【服务器】身份认证系统(三)什么是OAuth2 + oauth的权限系统(鉴权系统)

最新推荐文章于 2024-08-15 11:54:08 发布
最新推荐文章于 2024-08-15 11:54:08 发布
阅读量912 收藏 4
点赞数
分类专栏: 物联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bandaoyu/article/details/104312669
版权

 

身份系统(三)什么是OAuth2

 

本文摘自:https://www.cnblogs.com/meibaorui/p/9182660.html

本文准备用最简单的语言告诉大家什么是OAuth2 ,OAuth2是干什么的。

我们有一个资源服务器,资源服务器中有一系列的用户数据。

现在有一个应用想想要获取我们的用户数据。

那么最简单的方法就是我们开发一个API。

可是某天来了个恶意应用,或者是我们不想给它数据的应用,我们就会造成数据的泄漏。

所以我们就需要对第三方的应用进行校验,比如最原始的方法是使用IP地址,如果是不认识的IP地址就不给他资源。

可是这种方案有两个严重的缺点:

1、当客户应用换了IP地址之后,我们也要同时维护更换IP地址。

2、当客户应用是分布式部署很多份的时候,我们就要为同一个用户维护很多份IP地址。

3、ip是可以伪装的。

这样无疑是繁琐麻烦、难以维护的。

所以一般业界的解决方案是给予客户应用一个“出入证”——专业称为访问令牌(Access Token)。如果来访问的客户应用带有合法的访问令牌,则可以给他数据,否则便拒绝。

那么Access Token哪里来的呢?我们一般是由一个授权服务器颁发的。每个允许其访问资源的客户应用都现在我们的系统中注册一个appkey,然后每次用这个appkey向我们的授权服务器申请Access Token。这样不论客户应用换不换ip、有多少ip,只要客户应用的appkey是唯一不变的就不用做任何修改,也不用担心ip伪装的问题。

到此为止我们其实还面临着一个问题,那就是当我们获取用户数据的时候,虽然我们允许第三方的客户应用获取用户数据,用户本人却不一定允许。比如,用户在我们系统里存储了图片、文档、视频等数据,用户只允许第三方应用获取他的文档,而不允许第三方应用获取他的图片和视频。所以在我们颁发给客户应用相关权限的Access Token的时候,需要经过用户的同意。

OAuth2.0本质上就是将这里的客户应用向授权服务器请求令牌与授权服务器颁发令牌的过程标准化了,根据这样一套标准与解决方案,我们就可以安全的让第三方应用访问存储在我们服务器上的用户数据了。

 

 

oauth2.0权限系统 实战

 

摘自:https://cloud.tencent.com/developer/article/1474214

 

今天一兄弟找小编发布一个关于oauth2.0权限系统,小编亲测。感觉非常棒。大家多多start,多多支持。

码云地址:https://gitee.com/mark-steven/oauth2.0

oauth2.0

介绍

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。oAuth是Open Authorization的简写。

软件架构

  1. 后端:SpringBoot2.1.3 + Spring + SpringMvc + Mybatis
  2. 安全框架:SpringSecurity + oauth2.0
  3. 前端框架:dhtmlx + LayUi(dhtmlx组件是由位于俄罗斯圣彼得堡的DHTMLX公司开发的,适用于B/S模式的Web应用开发)

启动教程

  1. ApiApplication 先启动api接口
  2. ResourceApplication 在启动静态资源
  3. ManageApplication 启动前端页面

登录账户:admin 密码:123456

oauth2.0请求流程

获取access_token

业务中配置如下

请求链接:
http://localhost:8080/oauth/token?
grant_type=password&client_id=client&client_secret=123456
&username=admin&password=123456

1.grant_type:必填。参数值必须是"authorization_code",这边是password密码认证类型填"password".

2.client_id:客户端标识,如果没有其它的客户端认证存在的话这个参数是必须的,这边命名为”client”..

3.client_secret:请求中加一个client_secret参数来对客户端进行认证,这边是用"123456".

4.username:登录的用户名,这边是用"admin".

5.password:登录的密码,这边是用"123456".

携带access_token请求接口

我这边随便一个接口地址拼接access_token去请求系统的接口 请求链接:http://localhost:8080/api/dev/param/category/list?&access_token=2a74e2ed-e547-4a31-8cd4-4948e1145976

期望 | Futures

欢迎提出更好的意见,帮助完善oauth2.0系统

ER逻辑图 | License

界面截图

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

bandaoyu
关注
专栏目录
OAuth2+JWT 实现权限验证
程序员爱酸奶
09-18 3079
前言 文章内容输出来源:拉勾教育Java高薪训练营; 微服务架构下统⼀认证思路主要有两种形式: 1、基于 Session 的认证⽅式在分布式的环境下,基于 session 的认证会出现⼀个问题,每个应⽤服务都需要在session中存储⽤户身份信息,通过负载均衡将本地的请求分配到另⼀个应⽤服务需要将 session 信息带过去,否则会重新认证。我们可以使⽤ Session 共享、Session 黏贴等⽅案。Session ⽅案也有缺点,⽐如基于 cookie ,移动端不能有效使⽤等 2、基于 token 的认
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
2401_84008985的博客
04-18 445
银四到了,送上一个小福利!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!配置文件server:port: 1202自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
oauth2全套(授权服务器+资源服务器+客户端独立版)
04-10
独立的授权服务器,资源服务器,客户端单点登录系统。 采用Oauth2进行token认证,模拟用户信息进行登录。
oauthoauth2
weixin_34402090的博客
11-21 143
*Oauth只有一种授权流程。除了web应用,对桌面,移动应用不够友好。签名过于复杂。对开发者不够友好。Oauth2定义了四种角色:Resource Owner, Resource Server, Client, Authorization Server,提供四种流程,可以根据不同的应用场景使用不同的流程。去掉签名,改用SSL确保安全性,所以的token不再有对应的secret存在。这也直接导致o...
认证和鉴权
最新发布
gzl_1984的博客
08-15 1173
认证鉴权是应用系统的基础需求,在微服务结构中服务分散,通常在 API 网关中进行身份验证和鉴权。当用户身份认证授权后,每次外部 API 的请求集中在网关中进行验证鉴权,不仅性能好,维护方便,还能让其余服务更加专注自己的业务。微服务中常用的认证鉴权解决方案为 jwt 、共享 session、 网关 oauth2 这种。
谈谈OAuth1,OAuth2异同
mmzz_tsz的博客
08-01 3969
一、写在前面 在收集资料时,我查询和学习了许多介绍OAuth的文章,这些文章有好有坏,但大多是从个例出发。因此我想从官方文档出发,结合在stackoverflow上的一些讨论,一并整理一下。整理的内容分为OAuth1.0a和OAuth2两部分。 OAuth 1.0a:One Leg ->Two Leg -> Three Legged OAuth 2:Two Leg ->Th...
OAuth2+JWT认证
qq_28326501的博客
06-22 708
一:OAuth2认证 思路: 【1】:服务创建及pom文件
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring Security是Spring框架的一个模块,专门...
gateway+oauth2+jwt实现网关统一鉴权
12-27
2. OAuth2的相关配置,如认证服务器的URL、客户端ID和秘密等。 3. JWT的解析和验证逻辑,可能是一个单独的类或模块。 4. 测试用例或样例代码,展示如何使用这个鉴权系统。 在实际应用中,还需要考虑其他一些因素,...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现网关登录授权验证是一个复杂而关键的过程,它涉及到现代微服务架构中的安全性设计。OAuth2是一种授权框架,用于保护API并允许第方应用访问受保护的资源,而Spring Gateway作为...
oauth2认证、鉴权框架知识点汇总
03-15
OAuth2(授权框架)是一种广泛应用于开放Web应用的授权协议,允许第方应用在用户许可的情况下,访问特定的受保护资源。这个知识点汇总将深入探讨OAuth2的核心概念、工作流程、角色定义以及它在实际开发中的应用。 ...
SpringSecurity + Oauth2 + jwt实现单点登录
꯭ 瞎꯭扯꯭蛋꯭的博客
04-26 2704
在如今前后端分离架构越来越成为开发的主流模式,因此以前基于session的权限管理已经不适合前后端分离架构了,springsecurity oauth2 的出现帮我们解决了这个问题。本文采用oauth2 + jwt实现单点登录。
什么是oAuth(开放式授权)?OAUTH协议特点和授权流程?
一亩地的专栏
05-02 1276
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第方触及到用户的帐号信息(如用户名与密码),即第方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。oAuth是Open Authorization的简写。定义OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第方都可...
SpringBoot +oAuth2+JWT+Spring Security认证配置
qq_41860765的博客
03-05 1015
官网:https://jwt.io/这个过程就是无状态认证。令牌采用JWT格式即可解决上边的问题,用户认证通过后会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,无需每次都请求认证服务完成授权。拿到了jwt令牌下一步就要携带令牌去访问资源服务中的资源,项目各个微服务就是资源服务,比如:A服务,客户端申请到jwt令牌,携带jwt去B服务查询信息,此时B服务要对jwt进行校验,只有jwt合法才可以继续访问。
鉴权系统搭建(JWT)
偷得浮生半日闲
12-18 2901
1.JWT 1.0 为什么要学习JWT? 1.1.简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权限控制的标准解决方案! 官网:https://jwt.io GitHub上jwt的java客户端:https://github.com/jwtk/jjwt 1.2.数据格式 普通的token:32位...
Spring Cloud Gateway + Spring Security OAuth2 + JWT 实现统一认证授权和网关鉴权
有来技术
07-03 6524
本篇基于 Spring Cloud & Alibaba + OAuth2 微服务技术栈实现认证服务器认证授权和网关(代理资源服务器)统一鉴权的总结文档。
系统鉴权简述
m0_60585331的博客
08-06 1776
一、什么是系统鉴权 指验证用户是否拥有访问系统的权利。 鉴权分两方面: 服务端用户鉴权,从业务数据层面对客户端进行鉴权 网络鉴权,从网络层面对客户端进行鉴权 二、有哪些系统鉴权 1、session-cookie 2、token(auth) 3、OAuth(开放授权) 4、sign(签名鉴权) 、token鉴权流程 1、客户端使用用户名和密码请求登录 2、服务端收到请求,验证登录是否成功 3、验证成功后,服务端会返回一个Token给客户端,反之,返回身份验证失败的信息 4、客.
鉴权系统和改良
weixin_30394633的博客
12-13 107
到新公司报道一周了,实际工作时间四天。做的是即时通信产品的不良信息管控系统。即时通信家族里,最有名的应该时微信了吧。但微信里可能没有这个不良信息管控系统。大概因为微信没有这个义务吧。 什么时不良信息管控?举个栗子,如果微信有这个功能,你在朋友圈中发一张黄色图片,这张图片在朋友圈中呈现出来之前,它会先被发给服务器(集群),服务器会对这张图片进行鉴权,判断它是黑(非法)还是白(合法),如果合法,则放...
鉴权管理系统(JWT技术架构)——SpringBoot2+Vue2(一定惊喜满满,万字长文)
IT小辉同学
05-18 3153
愿梦想不被辜负,终将温柔回报!!!
深入理解Oauth与JWT网关鉴权系统认证技术
网关鉴权通常指的是在系统的入口处对请求进行身份验证和权限检查,确保只有合法的请求才能进入系统内部。在微服务架构中,API网关作为系统的大门,它的鉴权功能尤其重要。在基于 JWT 的系统中,网关可以被配置为验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值