理解OAuth 2.0

最新推荐文章于 2023-02-07 22:49:43 发布
最新推荐文章于 2023-02-07 22:49:43 发布
阅读量169 收藏
点赞数 1
文章标签: jwt oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a599s/article/details/115708407
版权

理解OAuth 2.0

OAuth 2.0的作用

  1. 用于第三方的安全认证。(第三方登入像QQ登入王者)
大厂大多都有OAuth 2.0的接口,具体查看相应的开发平台

OAuth 2.0 的名词(以微信登入百度举例)

(1) Third-party application(百度):第三方应用程序,本文中又称"客户端"(client),即上一节例子中的"云冲印"。

(2)HTTP service:HTTP服务提供商,本文中简称"服务提供商"。

(3)Resource Owner(客户:一个人):资源所有者,本文中又称"用户"(user)。

(4)User Agent(浏览器):用户代理,本文中就是指浏览器。

(5)Authorization server(这是微信的认证服务器):认证服务器,即服务提供商专门用来处理认证的服务器。

(6)Resource server(微信的资源服务器):资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。

OAuth关键思路

主要是为了取得Token令牌(相当于许可证),
流程图

来源网络

理解

(A)用户打开客户端(百度)以后,客户端要求用户给予授权。(第三方登入弹出要用微信二维码)

(B)用户同意给予客户端(百度)授权。(微信手机同意登入)

(C)客户端(百度)使用上一步获得的授权,向认证服务器申请令牌。(向这是向微信的认证服务器发出请求的报文)

(D)认证服务器对客户端(百度)进行认证以后,确认无误,同意发放令牌(token)。(向这是微信的认证服务器发出返回报文)

(E)客户端(百度)使用令牌,向资源服务(微信的资源服务器)器申请获取资源。(这也是一个请求报文)

(F)资源服务器(微信的资源服务器)确认令牌无误,同意向客户端(百度)开放资源。(返回报文,返回报文携带着用户的资源信息)

客户端的授权模式

客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。OAuth 2.0定义了四种授权方式。

复杂程度不断减小,即对第三方应用的信任不断增加,速度也会提高
  1. 授权码模式(authorization code)
  2. 简化模式(implicit)
  3. 密码模式(resource owner password credentials)
  4. 客户端模式(client credentials)

授权码模式

l来源b站
详细内容看阮一峰的网络日志

白沐雨
关注
php oauth2.0认证登陆,理解OAuth2.0认证与客户端授权码模式详解
weixin_42393829的博客
03-10 847
一、什么是OAuth协议OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 OAuth是安全的。OAuth 是 Open Authorization 的简写OAuth 本身不存在一个标准的实现,后端开发者自己根据实际的需求和...
OAuth2.0 协议
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
05-27 704
之前文章都是讲解的用户名或者短信登录认证的方式,这节开始学习第三方授权认证的登录方式,在学习授权登录之前就不得不先学习OAuth2.0协议的相关知识,一起来看看吧!
OAuth 2.0 的一个简单解释
木村的博客
01-21 677
OAuth 2.0 的一个简单解释 OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 这个标准比较抽象,使用了很多术语,初学者不容易理解。其实说起来并不复杂,下面我就通过一个简单的类比,帮助大家轻松理解OAuth 2.0 到底是什么。 一、快递员问题 我住在一个大型的居民小区。 小区有门禁系统。 进入的时候需要输入密码。 我经常网购和外卖,每天都有快递员来送货...
OAuth2简介
weixin_67677668的博客
02-01 990
OAuth2简介
Spring Security OAuth2简介
大后生大大大的博客
12-22 1216
OAuth2、授权码模式、简化模式、密码模式、客户端模式
Spring Security 0auth2 认证服务器和资源服务器实现
MrLee的博客
02-07 2154
【代码】Spring Security 0auth2 认证服务器和资源服务器实现。
OAuth2.0代码模拟实现
最新发布
12-26
OAuth2.0是一种广泛使用的授权框架,用于在第三方应用与用户资源之间建立安全的数据共享机制。这个框架允许用户授权第三方应用访问他们存储在特定服务提供商(如Google或Facebook)上的数据,而无需分享他们的登录...
基于Django2.1.2的OAuth2.0授权登录
04-15
通过学习和实践这个项目,开发者不仅可以掌握OAuth2.0的原理,还能深入理解Django框架的使用,以及如何扩展其功能来满足特定需求。在"OAuth2.0_Django2.1.2-master"这个压缩包中,可能包含了项目的所有源代码和相关...
webapi基于Owin中间件的oauth2.0身份认证
10-07
**OAuth2.0简介** OAuth2.0是一种授权框架,广泛应用于Web API的身份验证和授权。...OAuth2.0的核心是将认证和...在实践中,理解OAuth2.0的工作流程和Owin中间件的用法是至关重要的,这有助于构建健壮、安全的Web服务。
oauth2.0第三方 qq、sina、baidu、renren、osc、豆瓣 等,登陆的简易封装!
11-05
在Web应用开发中,OAuth2.0常被用来实现社交网络平台(如QQ、新浪、百度、人人网、OSC开源中国、豆瓣等)的第三方登录功能...通过理解OAuth2.0的工作原理,开发者可以轻松地整合各大社交平台的登录系统,提升用户体验。
OAuth 2.0 授权认证详解
GJ_ia的博客
01-13 2893
从上图中可以看出,造成 CSRF 攻击漏洞问题的关键点在于,OAuth2 的认证流程是分为好几步来完成的,在上一章节授权码模式流程中的流程图中的第 4步骤中,第三方应用在收到一个 GET 请求时,除了能知道当前用户的 cookie,以及 URL 中的。"云冲印"网站将李四的 Google 账号同张三的"云冲印"账号关联绑定起来,从此以后,李四就可以用自己的 Google 账号通过 OAuth 登录到张三在 “云冲印” 网站中的账号,堂而皇之的冒充张三的身份执行各种操作。这样的前后端分离,可以避免令牌泄漏。
前后端分离架构下的OAuth2.0授权流程
weixin_41866717的博客
10-02 4633
前后端分离架构下spring security oauth2.0
OAuth2资源访问控制 OAuth2.0认证服务器配置和资源服务器配置(OAuth2.0学习第二天)
tianlong1569的专栏
09-03 4738
本文代码接着第一天的内容进行更新。(OAuth2.0基础配置信息,OAuth2.0学习第一天地址-https://blog.csdn.net/tianlong1569/article/details/108366395) 在前文中我们已经获得了access_token,但是当通过access_token调用相关的接口的时候报出下面异常 { "timestamp": "2020-09-03T06:57:33.443+0000", "status": 401, "error": "
OAuth2资源服务器
Java大数据联盟
03-29 4670
OAuth2资源服务器1 说明2 资源服务器实现2.1 创建工程2.2 资源服务器配置类2.3 用户资源请求入口类2.4 用户资源获取服务接口2.5 用户资源获取服务实现类2.6 主启动类2.7 其它配置3 测试3.1 获取令牌3.2 请求资源4 总结 1 说明 授权服务器主要是提供用户认证、授权、颁发令牌等功能,而资源服务器主要是保护用户资源。授权服务器先给合法的用户颁发令牌,用户再使用获得的令...
12.3。OAuth 2.0资源服务器
weixin_43981133的博客
09-26 1051
12.3。OAuth 2.0资源服务器 Spring Security支持使用两种形式的OAuth 2.0 Bearer Tokens来保护端点: JWT Opaque Tokens 在应用程序将其权限管理委派给授权服务器(例如Okta或Ping Identity)的情况下,这很方便。资源服务器可以咨询该授权服务器以授权请求。 本节详细介绍了Spring Security如何提供对OAuth 2.0 Bearer Token的支持。 Spring Security存储库中提供了JWT和Opaque T
OAuth2.0协议入门(一):OAuth2.0协议的基本概念以及使用授权码模式(authorization code)实现百度账号登录
王仁一的博客
03-27 3753
OAuth2.0协议的基本概念 (1)OAuth2.0协议 OAuth协议,是一种授权协议,不涉及具体的代码,只是表示一种约定的流程和规范。OAuth协议一般用于用户决定是否把自己在某个服务商上面的资源(比如:用户基本资料、照片、视频等)授权给第三方应用访问。此外,OAuth2.0协议是OAuth协议的升级版,现在已经逐渐成为单点登录(SSO)和用户授权的标准。 不知道大家有没有发现,目...
OAuth2学习笔记(一)
Haolarn
04-30 489
背景 因为最近项目需要被当成类似第三方平台提供接口的调用。因此要保证接口调用的安全性,拒绝“裸奔”,项目中使用OAuth2协议进行开发。 什么是OAuth2? OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth保证了我们在分布式系统开发的情况下接口调用的安全性,在资源...
oauth2开放认证协议原理及案例分析
volcan1987的专栏
02-23 5832
之前翻译过一篇  OAuth认证协议原理分析及使用方法 ,虽然 OAuth2还没有正式发布,但是国内外的OAuth2的采用情况几乎要完全替代掉OAuth1.1了。像淘宝、腾讯、人人网、百度开放平台就已经采用Oauth2,新浪微博也发来邮件说是要很快上马OAuth2,彻底替换掉OAuth1.1。目前OAuth2到了 v20草稿阶段 ,最新的版本是 2011年7月25号发布的,协议变化还是很快
认证学习6 - Oauth2认证讲解、代码实现、演示
weixin_39651356的博客
09-19 1655
认证学习6 - Oauth2认证讲解、代码实现、演示
深入理解OAuth 2.0
这本书由Ian Glazer作序,旨在帮助读者深入理解并实战OAuth 2.0在实际应用中的各种场景。" OAuth 2.0是目前广泛应用于Web服务和移动应用中的安全授权协议,它允许第三方应用在用户授权的情况下,访问特定的资源。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值