OAuth学习

最新推荐文章于 2023-03-18 20:52:03 发布
最新推荐文章于 2023-03-18 20:52:03 发布
阅读量560 收藏
点赞数
分类专栏: OAuth 文章标签: token access authorization url callback yahoo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WNYFK/article/details/7553078
版权
一、 OAUTH相关的三个URL:
  Request Token URL: 获取未授权的Request Token服务地址;
  User Authorization URL: 获取用户授权的Request Token服务地址;

  Access Token URL: 用授权的Request Token换取Access Token的服务地址;

二、获取未授权的request token

  请求参数:

  OAUTH_consumer_key:消费方键值。
  OAUTH_signature_method:消费方签署本请求所用的签名方法。
  OAUTH_signature:签名,定义于签署请求 (签署请求)。
  OAUTH_timestamp:定义于Nonce and Timestamp (单次值与时间戳)。
  OAUTH_nonce:定义于Nonce and Timestamp (单次值与时间戳)。
  OAUTH_version:可选。
  额外参数:由服务提供方定义的任意额外参数
  服务方返回结果,响应包含如下参数:
  OAUTH_token:请求令牌
  OAUTH_token_secret:令牌密钥
  附加参数:由服务提供方定义的任意参数

三、 获取用户授权的request token

  请求参数:
  OAUTH_token:可选。在前述步骤中获得的请求令牌。服务提供方可以声明此参数为必须,也可以允许不包含在授权URL中并提示用户手工输入。
  OAUTH_callback:可选。消费方可以指定一个URL,当 获取用户授权 (获取用户授权)成功后,服务提供方将重定向用户到这个URL。
  附加参数:由服务提供方定义的任意参数。
  服务提供方将用户引导回消费方
  如果消费方在OAUTH_callback中提供了回调URL(在消费方引导用户至服务提供方 (消费方引导用户至服务提供方)中描述),则服务提供方构造一个HTTP GET请求URL,重定向用户浏览器到该URL,并包含如下参数:
  OAUTH_token:被用户授权或否决的请求令牌
  回调URL可以包含消费方提供的查询参数,服务提供方必须保持已有查询不变并追加OAUTH_token参数。

四、用授权的request token换取Access Token

  消费方请求访问令牌参数:
  OAUTH_consumer_key:消费方键值。
  OAUTH_token:之前获取的请求令牌。
  OAUTH_signature_method:消费方使用的签署方法。
  OAUTH_signature:签署请求 (签署请求)中定义的签名。
  OAUTH_timestamp:在单次值与时间戳 (单次值与时间戳)中定义。
  OAUTH_nonce:在单次值与时间戳 (单次值与时间戳)中定义。
  OAUTH_version:版本号,可选。
  返回参数:
  OAUTH_token:访问令牌。
  OAUTH_token_secret:令牌密钥。
五、 访问受保护资源
   请求参数:
  OAUTH_consumer_key:消费方键值。
  OAUTH_token:访问令牌。
  OAUTH_signature_method:消费方使用的签署方法。
  OAUTH_signature:签署请求 (签署请求)中定义的签名。
  OAUTH_timestamp:定义于单次值与时间戳 (单次值与时间戳).
  OAUTH_nonce:定义于单次值与时间戳 (单次值与时间戳).
  OAUTH_version:版本号,可选。
  附加参数:服务提供方指定的附加参数。

六、

OAUTH认证授权流程

  在弄清楚了OAUTH的术语后,我们可以对OAUTH认证授权的流程进行初步认识。其实,简单的来说,
  OAUTH认证授权就三个步骤,三句话可以概括:
  1. 获取未授权的Request Token
  2. 获取用户授权的Request Token
  3. 用授权的Request Token换取Access Token
  当应用拿到Access Token后,就可以有权访问用户授权的资源了。大家可能看出来了,这三个步骤不就是对应OAUTH的三个URL服务地址嘛。一点没错,上面的三个步骤中,每个步骤分别请求一个URL,并且收到相关信息,并且拿到上步的相关信息去请求接下来的URL直到拿到Access Token。
  具体每步执行信息如下:
  A. 使用者( 第三方软件 )向OAUTH服务提供商请求未授权的Request Token。向Request Token URL发起请求,请求需要带上的参数见上图。
  B. OAUTH服务提供商同意使用者的请求,并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret,并返回给使用者。
  C. 使用者向OAUTH服务提供商请求用户授权的Request Token。向User Authorization URL发起请求,请求带上上步拿到的未授权的token与其密钥。
  D. OAUTH服务提供商将引导用户授权。该过程可能会提示用户,你想将哪些受保护的资源授权给该应用。此步可能会返回授权的Request Token也可能不返回。如Yahoo OAUTH就不会返回任何信息给使用者。
  E. Request Token 授权后,使用者将向Access Token URL发起请求,将上步授权的Request Token换取成Access Token。请求的参数见上图,这个比第一步A多了一个参数就是Request Token。
  F. OAUTH服务提供商同意使用者的请求,并向其颁发Access Token与对应的密钥,并返回给使用者。
  G. 使用者以后就可以使用上步返回的Access Token访问用户授权的资源。

WNYFK
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
token令牌常用的四种加密方式
weixin_49612239的博客
07-05 6017
1.base64 ‘防君子不防小人’ 方法 作用 参数 返回值 b64encode 将输入的参数转化为base64规则的串 预加密的明文,类型为bytes;例:b‘guoxiaonao’ base64对应编码的密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ b64decode 将base64串 解密回 明文 base64密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ 参数对应的明文,类型为bytes;例:b’guoxiaonao’ urlsaf
帮你深入理解OAuth2.0协议
热门推荐
SecCloud的专栏
11-16 12万+
1. 引言 如果你开车去酒店赴宴,你经常会苦于找不到停车位而耽误很多时间。是否有好办法可以避免这个问题呢?有的,听说有一些豪车的车主就不担心这个问题。豪车一般配备两种钥匙:主钥匙和泊车钥匙。当你到酒店后,只需要将泊车钥匙交给服务生,停车的事情就由服务生去处理。与主钥匙相比,这种泊车钥匙的使用功能是受限制的:它只能启动发动机并让车行驶一段有限的距离,可以锁车,但无法打开后备箱,无法使用车内其他
Alibaba Nacos JWT令牌使用默认密钥浅析
最新发布
lwwzyy
03-18 5732
Nacos服务管理平台因默认密钥导致的认证绕过漏洞。在默认配置为未修改的情况下,攻击者可以构造用户 token 进入后台,导致系统被攻击与控制。许多Nacos 用户只开启了鉴权,但没有修改默认密钥,导致Nacos系统仍存在被入侵的风险。
JWT详解、JJWT使用、token 令牌
xiao2431的专栏
09-22 5569
JWT及JSON Web Token,是一种在两方之间以紧凑、可验证的形式传输信息的方式。此信息可以验证和信任,因为它是数字签名的。JWT 可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。
利用JWT生成Token的原理及公钥和私钥加密和解密的原则
Aplumage的专栏
10-13 1万+
开篇: 实现Token的方式有很多,本篇介绍的是利用Json Web Token(JWT)生成的Token.JWT生成的Token有什么好处呢? 安全性比较高,加上密匙加密而且支持多种算法。 携带的信息是自定义的,而且可以做到验证token是否过期。 验证信息可以由前端保存,后端不需要为保存token消耗内存。 小知识:Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。 什么是JWT? JSON Web...
oauth2 学习demo
03-04
这个"oauth2 学习demo"应该是为了帮助理解OAuth2的工作流程和实现机制而创建的一个实例项目。在这个demo中,我们关注的核心是`base-auth-server`,这很可能是模拟了一个OAuth2授权服务器的角色。 OAuth2 的主要目标...
Spring Security oAuth学习之Hello World
04-12
本篇文章将深入探讨Spring Security oAuth学习,通过一个简单的"Hello World"示例来帮助初学者理解其基本概念和工作流程。 首先,我们要明白OAuth的核心目标是允许用户授权第三方应用访问他们存储在特定服务提供...
Oauth2学习1
08-08
在本文中,我们将深入探讨OAuth2的工作原理、角色以及常见的授权模式。 首先,OAuth2的主要目的是为了解决不同系统之间的跨平台认证问题,它定义了一个标准化的接口协议。例如,在京东登录页面上,用户可以选择使用...
Oauth认证流程学习代码
10-30
在“Oauth认证流程学习代码”中,我们将深入理解OAuth的基本流程和相关代码实现。OAuth的流程主要包括四个角色:资源所有者(Resource Owner)、客户端(Client)、资源服务器(Resource Server)和授权服务器...
OAuth2.0Demo
03-06
通过这个示例,你可以学习如何在实际项目中运用OAuth2.0,提升应用的安全性,并了解Spring Boot与OAuth2.0的集成方式。同时,这也为你提供了实践和理解授权协议、安全设计以及Spring Security核心概念的机会。在实际...
OAuth 授权的几种模式详解
wzh8108的专栏
04-21 5216
OAuth 鉴权模式
开源OAuth2框架 实现SSO单点登录
zetor的专栏
10-12 3277
一、概述: 本文旨在使用Tkey开源架构 实现单点登录系统。 1. TKey:以 OAuth 2.0 标准为接口设计原则的单点登录系统(SSO) 纯粹的 HTTP,任意设备、任意场景 跨域无状态,随意横向扩展,服务高可用 2. 选择tkey: Tkey为开源框架,使用方便,易于扩展,完成度高,文档详细。 下载及文档请参考地址: Github:https://github.com/cdk8s/tkey Gitee:https://gitee.com/cdk8s/tkey 二、实现单点登录服..
nonce和timestamp在Http安全协议中的作用
yinhong2006的专栏
06-19 273
nonce和timestamp在Http安全协议中的作用 前段时间给客户网站做新浪微博账号登录功能,对OAuth协议以及相关的一些安全协议做了一些研究,顺便就记录一下学习心得吧。在这里就不打算具体讲OAuth的协议流程了,而是针对OAuth请求头里的nonce(随机数)、timestamp(时间戳)、signatrue(签名)这些参数的作用做一下总结。 首先看一下HTTP规范里定...
OAuth学习笔记
weixin_30642561的博客
09-30 94
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站) 在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,...
彻底弄懂OAuth
qq_34446716的博客
04-06 2100
OAuth简介 OAuth是一个开放的标准,能提供一种安全的API授权,使第三方应用不需要密码账号,就可以申请获得该用户资源的授权。 1.使用场景例子 如果一个用户需要两项服务:图片在线存储服务A、图片在线打印服务B。由于服务A与服务B是由两家不同的服务提供商提供的,所以用户在这两家服务提供商的网站上各自注册了两个用户,假设这两个用户名、密码都各不相同。当用户要使用服务B打印存储在服务A上的图片时,用户该如何处理? 方法一:用户先将待打印的图片从服务A上下载下来并上传到服务B上打印,这种方式安全但处理比
java token认证机制,OAuth认证协议原理分析及使用方法
weixin_33240360的博客
03-13 478
twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到twitter登录,之后转回原网络twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到 twitter登录,之后转回原网站,你会发现你已经登录此网站了,这种网站就是这个效果。其实这都是拜 OAuth所赐。OAuth是什么?OAuth是一个开放的认证协议,让你可以在Web或桌面程序中使用简单而标准的,安全的API认...
一张图搞定OAuth2.0
weixin_34061042的博客
08-24 259
1、引言 本篇文章是介绍OAuth2.0中最经典最常用的一种授权模式:授权码模式 非常简单的一件事情,网上一堆神乎其神的讲解,让我不得不写一篇文章来终结它们。 一项新的技术,无非就是了解它是什么,为什么,怎么用。至于为什么,本篇文章不做重点探讨,网上会有各种文章举各种什么丢钥匙、发船票的例子供你去阅读,个人认为还是有些哗众取宠,没有聊到本质。 那我们就重点聊聊OAuth2.0是什么,怎么用...
OAuth 1.0 简介
每天积累一点,一年后你会发现,自己变化很大
12-19 5003
By Charles | 1757 views | 2014/05/14 现在已经是OAuth2.0的时代了,整个中国互联网圈子,基本都在使用OAuth2.0了,但是我们可以看到,Twitter,这个曾经引领 了互联网开放平台的先驱,依然固执得坚持着使用OAuth1.0,而且现如今都在使用OAuth2.0的这些中国互联网平台们,也都经历过 OAuth1.0的历史阶段。了解历史才能
深入理解OAuth 2.0
通过阅读《OAuth 2.0 in Action》,读者不仅可以学习OAuth 2.0的基础知识,还能了解到如何在实际项目中有效地实施和管理OAuth 2.0授权系统,提升应用的安全性和用户体验。同时,书中可能还包含了对制造商和供应商...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值