OAuth 2.0 四种授权模式

于 2024-05-13 13:45:00 发布
阅读量384 收藏 8
点赞数 5
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azy_123/article/details/138683191
版权

OAuth 2.0定义了四种授权模式(Authorization Grant Types),用于在客户端和服务提供者之间进行身份验证和授权。这些授权模式针对不同的应用场景和安全需求。

客户端凭证模式(Client Credentials Grant)

  • 适用于客户端自身是资源所有者,并且客户端可以直接和资源服务器交互,而无需用户参与的情况。
  • 流程:
    1. 客户端向认证服务器提供自身的凭证(客户端ID和客户端密钥)。
    2. 认证服务器验证客户端凭证,并颁发访问令牌给客户端。

虽然这种模式比较简便,但是已经失去了用户验证的意义,更适用于服务内部调用的场景。

密码模式(Resource Owner Password Credentials Grant)

  • 适用于客户端是用户的信任应用,并且用户信任客户端,同时用户能够安全地将自己的凭证(用户名和密码)提供给客户端的情况。
  • 流程:
    1. 客户端请求用户提供用户名和密码。
    2. 客户端使用用户名和密码向认证服务器请求访问令牌。
    3. 认证服务器验证凭证并颁发访问令牌给客户端。

密码模式看起来比较合理,但是会直接将账号和密码泄露给客户端,需要后台完全信任客户端,所以这也不是常见的模式。

隐式授权模式(Implicit Grant)

  • 适用于客户端无法安全地保护客户端密钥的情况,例如通过浏览器端应用程序。
  • 流程:
    1. 客户端重定向用户到认证服务器,请求授权。
    2. 用户登录并授权客户端。
    3. 认证服务器将访问令牌直接返回给客户端。

它适用于没有服务端的第三方应用页面,并且相比前面一种形式,验证都是在验证服务器进行的,敏感信息不会轻易泄露,但是Token依然存在泄露的风险。

授权码模式(Authorization Code Grant)

  • 适用于客户端能够安全地保护客户端密钥的情况,例如通过服务器端应用程序。
  • 流程:
    1. 客户端重定向用户到认证服务器,请求授权。
    2. 用户登录并授权客户端。
    3. 认证服务器将授权码重定向回客户端。
    4. 客户端使用授权码向认证服务器请求访问令牌。
    5. 认证服务器验证授权码并颁发访问令牌给客户端。

这种模式是最安全的一种模式,也是推荐使用的一种,相比隐式授权模式,它并不会直接返回Token,而是返回授权码,真正的Token是通过应用服务器访问验证服务器获得的。在一开始的时候,应用服务器(客户端通过访问自己的应用服务器来进而访问其他服务)和验证服务器之间会共享一个secret,这个东西没有其他人知道,而验证服务器在用户验证完成之后,会返回一个授权码,应用服务器最后将授权码和secret 一起交给验证服务器进行验证,并且Token也是在服务端之间传递,不会直接给到客户端。这样就算有人中途窃取了授权码,也毫无意义,因为,Token的获取必须同时携带授权码和secret,但是secret 第三方是无法得知的,并且Token不会直接丢给客户端,大大减少了泄露的风险。

Fittt_
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
基于Spring OAuth2 之客户端凭证模式演示
oscar999的专栏
07-27 706
**客户端凭证模式(Client Credentials Grant)**:适用于客户端访问自己的资源的情况,而不是代表用户访问资源。 客户端应用程序使用其自身的凭证(即客户端ID和客户端密钥)直接向身份验证服务器进行身份验证,并获取访问令牌。此授权方式不涉及用户,因为它只允许客户端访问自己的资源。 本篇基于Spring OAuth2 认证服务器演示如何进行客户端凭证模式的认证
Oauth2.0四种授权模式介绍
huenbin的博客
05-31 8475
1.授权模式(Authorization Code)流程 首先,先有授权服务器(oauth2Server)、资源服务器(resourcesServer)、用户(User) 用户在授权服务器上注册账号 User,密码12345 在授权服务器上申请资源服务器的认证信息client_id=resourcesServer和client_secret=123 (另含scope和authori...
Oauth2.0四种授权模式适用场景和授权流程介绍以及个人的一些思考
玖涯博客
03-09 4866
Oauth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准,先前曾经了解过在 spring-security-oauth2 中 Oauth 四种模式的实现,也通过 Shiro 实现了 Oauth授权流程。 目前 spring-security-oauth2 已经被逐步废弃,Spring 也提供了新的框架 spring-authorization-server,整个框架基于 Oauth 2.1 开发。目前重新整理项目代码,借此机会详细梳理一遍 Oauth2.0 授权模式的适用场景和授权流程,
OAuth2.0四种授权模式及实战
CODEING一场空的博客
06-27 1万+
Oauth2.0具有多授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。在源码中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证码登录或者微信扫码登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证码模式
微服务应用之OAuth2.0四种授权方式
weixin_45974176的博客
09-26 3911
看完你就会懂oauth2.0四种授权方式是如何工作的了
OAuth2.0 四种授权方式讲解
最新发布
让优秀成为一种习惯!
12-25 2714
OAuth2通过将用户密码信息与第三方应用程序隔离,提高了应用程序的安全性。同时,OAuth2是一个开放的标准,可以与不同的应用程序、平台和设备兼容,易于理解和使用,可以快速集成到应用程序中。
详解laravel passport OAuth2.0的4模式
10-16
除了这四种模式,laravel passport 还支持其他功能,如: - **私人令牌(Personal Access Tokens)** 个人访问令牌为用户提供了一无需每次请求都重新认证的方式,常用于测试环境或者管理员控制台,方便访问API...
OAuth2.0 密码模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant 的授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
OAuth2.0授权模式.doc
07-27
OAuth2.0授权模式.doc OAuth2.0授权模式的文档,希望可以帮助学习者
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
nodejs实现OAuth2.0授权服务认证
10-18
OAuth2.0授权模式: 1. 授权模式(Authorization Code Grant):适用于服务器端应用程序,安全但流程复杂。 2. 简化模式(Implicit Grant):适用于浏览器应用,不涉及服务器端,令牌直接在URL中返回,安全性较低...
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
OAuth2.0四种授权模式以及Oauth2.0实战
热门推荐
CODEING一场空的博客
04-11 1万+
OAuth2.0四种授权模式实现演示以及自定义授权模式Oauth2.0具有多授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。
OAuth协议的四种模式
Evan.Zhou的博客
02-09 1048
密码模式 Resource Owner Password 授权模式 Authorization code grant 密码模式 1、用户提供用户名和密码给客户端应用 2、客户端应用使用用户提供的用户名和密码和自己应用的ClientId和ClientSecrect请求令牌 3、校验用户身份(用户名密码)和客户端应用身份(ClientSecrect)并返回访问令牌和刷新令牌 缺点:不安全,密码会...
OAuth2.0 四种模式
m0_60492092的博客
06-28 1029
优点:access_token不会经过浏览器或移动端的App,而是直接从服务端去交换,这样就最大限度的减小了令牌泄漏的风险,安全性高。优点:不需要多次请求转发,额外开销,同时可以获取更多的用户信息。缺点:安全性无法保障,需要授权应用完全信任,且授权应用安全可靠。缺点:没有后台,授权码暴露在前端,安全性无法保障。缺点:局限性,认证服务器和应用方必须有超高的信赖。优点:无用户参与,过程简单。
oauth最后的确认按钮_做前后端分离项目前,劝你先了解 OAuth2.0四种授权方式...
weixin_34804926的博客
01-14 611
一、OAuth2.0 为何物OAuth 简单理解就是一授权机制,它是在客户端和资源所有者之间的授权层,用来分离两不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。OAuth2.0OAuth 协议的一个版本,有2.0版本那就有1.0版本,有意思的是OAuth2.0 却不向下兼容OAuth1.0 ,相当于废弃了1.0版本。举个小栗子解释一下什么是 OAu...
OAuth2.0认证和授权原理(续)
weixin_34194702的博客
10-16 269
2019独角兽企业重金招聘Python工程师标准>>> ...
【六袆-时序图】SSO单点登录时序图;单点注销时序图;
六祎的博客
11-06 4784
用户访问系统1的受保护资源,系统1发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数 sso认证中心发现用户未登录,将用户引导至登录页面 用户输入用户名密码提交登录申请 sso认证中心校验用户信息,创建用户与sso认证中心之间的会话,称为全局会话,同时创建授权令牌 sso认证中心带着令牌跳转会最初的请求地址(系统1) 系统1拿到令牌,去sso认证中心校验令牌是否有效 sso认证中心校验令牌,返回有效,注册系统1 系统1使用该令牌创建与用户的会话,称为局部会话,返回受保护...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Fittt_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值