OAuth2认证流程

最新推荐文章于 2023-04-24 07:33:13 发布
最新推荐文章于 2023-04-24 07:33:13 发布
阅读量228 收藏
点赞数
分类专栏: PHP编程 设计模式 备忘录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baobaoguaiguai/article/details/84267918
版权

用Oauth2.0做认证也有一段时间了,但是总会忘记,整理一下,备忘吧

 

用户在第三方应用上点击登录,第三方应用通过浏览器跳转,将用户导向认证服务器,同时向服务器传送三个必须的参数:

 

  • client_id:必须参数,注册应用时获得的API Key。
  • response_type:必须参数,此值一般固定为“code”。
  • redirect_uri:必须参数,授权后要回调的URI,即认证成功后的回跳地址

 

此时服务器会在session中检测当前用户是否登录

 

  1. 如果已经登录,则检查用户是否对该应用授权

  •   如果已经授权,直接通过浏览器跳转,重新定向到第三方应用的回调地址上,同时会传递一个code给第三方应用
  1. 如果未登录,跳转到认证中心的登录界面,让用户登录,写相应的session,并保存sessionID,登录完成后再检查授权情况
  • 如果未授权,跳转到授权页面,询问用户是否授权,授权完成后, 重新定向到第三方应用的回调地址上,同时会传递一个code给第三方应用

 

 

第三方应用接收到code之后(通过get方式从url中获取),需要拿这个code向认证服务器换取access_token:

 

一般会通过post方式向认证服务器发送一下信息

 

  • grant_type:必须参数,此值为“authorization_code”;
  • code:必须参数,通过上面第一步所获得的Authorization Code;
  • client_id:必须参数,应用的API Key;
  • client_secret:必须参数,'应用的Secret Key;
  • redirect_uri:必须参数,该值必须与获取Authorization Code时传递的“redirect_uri”保持一致

认证服务会使用以上几个参数通过一定算法,生成三个参数

 

  • access_token 访问api时用的token
  • refresh_token 更新access_token时使用,不一定是必须,看认证服务设置情况而定
  • exprise_in ,access_token的过期时间

认证服务器会将上面三个参数返回给第三方应用

第三方应用得到 access_token之后,缓存下来,在调用api的时候在url中附上access_token

认证服务器检查这个access_token是否存在,是否过期,和当前session用户是否匹配,以确认能否允许第三方应用调用该接口

------------------------->以上为通用的web  server oauth认证流程,还有两种方式user-agent方式和password方式,password方式一般通过https直接向认证服务器请求access_token,通过post方式向认证服务器发送一下信息

 

 

  • grant_type:必须参数,此值为“password”;
  • username:必须参数,用户名;
  • password: 必须参数,密码;
  • client_id:必须参数,应用的API Key;
  • client_secret:必须参数,'应用的Secret Key;
  • redirect_uri:必须参数,回调通知地址。

认证服务器获得上述信息后,验证用户名,密码,生成access_token,refresh_token,exprise_in三个参数,直接返回给第三方应用

user-agent和websever方式差不多,只是没有code生成过程,在用户登录授权后直接返回access_token

子君X
关注
专栏目录
OAuth2协议认证流程
weixin_49071539的博客
11-23 818
OAuth 授权所需信息 1.应用名称 2.应用网站 3.重定向URI或回调URL(redirect_uri) 4.客户端标识client_id 5.客户端密钥client_secret 点击授权--------->地址栏信息: https://abcdefg.com/abcd123/12432154321?client_id=15342534dfgtwa&redirect_url=https:1243324fdqwrdf&response_type=code&state=1
OAuth2认证流程简洁说明
陈小峰(iefreer)的专栏
01-06 6175
OAuth2认证协议涉及3方(应用、用户和服务方),加之流程较为繁琐,实现命名不尽相同,容易忘记和混淆,简述认证流程如下(以新浪微博为例),以便于记忆:1、向使用OAuth2认证的服务方申请应用,获取应用的consumer_key(应用唯一标识)和consumer_secret(应用私钥)2、使用key/secret向服务方请求用户授权Token(code也就是authorization_code
Oauth2 认证流程
无悔克难
05-07 6061
OAuth2.0是从2006年开始设计OAuth协议的下一个版本,OAuth2.0同时提供Web,桌面和移动应用程序的支持,并较1.0相比整个授权验证流程更简单更安全。也是新浪微博开放平台未来最主要的用户身份验证和授权方式。 基本流程 基本流程 1. 引导需要授权的用户到如下地址: https://api.weibo.com/oauth2/authorize?client_id
oauth2认证流程
最新发布
09-07
OAuth2认证流程包括以下几个步骤: 1. 用户向客户端提供授权:用户通过向客户端提供用户名和密码等凭证,请求获取访问资源的权限。 2. 客户端请求授权:客户端将用户提供的凭证发送给认证服务器,请求获取访问资源...
SpringSecurity和OAuth2认证授权流程
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
04-24 3010
1、SpringSecurity认证授权流程 1.1、SpringSecurity认证流程 1.2、SpringSecurity授权流程 2、SpringSecurityOAuth2认证授权流程 2.1、SpringSecurityOAuth2认证流程 2.2、刷新token(refresh_token)的流程 2.3、SpringSecurityOAuth2授权流程
OAuth2 授权流程
07-23
在实际开发中,实现OAuth2认证流程时还应当参考RFC 6749和RFC 6750等文档,以确保符合业界标准。另外,随着互联网技术的演进,OAuth2也可能会有新的变种或扩展,开发者需要关注最新的规范文档和技术动态。
OAuth2 认证流程
dream8062的专栏
04-13 1380
OAuth2.0协议定义了用于获得授权的四种主要授权类型。 Authorization code 标准的Server授权模式,非常适合Server端的Web应用。一旦资源的拥有者授权访问他们的数据之后,他们将会被重定向到Web应用并在URL的查询参数中附带一个授权码(code)。在客户端里,该code用于请求访问令牌(access_token)。并且该令牌交换的过程是两个服务端之前完成
Web - OAuth2 认证流程
04-21 1556
令牌与密码的区别 令牌(token)与密码(password)的作用是一样的,都可以进入系统,但是主要有以下几点区别: 令牌 密码 有效时长 令牌到期自动失效 用户不修改就长期有效 谁可撤销 数据所有者撤销即失效 一般不允许他人撤销 权限范围 令牌具有权限范围,可限制操作 一般为完整权限 注:只要知道了令牌,就能进入系统。系统一般不会再次确认身份,所以令牌必须保密,泄漏令牌与泄漏密码的后果是一样的。 这也是为什么令牌的有效期,一般都设置得很短的原因。 认证流程 (A)用户打
Network 【OAuth 认证流程详解】
CoderZYWang
02-19 1194
很多网站、APP 弱化甚至没有搭建自己的账号体系,而是直接使用社会化登录的方式,这样不仅免去了用户注册账号的麻烦、还可以获取用户的好友关系来增强自身的社交功能。 比如我们可以使用微博登录简书,简书会自动将你的微博头像设置为你的简书头像,将你的微博昵称设置为你的简书昵称,甚至还可以获取你微博中的好友列表,提示你哪些朋友已经在使用简书,这是如何做到的呢?
OAuth2.0的认证流程
Mr_g_j的博客
08-05 593
OAuth2.0的认证流程   在OAuth2.0的处理流程,主要分为以下四个步骤:   1)得到授权码code   2)获取access token   3)通过access token,获取OpenID   4)通过access token及OpenID调用API,获取用户授权信息   上面是流程的大概四个步骤,在下面的流程示意图中会得到体现,这是我制作的一
Oauth 2.0 认证流程
xinjiatao的专栏
01-09 277
    OAuth的思路: (A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获取资源。 (F)资源服务器确认令牌无误,同意向客户端开放资源。     OAuth认证   OAu...
Spring Security Oauth2 认证流程
ppangxiao的博客
08-03 1468
本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。
安全系列之OAuth2的认证流程
qq_38377525的博客
02-11 5479
OAuth2的认证流程
OAuth2认证授权流程解析
lixiang987654321的专栏
08-02 4692
oAuth2授权服务4中认证授权模式流程及代码跟踪与解析》 在阅读该文章前,需要对oAuth2的使用有一定的了解才能更好的阅读代码和理解对应流程 一、介绍 其实,关于系统认证授权的开源组件有很多,包括Shiro、Security和OAuth2等,这些组件各自有各自的优点,shiro配置比较简单,而OAuth2配置和实现相对而言就比较复杂一些,但是功能更强大,此处,我只讲解OAuth2相关技术,关于OAuth2的使用,我在csdn上已经写过几篇文章,大致已经将所有的流程说的比较明白,但是一直没有出一片比
微服务 oauth2_微服务统一认证OAuth2 的认证流程
weixin_42514921的博客
01-16 744
随着微服务的兴起,OAuth2也火了起来,由于其自身的优势,俨然已成为微服务API服务接口安全防护的首选。啥是 OAuth2OAuth2(Open Authorization,开放授权)是OAuth的升级版本。OAuth 是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。OAuth允许用户提供一个令牌给第三...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值