理解OAuth2

最新推荐文章于 2024-06-27 09:33:39 发布
最新推荐文章于 2024-06-27 09:33:39 发布
阅读量2.2k 收藏 5
点赞数 1
分类专栏: 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a040600145/article/details/88043091
版权

一.什么是OAuth2

  1. 用于REST/APIs的代理授权框架(delegated authorization framework)
  2. 基于令牌Token的授权,在无需暴露用户密码的情况下,使应用能获取对用户数据的有限访问权限
  3. 解耦认证和授权
  4. 事实上的标准安全框架,支持多种用例场景
    • 服务器端WebApp
    • 浏览器单页SPA
    • 无线/原生App
    • 服务器对服务器之间

二.场景

  1. 开放系统间授权
    • 社交联合登录
    • 开放API平台
  2. 现代微服务安全
    • 单页浏览器App(HTML5/JS/无状态)
    • 无线原生App
    • 服务器端WebApp
    • 服务器端WebApp
  3. 企业内部应用认证授权(IAM/SSO)

三.不足

  1. 协议框架太宽泛,造成各种实现的兼容性和互操作性差
  2. 和OAuth 1.0不兼容
  3. OAuth 2.0不是一个认证协议,OAuth 2.0本身并不能告诉你任何用户信息

四.主要角色

在这里插入图片描述

  • 客户应用:通常是一个Web或者无线应用,它需要访问用户的受保护资源
  • 资源服务器:是一个web站点或者web service API,用户的受保护数据保存于此
  • 授权服务器:在客户应用成功认证并获得授权之后,向客户应用颁发访问令牌Access Token
  • 资源拥有者:资源的拥有人,想要分享某些资源给第三方应用
  • 客户凭证:客户的clientId 和密码用于认证客户
  • 令牌:授权服务器在接收到客户请求后,颁发的访问令牌
  • 作用域:客户请求访问令牌时,由资源拥有者额外指定的细分权限(permission)

五.OAuth令牌类型

  • 刷新令牌:用于去授权服务器获取一个新的访问令牌
  • Bearer Token:不管谁拿到Token都可以访问资源,像现钞
  • 访问令牌(Access Token):用于代表一个用户或服务直接去访问受保护的资源
  • Proof of Possession(PoP) Token:可以校验client是否对Token有明确的拥有权

六.模式

1.类型

1.1授权码模式

在这里插入图片描述

1.2.简化模式

在这里插入图片描述

1.3.密码模式

在这里插入图片描述

1.4.客户端模式

在这里插入图片描述

1.5.刷新令牌

在这里插入图片描述

2.特点

在这里插入图片描述

选择

在这里插入图片描述

烈冬-冰夏
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oauth2简单demo
07-24
首先,我们要理解OAuth2的核心概念: 1. **资源所有者(Resource Owner)**:通常是用户,拥有需要保护的资源。 2. **资源服务器(Resource Server)**:存储和提供受保护资源的服务。 3. **客户端(Client)**:...
OAuth2】详细讲解
热门推荐
Huang_Ds的博客
06-30 2万+
Oauth2的基本概念与四种认证模式的详细讲解 ​​​​​​​
OAuth2 详细介绍!
weixin_52834606的博客
09-22 1万+
OAuth2 , Spring Security OAuth2 , JWT
一文读懂Oauth2四种客户端授权模式
最新发布
ningkangming的博客
06-27 1183
Oauth是一个关于授权(authorization)的开放网络工业标准,允许用户授权第三方应用访问用户存储在其它应用上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本。 本文主要介绍Oauth2四种授权模式,包括授权码模式、简化模式、密码模式、客户端模式。
OAuth2】授权框架的四种授权方式详解
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
12-24 6416
OAuth 2是一种授权框架,允许第三方应用通过用户授权的形式访问服务中的用户信息,最常见的场景是授权登录;再复杂一点的比如第三方应用通过 Github 给开发者提供的接口访问权限内的用户信息或仓库信息。OAuth2 广泛应用于 web 、桌面应用、移动 APP 的第三方服务提供了授权验证机制,以此实现不同应用间的数据访问权限。下面分别从不同角色、授权类型、使用场景及流程的纬度详细介绍 OAuth2。
前言技术之Oauth2全方面介绍
m0_53151031的博客
03-25 3971
一、Oauth2基本概念 1、定义 Oauth2是目前最流行的授权机制,用来授权第三方应用,获取用户数据 2、场景带入 1、外卖场景 一户人家住在一个大型居住小区,小区有门禁系统,进入小区需要输入密码,这户人家经常性点外卖,必须让外卖人员进入到小区,如果把密码告诉外卖人员,这样的话,他就和户主拥有了一样的权限,这样安全隐患太大,给了外面人员密码之后,为了安全,必须要进行修改密码,这就很麻烦。 这时候Oauth2就诞生了,外卖人员的职责只是送货,没必要知道小区密码 ...
认证授权:OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3764
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密码提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
阮一峰_理解OAuth 2.01
08-08
在本文中,作者阮一峰详细解释了OAuth 2.0 的设计思路和工作流程,以便读者能够更好地理解和应用这一授权框架。 首先,OAuth 2.0 应用于第三方应用程序(客户端)需要访问用户在服务提供商(如Google)上的数据但又...
oauth2.rar
03-26
这个压缩包中的项目提供了一个基础的OAuth2实现,对于学习和理解OAuth2的工作原理及其在Spring Boot中的应用非常有价值。通过深入研究并根据实际需求进行调整,你可以构建更复杂、更安全的授权系统。
Spring Cloud OAuth2案例
01-19
Spring Cloud OAuth2 是一个基于 Spring Boot 和 Spring Security 的授权服务器实现,它为微服务架构提供了安全的认证和授权服务。...同时,这也将帮助理解 OAuth2 协议的工作原理,提升你在安全领域的专业技能。
纯java实现的OAuth2流程
04-24
首先,我们要理解OAuth2的基本流程,它通常包括四个角色:资源所有者(Resource Owner)、资源服务器(Resource Server)、客户端(Client)和授权服务器(Authorization Server)。在纯Java实现中,我们需要为这些...
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 9343
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
OAuth2】OAuth2概述及使用GitHub登录第三方网站
Decade_Faiz的博客
07-19 2508
OAuth 是一个开放的非常重要的认证标准/协议,允许用户授权第三方应用访问其存储在其他网站上资源,而无需将用户名密码提供给第三方网站的开放标准/协议。OAuth2 是 OAuth 的最新版本,同时也是被广泛应用的一个版本。我们在网站上常见的QQ登录,微信扫码登录,GitHub 授权登录就是基于 OAuth2.0 实现的。点击跳转。
OAuth2.0到底是什么?看完你就明白了!
qq_41826150的博客
06-30 1921
OAuth2是一种开放授权协议,是一种用于授权的规范。它提供了一种灵活的授权方式,允许用户在第三方应用中安全地授权访问其受保护的资源,而无需共享其用户名和密码。OAuth2协议定义了客户端如何请求授权、用户如何在客户端和应用之间进行授权,以及如何交换授权信息以获取Access Token。Access Token是第三方应用访问用户资源的凭证,具有一定的有效期限。OAuth2的引入解决了传统授权方式中存在的安全性和可维护性问题,使得用户可以更加灵活和安全地授权第三方应用访问其资源。
oauth2基本概念
qq_31211493的博客
03-21 1万+
1.什么是oauth2 OAuth2.0介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点:简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使
什么是OAuth2
weixin_60257072的博客
01-19 1581
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。Spring Security支持OAuth2认证,OAuth2提供授权码模式、密码模式、简化模式、客户端模式等四种授权模式,前边举的微信扫码登录的例子就是基于授权码模式,这四种模式中授权码模式和密码模式应用较多,本节使用Spring Security演示授权码模式、密码模式,其余两种请自行查阅相关资料。授权码模式简单理解是使用授权码去获取令牌,要想获取令牌先要获取授权码,授权码的获取需要资源拥有者亲自授权同意才可以获取。
OAuth2】用户授权第三方应用,流程详解及模式
SAME_LOVE的博客
12-25 1891
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。OAuth通过提供一个授权令牌而不是用户名和密码来访问他们存储在服务提供者的数据。OAuth的核心是它的授权框架,允许基于代表资源所有者进行授权的访问控制。在OAuth术语中,资源所有者通常是指用户,而第三方应用则被称为客户端(Client),用户的数据被保存在服务提供者(Service Provider)处。
Spring Security OAuth2详解
qq_33814479的博客
10-12 6526
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
深入理解Spring Security OAuth2及JWT
森屿@光年的博客
11-02 5363
什么是OAuth2? OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。主要涉及的RFC规范有RFC6749(整体授权框架),RFC6750(令牌使用),RFC6819(威胁模型)这几个,一般我们需要了解的就是RFC6749。获取令牌的方式主要有四种,分别是授权码模式,简单模式,密码模式和客户端模式,如何获取token不在本篇文章的讨论范围,我们这里假定客户
深入理解OAuth 2.0
这本书由Ian Glazer作序,旨在帮助读者深入理解并实战OAuth 2.0在实际应用中的各种场景。" OAuth 2.0是目前广泛应用于Web服务和移动应用中的安全授权协议,它允许第三方应用在用户授权的情况下,访问特定的资源。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值