAuth2.0介绍 如果没有了解Auth2.0的朋友可以去看一下阮一峰的贴吧,讲得非常详细和简介。 http://www.ruanyifeng.com/blog/2019/04/oauth_design.html 二 开发背景 在对接亚马逊语音amazon-alexa,需要Auth2.0功能进行用户授权操作。 三 A...
OAuth2.0
weixin_42420663的博客
07-17 295
OAuth是一个关于授权(authorization)的开放网络标准
oauth2.0搭建
caolijuns的博客
04-17 915
一、协议流程 (A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获取资源。 (F)资源服务器确认令牌无误,同意向客户端开放资源。    二、客户端的授权模式 ----客户端获取授权的四种模式 客户端必须得到...
Spring boot security+oauth2 (一)授权码模式
ywdevil1314的博客
09-01 2120
Spring boot security+oauth2 基础配置OAuth2.0介绍OAauth2.0包括以下角色环境介绍授权服务工程搭建父工程pom文件认证服务pom文件认证服务器yml文件授权服务器配置EnableAuthorizationServerToken配置webSecurity配置UserDetailsService配置测试配置步骤总结 OAuth2.0介绍 1、客户端请求第三方授权 用户进入黑马程序的登录页面,点击微信的图标以微信账号登录系统,用户是自己在微信里信息的资源拥有者。 2、资源拥
OAuth2.0Demo
03-06
集成OAuth2.0的单点登录和访问权限控制以及授权登录,server端和client端都有
完整Oauth 2.0实现实例
03-06
通过这个完整的 OAuth 2.0 实例,你可以了解到如何在 Java 环境下实现这一授权框架,并且能够应用于实际的开发项目中。文件名“oauthWeb”可能指的是包含整个 Web 应用的源代码,其中包含了 OAuth 2.0 相关的配置和...
webapi基于Owin中间件的oauth2.0身份认证
10-07
1. **安装Owin中间件**:在ASP.NET Web API项目中,首先需要通过NuGet包管理器安装`Microsoft.Owin.Security.OAuth`和`Microsoft.Owin.Security.Cookies`,这两个包分别用于OAuth2.0授权和Cookie认证。 2. **配置...
springboot集成oauth2.0
07-27
在"spring-security-oauth2-example-master"这个项目中,你可以找到一个完整的SpringBoot集成OAuth2.0的示例,包括配置、控制器、服务以及客户端的实现,通过学习和研究该项目,可以更好地理解上述知识点,并实际...
基于Django2.1.2的OAuth2.0授权登录
04-15
这个基于Django 2.1.2的OAuth2.0授权登录课程设计,可能是为了让学生了解如何在实际项目中整合OAuth2.0,提升Web应用的安全性和用户体验。通过学习和实践这个项目,开发者不仅可以掌握OAuth2.0的原理,还能深入理解...
Oauth2.0 协议 服务端 客户端 thinkphp5.0
02-08
OAuth2.0是一种广泛使用的开放授权协议,它允许第三方应用在用户无需透露其登录凭证的情况下,获取有限的访问权限去...在这个小demo中,我们可以学习到如何在实际项目中应用OAuth2.0,提高应用程序的健壮性和安全性。
Java的oauth2.0 服务端与客户端的实现 (完整源码、demo)
10-01
Java的oauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目oauthserver和oauthclient01,分别对应oauth服务端和客户端。 服务端对应的数据库sql文件在源码压缩包里可以看到。 两个项目分别用8082端口(服务端端口)和8081端口(客户端端口)部署并启动。 输入客户端地址:http://localhost:8081/oauthclient01/index,点击到服务端请求资源,就可以得到服务端的资源。
微服务 Spring Cloud Alibaba 项目搭建(八、Oauth2.0 安全认证子模块创建)
w_shimmer的博客
04-23 1786
oauth2介绍 点击进入 spring security oauth2 官方文档 OAuth2 是一个开放标准, 它允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等), 在这个过程中无须将用户名和密码提供给第三方应用, 实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。 四种授权模式 授权码模式(authorization code):正宗的OAuth2的授权模式,客户端先将用户导向认证服务器,登录后获取授权码,然
OAuth 2.0:开放授权的安全认证协议
最新发布
恋上、小幸福的博客
07-13 1235
OAuth 2.0是一种开放标准的授权协议,允许用户授权第三方应用程序代表其访问受保护的资源。它解决了传统的用户名和密码认证方式存在的一些问题,提供了更安全、更便捷的身份验证和授权机制。
OAuth2.0 实现单点登录
热门推荐
qq15035899256的博客
03-17 2万+
本文是对OAuth2.0的学习,了解了它的4种授权方式,学会了如何搭建验证服务器,使用 postman对四种模式作了接口测试。并且学会了资源服务器实现单点登录的两种方式,也成功解决了远程调用时没有携带 token 的问题。最后也学会了使用 JWT 存储 Token,大大提高了安全性。
Oauth2.0简述及企业实践
MClink的博客
06-27 703
之所以写这篇文章,是因为最近做的项目是根据oa2.0协议做的,不是简单使用别人的三方登录,而是做这样的一个授权平台去让别人去用。并且也有朋友问这个东西相关的内容,因此在此总结。 1.这是什么协议OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth 2.0即完全废止了OAuth1.0。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之...
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 9522
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
OAuth2.0OAuthClientLibrary——开源库的使用与开发
禅与计算机程序设计艺术
07-12 1874
作者:禅与计算机程序设计艺术 OAuth2.0OAuth Client Library——开源库的使用与开发 随着 OAuth2.0 授权协议的广泛应用,各种 OAuth Client Library 也随之而生。这些库为开发者提供了
OAuth2.0从入门到实战(附github地址)
Javaer
02-25 2961
Oauth2.0 从入门到实战,一篇文章搞懂第三方登录和SSO
Spring Security + OAuth2.0项目搭建
Charge8的博客
02-21 5774
Spring Security + OAuth2.0项目搭建
OAuth 2.0入门指南
"Getting Started with OAuth 2.0" 是一本由 Ryan Boyd 撰写的书籍,主要介绍了OAuth 2.0的使用和...通过阅读这本书,读者能够掌握OAuth 2.0的基本概念,以及如何在实际项目中实施OAuth 2.0来确保用户数据的安全交换。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值