OAuth2.0指南(一)

最新推荐文章于 2023-02-01 11:00:26 发布
最新推荐文章于 2023-02-01 11:00:26 发布
阅读量3.5k 收藏 1
点赞数
分类专栏: 安全认证

原文链接   作者:Jakob Jenkov  译者:iDestiny

引言

OAuth2.0是一种应用之间彼此访问数据的开源授权协议。比如,一个游戏应用可以访问Facebook的用户数据,或者一个基于地理的应用可以访问Foursquare的用户数据等。下面是一张阐述该概念的图:

OAuth2.0怎么通过应用共享数据的例子,用户访问web游戏应用,该游戏应用要求用户通过Facebook登录。用户登录到了Facebook,再重定向会游戏应用, 游戏应用就可以访问用户在Facebook的数据了,并且该应用可以代表用户向Facebook调用函数(如发送状态更新)。

OAuth2.0实用案例

OAuth2.0要么用来创建一个能够从其他应用读取用户信息的应用(如上面图表中的游戏应用),要么创建一个使其他应用访问自己的用户数据的应用(如上面例子中的Facebook)。OAuth2.0是OAuth1.0的替代品,OAuth1.0更加复杂。OAuth1.0涉及到了证书等,而OAuth2.0更简单,它不需要任何证书,仅仅就SSL/TLS。

OAuth2.0规范

该指南的目标是提供一个OAuth2.0的很容易理解的概述,但是不会描述规范的每一个细节。如果你想实现OAuth2.0, 你将很有可能要全面学习该规范,你可以在这里找到该规范:http://tools.ietf.org/html/draft-ietf-oauth-v2-23

OAuth2.0综述

如引言所说的,OAuth2.0是一个能够使应用彼此访问数据的开放授权协议。这里我们将阐述该协议是怎么工作的,和规范中提到的概念。该图说明了整个授权过程:

OAuth2.0怎样被用来在应用间共享数据的例子

第一步,用户访问客户端web应用。应用中的按钮”通过Facebook登录”(或者其他的系统,如Google或Twitter)。

第二步,当用户点击了按钮后,就被重定向到授权的应用(如Facebook), 然后用户登录,并被询问是否要授权应用中的数据给客户端应用,用户接受后。

第三步,授权应用将用户重定向到客户端应用提供的URI,提供这种重定向的URI通常是通过注册客户端应用程序与授权应用程序完成。在注册中,客户端应用的拥有者组注册该重定向URI,在注册过程中认证应用也会给客户端应用客户端标识和密码。在URI后追加一个认证码。该认证码代表了授权。

第四步,用户在客户端应用访问网页被定位到重定向的URI。在背后客户端应用连接授权应用,并且发送在重定向请求参数中接收到的客户端标识,客户端密码和认证码。授权应用将返回一个访问口令。

一旦客户端有了访问口令,该口令便可以被发送到Facebook, Google, Twitter等来访问登录用户的资源。

  • OAuth2.0角色

OAuth2.0定义了下面用户和应用的角色:

  • 资源拥有者
  • 资源服务器
  • 客户端应用
  • 授权服务器

这些角色在下图中表示为:

OAuth2.0规范中的角色定义

资源拥有者是指拥有共享数据的人或应用。比如,在Facebook或Google的用户可以是资源拥有者。他们拥有的资源就是数据。资源拥有者在表中被描述为人,这可能是最常见的情况。但资源拥有者也可以是一个应用。OAuth2.0提到了这两种可能性。

资源服务器是指托管资源的服务器。比如,Facebook或Google就是资源服务器(或者有一个资源服务器)。

客户端应用是指请求访问存储在资源服务器的资源的应用。资源被资源拥有者所拥有。客户端应用可是一个请求访问用户的Facebook账号的游戏。

授权服务器是指授权客户端应用能够访问资源拥有者所拥有的资源。授权服务器和资源服务器可以是同一个服务器,但不是必须的。如果这两个服务器是分开的,OAuth2.0没有讨论这个两个服务器应该如何通信。这是由资源服务器和授权服务器开发者自己设计决定的。

  • OAuth2.0客户端类型

OAuth2.0客户端角色被细分为一系列类型和配置。本节将阐述这些类型和配置。

OAuth2.0规范定义了两种客户端类型:

  • 保密的
  • 公有的

保密的客户端能够对外部保持客户端密码保密。该客户端密码是由授权服务器分配给客户端应用的。为了避免欺骗,该密码是授权服务器用来识别客户端的。例如一个保密的客户端可以是web应用,除了管理员,没有任何人能够访问服务器和看到该密码。

公有的客户端不能使客户端密码保密。比如移动手机应用或桌面应用会将密码嵌入在内部。这样的应用可能被破解,并且泄漏密码。这同于在用户的浏览器上运行的JavaScript应用。用户可以使用一个JavaScript调试器来寻找到应用程序,并查看客户端密码。

客户端配置

OAuth2.0规范也提到了一系列客户端配置文件。这些配置文件是具体类型的应用程序,这可以是保密或公开的。这些配置文件有:

  • web应用
  • 用户代理
  • 原生

Web应用

web应用是指运行在web服务器内的应用。实际上,web应用典型地由浏览器部分和服务端部分组成。如果web应用需要访问资源服务器(如Facebook账号),然后客户端密码被保存在服务器上。因此密码是保密的。

这里阐释了一个保密的客户端应用:

保密的客户端:web应用

用户代理应用

用户代理应用比如运行在浏览器上的的JavaScript应用。浏览器是用户代理。用户代理应用可以保存在web服务器上,但应用程序只运行一次下载的用户代理。一个例子就像一个javascript游戏只能运行在浏览器里。

这里阐释了一个客户端用户代理应用:

公有客户端:用户代理应用

原生应用

原生应用比如桌面应用或移动手机应用。原生应用典型地被安装在用户计算机或设备(手机,平板等)上。因此客户端密码也被存储在用户计算机或设备上。

这里阐释了客户端原生应用:

公有客户端:本地应用

混合应用

有些应用是这些配置的混合使用。比如本地应用也可以有服务器部分,来做一些工作(如数据存储)。OAuth2.0规范没有提及这种混合型。然而,在大多数情况下,混合型将能够使用这些配置文件的认证模型。

(全文完)如果您喜欢此文请点赞,分享,评论。

anda0109
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
auth2.0 安装包及资料学习(包含个版本的php_oauth.dll)
06-25
auth2.0 安装包及资料学习(包含个版本的php_oauth.dll),里面包含demo及学习资料的整合
OAuth2.0开发指南
weixin_34406061的博客
08-26 158
OAuth2.0开发指南 1.认证与登录 来往开放平台支持3种不同的OAuth 2.0验证与授权流程: 服务端流程(协议中Authorization Code Flow): 此流程适用于在Web服务端调用REST API的的应用。例如:网站,站内应用 客户端流程(协议中ImplicitFlow): 此流程适用于在客户端调用REST API的应用。例如:后端无Web Server...
Spring-security-OAuth 2开发指南
weixin_34273481的博客
01-10 238
官方原文:http://projects.spring.io/spring-security-oauth/docs/oauth2.html本文记录官方文档的重点内容,先记录下来以供学习,里面涉及到一些概念性的东西还需研究具体含义。该指南共分为两部分:OAuth 2.0 provider----------样例代码integration testsOAuth 2.0 clien...
Oauth2.0通俗易懂的理解和四种方式
fanbojiayou的专栏
04-26 1220
重点:以下内容来自于阮一峰老师写的资料: http://www.ruanyifeng.com/blog/2019/04/oauth_design.html http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 这个标准比较抽象,使用了很...
oauth2cpp:适用于C ++的OAuth2客户端库
05-04
适用于C ++的OAuth2客户端库 该项目提供了RFC 6749第4.1节中所述的OAuth 2.0“授权代码授予”客户端。 当前版本和状态 当前版本是0.1。 状态为“进行中” 依存关系 liboauth2cpp取决于: jasonxx( ;为简单起见,代码直接集成在liboauth2cpp / externals / jasonxx上) C ++网络URI( ) 执照 Boost软件许可-版本1.0-2003年8月17日 特此免费授予任何人或组织,以获取该软件及其随附许可证(“软件”)所涵盖的文档的副本,以使用,复制,显示,分发,执行和传输该软件,以及准备软件的衍生作品,并允许提供软件的第三方这样做,但必须遵守以下条件: 本软件和本完整声明中的版权声明,包括上述许可授予,本限制和以下免责声明,必须全部或部分包含在本软件的所有副本中,以及本软件的所有衍生作品中,除非有此类声明
OAuth 2.0 (Getting started with OAuth2.0)
06-02
OAuth 2.0 是一种广泛使用的开放标准,用于授权第三方..."Getting.Started.with.OAuth.2.0.Feb.2012.pdf" 这份文档应该包含了关于OAuth 2.0 的详细指南,包括其规范、使用场景和实施建议,是学习OAuth 2.0 的良好起点。
《OAuth 2.0 入门指南:掌握授权码模式》这篇文章的demo示例源码
最新发布
12-27
此上传包含了《OAuth 2.0 入门指南:掌握授权码模式》文章中提到的完整演示示例源码。这个示例源码旨在提供一个实际的、可操作的示范,让读者可以直观地理解和学习 OAuth 2.0 授权码模式的实现细节。 源码包括了设置...
okta-spring-boot-authz-server-example:Spring Security OAuth 2.0指南
01-31
Spring Security OAuth 2.0指南本示例显示了如何使用Spring Security和OAuth 2.0创建授权服务器。 请阅读获取指导教程,向您展示如何在此存储库中构建应用程序。 先决条件: 。 具有身份验证和用户管理API,可通过...
阮一峰_理解OAuth 2.01
08-08
在这篇文章中,阮一峰以云冲印服务为例,详细阐述了OAuth 2.0 的应用场景、基本概念和工作流程,对于理解和实施OAuth 2.0 提供了清晰的指南。了解并掌握OAuth 2.0 对于开发需要用户授权的应用程序至关重要,因为它能...
PyOAuth:用 Flask python 编写的用于 Oauth 2.0 协议的即插即用小而高效的模板
06-23
OAuth 2.0 是一个授权框架,广泛应用于各种在线服务,允许第三方应用安全地访问用户的数据,而无需共享用户的登录凭证。PyOAuth 是一个基于 Python 和 Flask 的轻量级库,专门为实现 OAuth 2.0 协议提供了即插即用的...
Amazon Alexa Oauth2.0测试版认证
02-23
写死的认证,传到百度云就可以用。 登录为/login,token为/token,仅适用于自己玩Alexa控件使用,不适合生产环境!
OAuth2.0实例demo
01-21
基于OAuth2.0协议,在spring security oauth2.o的基础上搭建的 1、全部基于数据库存储用户信息,tokens 2、md5密码salt加密 3、https(没有配) 4、memcache(没有配) 如果3、4有需要可以联系我,大家一起讨论一下QQ549854733
前言技术之OAuth2.0
m0_67477525的博客
02-01 212
OAuth2.0是目前使用非常广泛的授权机制,用于授权第三方应用获取用户的数据。举例说明:用户可以通过选择其他登录方式来使用gitee,这里就使用到了第三方认证。OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意 以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。
一张图搞定OAuth2.0
第27号专栏
05-19 196
1、引言 本篇文章是介绍OAuth2.0中最经典最常用的一种授权模式:授权码模式 非常简单的一件事情,网上一堆神乎其神的讲解,让我不得不写一篇文章来终结它们。 一项新的技术,无非就是了解它是什么,为什么,怎么用。至于为什么,本篇文章不做重点探讨,网上会有各种文章举各种什么丢钥匙、发船票的例子供你去阅读,个人认为还是有些哗众取宠,没有聊到本质。 那我们就重点聊聊OAuth2.0是什么,怎么用...
OAuth 2.0 详解
Think
06-14 417
1.定义 OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 2.名词说明 Third-party application:第三方应用程序,本文中又称"客户端"(client)。 HTTP service:HTTP服务提供商,本文中简称"服务提供商"。 Resource Ow
OAuth2.0--概述
吴声子夜歌的博客
03-30 269
OAuth2.0概述 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不 需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。 OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服 务,这些都足以说明OA...
OAuth 2.0 简介
境里婆娑
09-02 334
文章目录一、什么是OAuth2二、OAuth2使用场景三、Oauth设计理念四、OAuth 2.0的运行流程五、客户端获取授权的五种模式 前言:之前一直觉得Oauth比较神秘,今天就花了点时间,了解了下,感觉Oauth认证确实对目前互联网是一个不错的选择 一、什么是OAuth2 百度百科定义是这样的:OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 2.0(即完全废止了OAu...
Oauth2.0(二):开放平台
blowing00的专栏
02-28 420
在上一篇文章《Oauth2.0(一):为什么需要 Oauth2.0 协议?》中,提到Oauth2.0的交互模型如下: 这个模型涉及到三方:资源拥有者(用户)、应用方(A)、服务提供方(B)。其中,服务提供方包含两个角色:鉴权服务器和资源服务器。鉴权服务器负责对用户进行认证,并授权给应用方权限。认证这一步好实现,无非就是验一下账号密码。但是授权这一步怎么做?这里参考QQ授权给有...
OAuth2.0指南(二)
错位竞争,单点突破。
06-01 2294
OAuth2.0授权 当一个客户单应用想要访问资源拥有者托管在资源服务器的资源时,它必须先获得授权,本节将讲述客户端授权怎么获取。 客户端标识,客户端密钥和重定向URI 在客户端应用能请求访问资源服务器的资源之前,客户端应用程序必须先注册与资源服务器相关联的授权服务器。 注册一个典型的一次性任务。一旦注册了,除非客户端注册被取消了,注册将持续有效。 注册后客户端应用将
OAuth 2.0入门指南
"Getting Started with OAuth 2.0" 是一本针对开发者和系统管理员的指南,帮助他们理解OAuth 2.0协议并有效地在自己的应用中实现授权功能。通过阅读这本书,读者能够掌握OAuth 2.0的基本概念,以及如何在实际项目中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值