OAuth2.0 里面的 state 参数是干什么的?

原创 已于 2024-03-03 19:58:07 修改 · 7k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Oauth2.0

于 2021-12-24 09:24:40 首次发布

OAuth2.0 里面的 state 参数是干什么的?

1.OAuth 2.0 的四种方式

  1. 授权码

    常见于个人用户第三方登录,比如通过微信、QQ、钉钉登录第三方应用。获取临时的access_token

  2. 隐藏式

    见于没有后端的web应用

  3. 密码式

    信任的应用,暴漏密码,由第三方应用去模拟登录

  4. 凭证式

    常见于应用对应用。分发给应用clientId和clientSecret来实现。

第一种和第四种是较为常见的形式。

2.拿钉钉的第三方应用统一授权来举例

  1. 钉钉开发者后台添加应用,为应用分配钉钉登录功能,配置回调地址;为应用分配相应的人员以及通讯录权限。

  2. 配置钉钉授权登录地址

详细文档可参考钉钉开发文档

https://login.dingtalk.com/oauth2/auth?
redirect_uri=
&response_type=code
&client_id=
&scope=openid
&state=
&prompt=consent

各个参数的意义:
redirect_uri:就是在开发者后台所填的回调地址
client_id:就是开发者后台的应用标识
state:跟随authCode原样返回。

最低0.47元/天 解锁文章

200万优质内容无限畅学
开放平台实现安全的身份认证与授权原理与实战:OAuth2.0state参数以及它如何阻止CSRF攻击
AI天才研究院
11-03 420
作者:禅与计算机程序设计艺术 1.背景介绍 身份认证(Authentication)、授权(Authorization)、密码管理(Password Management),在当代互联网应用中占据着至关重要的作用。而在云计算、物联网(IoT)、区块链等新型科技革命带来的社会生产力的高度发展下,这些基
【转】Oauth2.0 面的 state 参数什么的?
waltertan1988的博客
01-15 3038
  读者在看这篇文章之前,请先了解 Oauth2.0 的 Authorization Code 授权流程,可以看Authorization Code 授权原理和实现方法   我们还是用 A 来代表合作方,用 B 来代表鉴权方。在授权流程中,A 发起授权时,会向 B 传一个 state 参数,而 B 对这个参数只做一个事情,就是在 302 跳转返回的时候把它原封不动的返回。为什么要这么做呢?这背后是 CSRF 攻击。   攻击的流程是这样的:   1,攻击者访问 A,通过点击,触发授权流程   .
OAuth2.0认证过程中使用state传输业务数据
Spring淡淡的博客
04-13 1521
OAuth2.0覆盖原生state前言一、OAuth2.0简单说明二、使用步骤三 、总结 前言 一、OAuth2.0简单说明 是授权机制,用来授权第三方应用,获取用户数据。 有四种授权方式 授权码(authorization-code)先申请一个授权码,然后再用该码获取令牌 隐藏式(implicit) 密码式(password): 客户端凭证(client credentials) 四种授权方式都会先进行注册,用来获得客户端 ID(client ID)和客户端密钥(client secret)。这是为了防
OAuth state参数 CSRF
heySister
12-10 2001
记录 之前觉得问题都是出在RP端的,比如没有正确校验state参数,没有正确使用state参数这些。刚刚突然发现其实IdP端也没有校验好。 有些网站压根就没有使用state参数,这种情况下,作为IdP端,应该是提示需要有随机参数的,但是像微信、微博都是当做正常情况下处理的。(可能是为了给应用网站提供更大的自主空间,允许他们使用自己定义的参数,毕竟讲道理只要应用网站做好校验,就可以避免漏洞的) 还发现CSDN在使用OAuth来绑定微信账号的时候,state参数是固定为了csdn,但是因为CSDN在绑定账号前需
oauth授权模式的理解和阐述:state作用分析(二)
只会写bug的靓仔的博客
05-09 2003
书接上回说道: oauth授权的简单理解和阐述 state的状态码有什么
关于OAuthstate参数的作用
06-28 1175
引用: https://blog.csdn.net/gjb724332682/article/details/54428808在开发 OAuth认证服务器 的时候,开发者的安全意识不高的话,很可能会忽略 state 参数,从而导致 出现 csrf 漏洞。但是在说明这个state参数前,有必要了解大部分程序员所写的绑定OAuth账号流程,由于绑定流程很多,这挑最常见的“用户在第三方网站A...
<Project-2 Twitter> Flask: Twitter API Oauth 2.0 验证 在网页上发贴
davenian的博客
09-04 1485
Twitter API Oauth 2.0 验证 在网页上发贴 含python code 基于 Flask 的应用,用于在 Twitter 发贴。
sso、oauth2、oidc相关知识点
最新发布
m0_53465512的博客
01-18 722
例如csdn想要通过微信进行登录(前提是你设备已经登录过了微信),底层原理就是,csdn向微信申请授权,微信同意授权给csdn关于微信的用户基本信息(用户名头像等),csdn拿到这些信息后,通过信息中包含的微信用户名关联到自己系统内的用户名(mysql有一张vx_user和csdn_user的映射表),完成登录。最后一种可以用于平时的一些调api接口的数据同步,这些操作不是人类用户触发的,是机器自动触发的,直接给ak和sk就行了,这个ak和sk只需要代表请求方服务自身就行了。
oauth过滤login_实战货:OAuth2授权请求是如何构建并执行的
weixin_35860326的博客
12-23 888
在Spring Security 实战货:客户端OAuth2授权请求的入口中我们找到了拦截OAuth2授权请求入口/oauth2/authorization的过滤器OAuth2AuthorizationRequestRedirectFilter,并找到了真正发起OAuth2授权请求的方法sendRedirectForAuthorization。但是这个方法并没有细说,所以今天接着上一篇把这个坑...
Spring Security 货分享:客户端OAuth2授权请求的入口
weixin_52362480的博客
11-10 813
1. 前言 在Spring Security 实战货:OAuth2第三方授权初体验一文中我先对OAuth2.0涉及的一些常用概念进行介绍,然后直接通过一个DEMO来让大家切身感受了OAuth2.0第三方授权功能。今天我们来一步一步分析这其中的机制。 2. 抓住源头 http://localhost:8082/oauth2/authorization/gitee 上面这个请求URL是我们在上一篇文章中提到的客户端进行第三方认证操作的起点,默认格式为{baseUrl}/oauth2/authorization
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
OAuth 2.0介绍
没有简介
08-24 5269
OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式:授权码模式、隐式授权模式、密码模式和客户端模式。OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权,是目前应用最广泛的开放平台鉴权方式之一。
OAuth 2.0 参数意义
u013197205的专栏
02-20 846
  最近在研究OAuth 2.0的技术,发现网上说的其实挺全面的,但是会给刚接触的服务器端开发者一些迷惘,就是这么多的参数如何用?我仔细理解了一下。   1、申请授权接口(HTTPS请求方式) 请求参数   必选 类型及范围 说明 client_id true string 申请应用时分配的AppKey。 ...
OAuth2.0 原理
热门推荐
安梓晨的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程六、OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
Oauth2.0中关键的术语
面朝大海,春暖花开
06-22 820
Oauth2.0中关键的术语(key terminology) 摘自《OAuth2.0 Identity and Access Management Patterns》 角色(Roles) 资源拥有者(Resource Owner) 资源拥有者是有能力对于一个受保护资源进行授权的实体(A resource owner is an entity who is capable o...
OAuth2授权页面state参数的设计
weixin_34221773的博客
05-16 1835
场景描述: 第三方应用:freeshare 账号系统:account freeshare点击登录,跳转到account页面进行授权。 具体例子可以参考我们的freeshare系统:http://freeshare.free4lab.com/   原先的设计 进行授权的时候,传参数:client_id和redirect_uri,参数简单解释如下: client_i...
OAuth 2.0授权框架详解
程序那些事
11-24 1万+
在现代的网站中,我们经常会遇到使用OAuth授权的情况,比如有一个比较小众的网站,需要用户登录,但是直接让用户注册就显得非常麻烦,用户可能因为这个原因而流失,那么该网站可以使用OAuth授权,借助于github或者其他的第三方网站的认证授权,来获取相关的用户信息,从而避免了用户注册的步骤。 当然,很可能在第三方网站上授权获得用户信息之后,还需要在本网站填写一些必要的信息进行绑定,比如手机号,用户名等等。 但是这比单纯的注册要方便太多了,也容易让用户接受。 今天,我们将要讲解一下OAuth 2.0授权框
OAuth 2.0state 参数 java加密方法
11-08
OAuth 2.0 中的 `state` 参数通常用于防止跨站请求伪造 (CSRF) 攻击,它传递一个随机生成的值,在授权流程完成后返回给服务器验证。这个参数并不是必须加密,但它会被附加到重定向URL中,确保它是安全的。 在Java中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值