关于oauth2.0为什么返回code而不直接返回token

最新推荐文章于 2024-07-20 23:59:39 发布
最新推荐文章于 2024-07-20 23:59:39 发布
阅读量1.8k 收藏
点赞数
文章标签: jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W2044377578/article/details/105084782
版权

结论:直接返回不安全。
1.因为认证服务器认证通过后是需要浏览器302重定向到你的服务器,如果直接返回token,不安全,别人可以获取到。
2.为什么需要浏览器重定向到你的服务器,而不直接让认证服务器直接调用你的接口。那可以想想,认证服务器直接调用你的接口,那你应该怎样让浏览的页面进行跳转呢?这时候发送请求的不是浏览器了,而是认证服务器,所以你只能给认证服务器发送一个url地址,让认证服务器控制浏览器进行跳转。这样肯定会加大认证服务器的压力。

我想有个夏天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
搞懂oauth2.0授权码模式
哇哦~
05-25 2774
最早的简单登录 图1 去访问一个网站,如果登录的话,需要注册,填一堆信息,用户名密码啥的,通常密码是前端加盐、哈希(md5,sha1等)然后再发给后端,后端存储起来,不能直接存储明文。然后再跳转到登录页面,输入用户名和密码,后端验证用户名和密码,如果成功了返回一个session id,然后前端就可以结合cookie使用。 问题: 1.安全性,需要对密码的加密有一个万全的应对之策 2.维护麻烦,用户用起来也麻烦 比较早的授权登录 后来yelp试图解决这些问题,如下图所示 图2 想用什么登录就
OAuth2 授权码模式为什么不直接返回access_token
只为成功找方法 不为失败找借口
08-19 2418
https://www.cnblogs.com/erichi101/p/13497971.html OAuth2的实际应用中,最常见的就是“授权码模式”了。微博是这种模式,微信也是这种模式。总结来说,就是简单的二步: 1.获取code 2.根据code,去获取access_token 以微博为例 (http://open.weibo.com/wiki/%E6%8E%88%E6%9D%83%E6%9C%BA%E5%88%B6%E8%AF%B4%E6%98%8E):假设我们开发...
关于oauth2中为什么不直接返回token而是传授权码code
weixin_30735745的博客
07-30 1933
1.客户端会暴露 token授权服务器是会根据客户端传来的 redirect_url 返回给客户端 3xx 重定向状态码,然后客户端再把授权码 code 传给客户端服务器,首先前端(网页有源代码,手机app反编译)的都是不安全的,直接token 传给客户端会把 token 暴露 2.授权服务器不会直接token所有授权客户都需要向授权中心注册获取 appkey 与 app...
OAuth 2.0设计(以微信登录为例)
后面牵个人的博客
10-05 1783
在实际应用开发中,我们常常需要使用微信作为应用的登陆方式,不同于手Q登陆使用传统的ptlogin,微信登陆采用了OAuth 2.0的验证方式。本文将以微信登录为案例,具体分析介绍所采用的OAuth 2.0验证方式。 OAuth 2.0身份系统设计1. 场景介绍。2. 什么是OAuth 2.0?3. 授权码模式介绍。4. 授权码模式具体到微信登录架构设计。5. OAuth 2.0为什么不直接返回access_token? 1. 场景介绍。 作为一个第三方应用,用户通过微信登录应用,应用方想获取用户的一些私密信
Oauth2的授权码模式为什么要用code获取token?而非回跳时直接返回token
echojson的专栏
06-24 3135
为什么oauth2中的授权码模式 在获取token之前非要先到资源服务器获取一个code 然后才使用资源服务器的code去资源服务器去申请token?而不能在回跳时直接返回token呢? 首先,从产品交互上,我们需要浏览器跳转到“认证服务器”,让用户明确表态同不同意“第三方站点”的授权请求。这个时候,浏览器访问的地址已经到“认证服务器”去了,不跳转回来的话,网页不在“第三方站点”的控制中,怎么进行授权成功后的下一步交互呢?授权码模式的安全考量,是基于产品交互能完成的前提下,考虑如何不在浏览器这种暴露 url
oauth2.0里回调地址返回code中如何让code不显示在URL里?
weixin_30505043的博客
06-05 625
背景: 最近在调用对方提供的oauth2.0接口的时候,返回code在URL显示,但是会影响到本系统调用其他的菜单项的操作,所以想把返回code值去掉。 解决办法: 想了各种解决办法,目前把自己解决办法的经过介绍给大家,有些办法存在弊端,但是最终我还是使用了一个影响几乎不大的办法,供大家学习参考! 方法一: 本人首先想到的是在源头把code去掉,就是在后端获取到...
基于SpringSecurity OAuth2实现单点登录——应用A是如何重定向到授权服务器的授权地址呢?
向心行者
06-12 2196
1、前言   通过前面两篇的内容,我们知道:当第一次(未认证的情况下)访问应用A(http://localhost:8082/index)时,首先,会重定向到应用A的登录http://localhost:8082/login地址(Get请求),然后,又会重定向到授权服务器的http://localhost:8080/oauth/authorize地址上,那么为什么会重定向到授权服务器呢,这中间发生了什么呢?我们继续通过代码进行分析。 2、 OAuth2ClientContextFilter和OAuth2Cl
HttpClient获取OAuth2.0中的code
09-20
通过httpclient post去获取,response返回码是302,返回code放在header的Location中。 请求的时候client_id,response_type,redirect_uri,state拼接在url后面,account和password放在body表单(x-...
shopify-token:轻松获取Shopify API的OAuth 2.0访问令牌
04-27
安装npm install --save shopify-token原料药该模块导出一个类,该类的构造函数带有一个options对象。new ShopifyToken(options) 创建一个新的ShopifyToken实例。争论options一个普通JavaScript对象,例如{ apiKey: ...
oauth2.0.zip_oauth2.0
09-20
这个压缩包文件"oauth2.0.zip_oauth2.0"包含了深入理解OAuth 2.0的基础知识,特别是针对初学者的入门介绍。其中的"oauth2.0.pdf"文档很可能是详细阐述OAuth 2.0概念、工作流程和实际应用的教程。 OAuth 2.0的核心...
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
OAuth2.0是一种广泛采用的授权框架,用于安全地授予第三方应用访问用户资源的权限,而无需共享用户凭据。 首先,让我们深入理解OAuth2.0的基本流程。OAuth2.0包含四个主要角色:资源所有者(User)、资源服务器...
oauth2.0 access_token资源认证
01-10
在这个场景中,我们关注的是如何利用OAuth2.0来实现对Oracle数据库资源的认证,以及生成access_token的过程。 OAuth2.0的核心流程分为四个角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器...
自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式
热门推荐
qq_37634156的博客
06-12 1万+
在整合Spring Security Oauth2的时候,获取token的接口/oauth/token返回内容格式为固定的,如下图所示:而token过期或者无效的返回参数格式如下图所示:实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取tokentoken失效/过期的自定义返回内容格式。 2、创建获取token接口返回值的转换类 创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知
oauth2.0自定义token失效返回信息
m0_52846216的博客
01-13 1864
oauth2.0自定义token失效返回信息 一、问题 由于spring security oauth2返回的失效信息对于客户端不太有好,在网上找了自定义的解决方案以便更优雅的展示返回信息。 重写框架里的方法,实现自定义。 二、配置类 Oauth2ResourceServer extends ResourceServerConfigurerAdapter @Override public void configure(ResourceServerSecurityConfigurer reso
微信oauth2网页授权code过期
vegetable_king的专栏
08-27 1万+
最近开发微信客户端项目时遇到
Oauth2.0 安全性问题,code,CSRF与PKCE
kidkid1208的博客
03-07 5460
CSRF攻击 上图是OAuth2.0授权码授权流程,可以看到,流程中用户整体发起了两次请求到认证服务器后端,且这两次请求是分离的,因此给攻击者发起CSRF攻击制造了条件。即攻击者通过前三步生成攻击者的含授权码的RedirectURL,引导在webapp上已登陆的用户点击恶意网站上的恶意链接(攻击者的含授权码的RedirectURL),这样就会继续步骤6后续流程,造成webapp登陆的用户账号绑定攻击者的第三方账号。 可以看到,CSRF攻击应用在授权码认证流程的条件是用户必须已经登录了第三方网站。即通过将攻.
OAuth2.o的授权码模式为什么要用code获取token?
Authing的博客
11-17 1664
OAuth2.0 zhua难题持续更新。
自定义spring security oauth /auth/token返回内容格式
u013008898的博客
06-30 597
AuthServerResponse package com.zy.platform.auth.web; import com.fasterxml.jackson.databind.annotation.JsonSerialize; import lombok.Data; import java.io.Serializable; /** * @author javachen * @description response响应信息 */ @JsonSerialize(using = Auth.
在eclipse中导入本地的jar包配置Junit环境步骤(包含Junit中的方法一直标红的解决方法)
最新发布
weixin_70987470的博客
07-20 323
从本地导入Junit
oauth2.0客户端获取token
06-10
OAuth2.0 客户端获取 token 通常有以下两种方式: 1. 授权码模式(Authorization Code Grant) 授权码模式是 OAuth2.0 中最常用的一种授权方式,它允许客户端间接获取访问令牌。在授权码模式中,客户端需要引导用户跳转到认证服务器,用户在认证服务器上登录并授权给客户端访问令牌,然后认证服务器将授权码返回给客户端,客户端使用授权码向认证服务器请求访问令牌。授权码模式通常用于 Web 应用程序和移动应用程序等场景,它可以在客户端和认证服务器之间建立安全的通信通道。 2. 密码模式(Password Grant) 密码模式是 OAuth2.0 中一种不太安全的授权方式,它允许客户端直接通过用户的用户名和密码获取访问令牌。在密码模式中,客户端需要向认证服务器发送用户的用户名和密码以及客户端的 ID 和密钥等信息,认证服务器验证用户的身份后返回访问令牌给客户端。密码模式通常用于测试和开发等场景,不建议在生产环境中使用。 下面是一个使用 Java 语言实现 OAuth2.0 客户端获取访问令牌的示例代码(使用 Spring Security OAuth2 客户端库): ```java import org.springframework.security.oauth2.client.OAuth2RestTemplate; import org.springframework.security.oauth2.client.token.grant.password.ResourceOwnerPasswordResourceDetails; // 创建 OAuth2RestTemplate ResourceOwnerPasswordResourceDetails resourceDetails = new ResourceOwnerPasswordResourceDetails(); resourceDetails.setAccessTokenUri("https://oauth2.example.com/token"); resourceDetails.setClientId("your_client_id"); resourceDetails.setClientSecret("your_client_secret"); resourceDetails.setUsername("your_username"); resourceDetails.setPassword("your_password"); OAuth2RestTemplate restTemplate = new OAuth2RestTemplate(resourceDetails); // 使用 OAuth2RestTemplate 发送请求 String result = restTemplate.getForObject("https://api.example.com/resource", String.class); ``` 在上面的代码中,我们首先创建了一个 ResourceOwnerPasswordResourceDetails 对象,并设置了访问令牌 URI、客户端 ID、客户端密钥、用户名和密码等参数。然后,我们使用这些参数创建了一个 OAuth2RestTemplate 对象,并使用它发送了一个请求。需要注意的是,使用密码模式获取访问令牌需要在 OAuth2 服务器上启用密码模式,并且客户端需要被授权使用密码模式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值