oath2.0

最新推荐文章于 2023-04-25 22:08:05 发布
最新推荐文章于 2023-04-25 22:08:05 发布
阅读量1.2k 收藏
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beauty5188/article/details/80538591
版权

参考1 理解OAuth2.0 

https://www.cnblogs.com/taoshengyujiu/p/8556896.html

参考2 搞定OAth2.0

 

OAuth 2.0: Bearer Token Usage

Bearer Token (RFC 6750) 用于OAuth 2.0授权访问资源,任何Bearer持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密key。一个Bearer代表授权范围、有效期,以及其他授权事项;一个Bearer在存储和传输过程中应当防止泄露,需实现Transport Layer Security (TLS);一个Bearer有效期不能过长,过期后可用Refresh Token申请更新。

一. 资源请求

  Bearer实现资源请求有三种方式:Authorization Header、Form-Encoded Body Parameter、URI Query Parameter,这三种方式优先级依次递减

  • Authorization Header:该头部定义与Basic方案类似 
    GET /resource HTTP/1.1
Host: server.example.com
Authorization: Bearer mF_9.B5f-4.1JqM(Bearer+空格+token字符串)
  • Form-Encoded Body Parameter: 下面是用法实例 
    POST /resource HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded

access_token=mF_9.B5f-4.1JqM

    使用该方法发送Bearer须满足如下条件:

    1.头部必须包含"Content-Type: application/x-www-form-urlencoded"
2.entity-body必须遵循application/x-www-form-urlencoded编码(RFC 6749)
3.如果entity-body除了access_token之外,还包含其他参数,须以"&"分隔开
4.entity-body只包含ASCII字符
5.要使用request-body已经定义的请求方法,不能使用GET

    如果客户端无法使用Authorization请求头,才应该使用该方法发送Bearer

  • URI Query Parameter
    GET /resource?access_token=mF_9.B5f-4.1JqM HTTP/1.1
Host: server.example.com
Cache-Control: no-store

    服务端应在响应中使用 Cache-Control: private

 

哈尼熊熊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是OAuth2.0
s041109的博客
05-23 719
目录 前言 1.所以什么是OAuth2.0呢? 举例说明 2. OAuth2中的角色 3. 认证流程 前言 OAuth是Open Authorization的简写。 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。 同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。 1.所以什么是OAuth2.0呢? OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1
OAuth2.0授权码模式实战教程
最新发布
kkchenjj的博客
07-17 828
重定向用户至授权服务器:客户端应用将用户重定向到授权服务器的授权端点。用户授权:用户在授权服务器上登录并授权客户端应用访问其资源。授权码返回:授权服务器将用户重定向回客户端应用,并附带一个授权码。交换访问令牌:客户端应用使用授权码向授权服务器请求访问令牌。
oath2
weixin_34284188的博客
08-28 218
    最近在补架构师图谱里的内容,OAuth2.0是其中一块,抽空看了几个文章,理解了一下。     不过我感觉多数文章都不是很直观,花费了好久才理解其中的过程,以及为什么要这么设计,也许里面还有一些为什么没搞清楚。     于是我试着写出来,用更好的方式来理解OAuth2.0。 一、OAuth2.0是什么     我们经常用某些公众号,用一些论坛,有用QQ,微信登录什么的,需要你在QQ,微信的...
[认证授权] 1.OAuth2授权
weixin_33868027的博客
01-09 158
1 OAuth2解决什么问题的? 举个栗子先。小明在QQ空间积攒了多年的照片,想挑选一些照片来打印出来。然后小明在找到一家提供在线打印并且包邮的网站(我们叫它PP吧(Print Photo缩写
详解OAuth2.0
Joker_ZJN的博客
04-25 1971
一文聊明白OAuth2.0
oauth-wx:OAth2.0之微信登录授权
05-30
OAth2.0之微信登录授权 协议介绍 当你开始使用一个网站还是手机应用的时候, 那么第一步很有可能是从注册开始的, 从最初一丝不苟的填写一串表单注册,到使用短信验证码注册, 体验越来越好, 不过这个时候也会带来几个...
java-facebook-api-oauth2.0:此存储库包含使用Java中的oath2.0入门所需的所有必需项目文件。
03-09
在本文中,我们将深入探讨如何使用Java来与Facebook API进行集成,特别关注OAuth2.0认证过程。"java-facebook-api-oauth2.0"这个项目是专门为那些希望在Java应用程序中实现Facebook OAuth2.0授权的开发者准备的。让...
Ecom:电子商务网站后端API。 DDD(CQRS)与.NET Core和MongoDB以及OAth2.0一起用于身份验证授权
02-04
Ecom(电子商务后端) 问题陈述:(域:电子商务) 该网站应迎合已登录的客户用户。 产品目录模块: 应该可以对产品进行分类。每个产品都有以下字段: 标题b。 说明c。 图像d。 价钱 如果用户不进行特定搜索查询...
spring security oauth 2.0 例子
08-28
Spring Security OAuth 2.0 是一个强大的安全框架,用于保护基于Java和Spring的应用程序。它提供了全面的身份验证和授权服务,使得开发人员可以轻松地实现OAuth 2.0规范的安全功能。在这个例子中,我们将深入探讨...
如何基于spring security实现在线用户统计
08-19
Spring Security 在线用户统计实现详解 在本文中,我们将详细介绍如何基于 Spring Security 实现在线用户统计。在线用户统计是指在系统中实时统计当前活跃用户的数量,以便更好地监控和管理系统的使用情况。...
oauth2:基于OAuth2的授权认证系统
03-11
标题OAth2服务器 授权服务器 系统启动后会根据配置文件初始化admin用户,使用admin用户登录系统,在后台维护产品信息即需要授权访问的应用,新建产品信息后需要将应用所有对外暴露的接口地址和接口名称添加到对应的产品没有被添加的接口一般情况下不会被授权调用,可在资源提供方即提供接口调用的应用中通过配置过滤器来配置。 关于接口地址,统一使用相对于应用contextPath的uri,即不包含contextPath。如接口调用地址为http://127.0.0.1:8080/contextPath/api/foo ,则接口地址为/ api / foo。 对于具有PathVariable的地址,如/ api / foo / {id} / update,推荐尽量避免或改写成/ api / foo / update / {id},改写后接口地址填/ api / foo / update可,如不改写
Oath2简单入门
qq_42059426的博客
07-05 686
Oath2 基于Token(令牌)机制实现单点登录的技术解决方案 spring secuirty + CAS Oath2.0 +SpringSecurity + JWT 单点登录(Single Sign On): 用户只需要访问一次,就可以访问相互的系统,这种解决方案就是单点登录 角色 Resouce Owner 资源拥有者/用户本身 Authorization Server 认证服务器 ResouceServer 资源服务器 Client Oauth2授权模式 授权码模式
Oath2.0原理
wjh10086wjh的博客
12-28 218
token原理
OAuth2.0
xiao2431的专栏
10-01 659
如果互联网应用需要实现上面的授权场景,肯定有许多的实现方式。而OAuth2就是实现上述目标的一种规范,也就是具体实现的指导方案。OAuth(Open Authorization,开放授权)是为用户资源的授权定义了一个安全、开放及简单的标准,第三方无需知道用户的账号及密码,就可获取到用户的授权信息。OAuth2是用于REST/APIs的代理授权框架(delegated authorization framework)
oauth2
qq_41426326的博客
04-18 591
OAuth是一个开发标准,该标准可以允许用户提供第三方应用访问某一网站存储的私密资源(如:视频,照片,头像等) OAuth2中的几个基本角色: 资源所有者:资源所有者即用户,具有头像,照片,视频等资源 客户端:客户端即第三方应用,列如知乎,QQ等 授权服务器:授权服务器用来验证用户提供的信息是否正确,并返回一个令牌给第三方应用 资源服务器:资源服务器是提供给用户资源的服务器,列如头像,照...
OAuth2.0概述
热门推荐
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
OAuth2.0详解
zou8944的博客
12-23 3652
本文深入OAuth2.0协议,以及基于其上的OpenID Connect身份认证协议。前者解决授权第三方服务访问资源的问题;后者解决身份认证的问题。主要资料来源是官方协议手册:RFC6749、OpenID Connect Specification。 当然还有更多其它说的好的第三方资源,比如阮一峰这个,它的优点是只针对协议讲解,没有举那些无助于理解的复杂例子。 考虑到文章的长度,OpenID Connect移到下篇文章再说 OAuth2.0解决了授权的问题。在只有客户端和资源服务器的简单架构中,资源服
springboot oath2.0 sso demo
05-12
Spring Boot是一个快速开发的框架,Oauth 2.0是一种认证的协议,而SSO是单点登录的缩写。 Spring Boot Oauth2.0 SSO Demo是一个使用Spring Boot框架所开发的具有认证用户身份且实现单点登录的示例。该示例实现了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值