OAuth2.0 里面的 state 参数是干什么的?

已于 2024-03-03 19:58:07 修改
阅读量6.5k 收藏 4
点赞数
分类专栏: 工作问题 文章标签: Oauth2.0
于 2021-12-24 09:24:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TP89757/article/details/122112729
版权

OAuth2.0 里面的 state 参数是干什么的?

1.OAuth 2.0 的四种方式

  1. 授权码

    常见于个人用户第三方登录,比如通过微信、QQ、钉钉登录第三方应用。获取临时的access_token

  2. 隐藏式

    见于没有后端的web应用

  3. 密码式

    信任的应用,暴漏密码,由第三方应用去模拟登录

  4. 凭证式

    常见于应用对应用。分发给应用clientId和clientSecret来实现。

第一种和第四种是较为常见的形式。

2.拿钉钉的第三方应用统一授权来举例

  1. 钉钉开发者后台添加应用,为应用分配钉钉登录功能,配置回调地址;为应用分配相应的人员以及通讯录权限。

  2. 配置钉钉授权登录地址

详细文档可参考钉钉开发文档

https://login.dingtalk.com/oauth2/auth?
redirect_uri=
&response_type=code
&client_id=
&scope=openid
&state=
&prompt=consent

各个参数的意义:
redirect_uri:就是在

最低0.47元/天 解锁文章
开放平台实现安全的身份认证与授权原理与实战:OAuth2.0state参数以及它如何阻止CSRF攻击
AI天才研究院
11-03 351
作者:禅与计算机程序设计艺术 1.背景介绍 身份认证(Authentication)、授权(Authorization)、密码管理(Password Management),在当代互联网应用中占据着至关重要的作用。而在云计算、物联网(IoT)、区块链等新型科技革命带来的社会生产力的高度发展下,这些基
【转】Oauth2.0 面的 state 参数什么的?
waltertan1988的博客
01-15 2910
  读者在看这篇文章之前,请先了解 Oauth2.0 的 Authorization Code 授权流程,可以看Authorization Code 授权原理和实现方法   我们还是用 A 来代表合作方,用 B 来代表鉴权方。在授权流程中,A 发起授权时,会向 B 传一个 state 参数,而 B 对这个参数只做一个事情,就是在 302 跳转返回的时候把它原封不动的返回。为什么要这么做呢?这背后是 CSRF 攻击。   攻击的流程是这样的:   1,攻击者访问 A,通过点击,触发授权流程   .
OAuth2
qq_40851623的博客
06-14 350
OAuth2 权限验证
OAuth2.0 知多少
weixin_33882443的博客
03-17 126
1. 引言 周末逛简书,看了一篇写的极好的文章,点击大红心点赞,就直接给我跳转到登录界面了,原来点赞是需要登录的。 可是没有我并没有简书账号,一直使用的QQ的集成登录。下面有一排社交登录按钮,我们可以用第三方社交账号登陆即可。点击QQ图标,就给我跳转到了QQ登录授权页面,如下图: 从图片上我们可以看到主要包括两个部分,一个是左边的用户登录,一个是右边告知简书将获取哪些权限。输入QQ账号和密码,...
关于OAuthstate参数的作用
06-28 1128
引用: https://blog.csdn.net/gjb724332682/article/details/54428808在开发 OAuth认证服务器 的时候,开发者的安全意识不高的话,很可能会忽略 state 参数,从而导致 出现 csrf 漏洞。但是在说明这个state参数前,有必要了解大部分程序员所写的绑定OAuth账号流程,由于绑定流程很多,这挑最常见的“用户在第三方网站A...
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
oauth授权模式的理解和阐述:state作用分析(二)
只会写bug的靓仔的博客
05-09 1822
书接上回说道: oauth授权的简单理解和阐述 state的状态码有什么
OAuth2授权页面state参数的设计
weixin_34221773的博客
05-16 1810
场景描述: 第三方应用:freeshare 账号系统:account freeshare点击登录,跳转到account页面进行授权。 具体例子可以参考我们的freeshare系统:http://freeshare.free4lab.com/   原先的设计 进行授权的时候,传参数:client_id和redirect_uri,参数简单解释如下: client_i...
OAuth 2.0 和 OpenID Connect 的基本原理和区别(货)
qq_24550639的博客
12-13 1万+
基本原理 首先要明确OAuth OpenID Connect学习起来比较难,对谁都会比较难,所以心态要放好,因为有很多专业属于、缩写等等,你要是之前不知道,就基本上很难看懂。而且OAuth和OpenID Connect不像HTTP这样的协议,有固定的格式,OAuth和OpenID Connect其实没有很固定的格式,没有人告诉你,一定要怎么做。 所以本文都是大白话,让大家更容易看懂。 为什么要用OAuth 和 OIDC来做授权和身份验证? 原来,是怎么进行身份验证的? 简单的表格登录验证模式,密码哈希存在数
OAuth 2.0 授权认证详解
GJ_ia的博客
01-13 3031
从上图中可以看出,造成 CSRF 攻击漏洞问题的关键点在于,OAuth2 的认证流程是分为好几步来完成的,在上一章节授权码模式流程中的流程图中的第 4步骤中,第三方应用在收到一个 GET 请求时,除了能知道当前用户的 cookie,以及 URL 中的。"云冲印"网站将李四的 Google 账号同张三的"云冲印"账号关联绑定起来,从此以后,李四就可以用自己的 Google 账号通过 OAuth 登录到张三在 “云冲印” 网站中的账号,堂而皇之的冒充张三的身份执行各种操作。这样的前后端分离,可以避免令牌泄漏。
sso、oauth2、oidc相关知识点
最新发布
m0_53465512的博客
01-18 626
例如csdn想要通过微信进行登录(前提是你设备已经登录过了微信),底层原理就是,csdn向微信申请授权,微信同意授权给csdn关于微信的用户基本信息(用户名头像等),csdn拿到这些信息后,通过信息中包含的微信用户名关联到自己系统内的用户名(mysql有一张vx_user和csdn_user的映射表),完成登录。最后一种可以用于平时的一些调api接口的数据同步,这些操作不是人类用户触发的,是机器自动触发的,直接给ak和sk就行了,这个ak和sk只需要代表请求方服务自身就行了。
oauth过滤login_实战货:OAuth2授权请求是如何构建并执行的
weixin_35860326的博客
12-23 861
在Spring Security 实战货:客户端OAuth2授权请求的入口中我们找到了拦截OAuth2授权请求入口/oauth2/authorization的过滤器OAuth2AuthorizationRequestRedirectFilter,并找到了真正发起OAuth2授权请求的方法sendRedirectForAuthorization。但是这个方法并没有细说,所以今天接着上一篇把这个坑...
OAuth 2.0介绍
没有简介
08-24 4941
OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式:授权码模式、隐式授权模式、密码模式和客户端模式。OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权,是目前应用最广泛的开放平台鉴权方式之一。
OAuth 2.0 参数意义
u013197205的专栏
02-20 798
  最近在研究OAuth 2.0的技术,发现网上说的其实挺全面的,但是会给刚接触的服务器端开发者一些迷惘,就是这么多的参数如何用?我仔细理解了一下。   1、申请授权接口(HTTPS请求方式) 请求参数   必选 类型及范围 说明 client_id true string 申请应用时分配的AppKey。 ...
OAuth2.0认证过程中使用state传输业务数据
Spring淡淡的博客
04-13 1437
OAuth2.0覆盖原生state前言一、OAuth2.0简单说明二、使用步骤三 、总结 前言 一、OAuth2.0简单说明 是授权机制,用来授权第三方应用,获取用户数据。 有四种授权方式 授权码(authorization-code)先申请一个授权码,然后再用该码获取令牌 隐藏式(implicit) 密码式(password): 客户端凭证(client credentials) 四种授权方式都会先进行注册,用来获得客户端 ID(client ID)和客户端密钥(client secret)。这是为了防
OAuth2.0 原理
热门推荐
安梓晨的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程六、OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
Oauth2.0中关键的术语
面朝大海,春暖花开
06-22 786
Oauth2.0中关键的术语(key terminology) 摘自《OAuth2.0 Identity and Access Management Patterns》 角色(Roles) 资源拥有者(Resource Owner) 资源拥有者是有能力对于一个受保护资源进行授权的实体(A resource owner is an entity who is capable o...
OAuth 2.0state 参数 java加密方法
11-08
OAuth 2.0 中的 `state` 参数通常用于防止跨站请求伪造 (CSRF) 攻击,它传递一个随机生成的值,在授权流程完成后返回给服务器验证。这个参数并不是必须加密,但它会被附加到重定向URL中,确保它是安全的。 在Java中,当你需要对 `state` 进行处理时,可以简单地生成并存储一个唯一的哈希值或对其进行编码。例如,你可以使用 `java.util.UUID` 生成一个随机UUID,或者使用`Base64`对字符串进行编码。这有一个简单的示例: ```java import java.nio.charset.StandardCharsets; import java.util.Base64; public String generateState() { // 生成随机UUID String randomValue = UUID.randomUUID().toString(); // 对生成的随机值进行Base64编码 byte[] encodedValue = randomValue.getBytes(StandardCharsets.UTF_8); return Base64.getEncoder().encodeToString(encodedValue); } // 使用生成的state String state = generateState(); // ...然后将state附带到授权链接... // 授权回调后解码验证 if (decodeAndValidateState(request.getParameter("state")) == true) { // 执行后续操作... } private boolean decodeAndValidateState(String receivedState) { try { byte[] decodedBytes = Base64.getDecoder().decode(receivedState); String decodedValue = new String(decodedBytes, StandardCharsets.UTF_8); // 验证decodedValue是否匹配预期 return decodedValue.equals(randomValue); } catch (IllegalArgumentException e) { return false; // 状态无效,可能是攻击尝试 } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值