Authorization Server、Resource Server and Wechat‘s Authorization Flow

已于 2022-09-26 18:17:51 修改
阅读量512 收藏
点赞数 1
分类专栏: OAuth2 文章标签: 微信 前端 服务器
于 2019-07-05 17:24:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xichenguan/article/details/94740801
版权

导读

如果外部IDP是符合 OAuth2、OpenId 或者 SAML 等标准协议的授权服务器的话,我们可以直接使用标准的方式对接外部IDP。但是由于微信提供的 Web 授权方式不完全符合 OAuth2 协议,小程序的方式更是没有标准协议对标,就没有办法按照标准的方式对接了,但是幸好 OAuth2 协议提供了 Password 的方式。

Authorization Flow

在这里插入图片描述

在这里插入图片描述

开发者服务器中存储的user password 和 client secret 是双向加密的

刷新token的话由开发者服务器作为代理刷新,前端传递 client_id 和 refresh token;这里有个疑问就是 client_id 和 refresh token 都在前端,那么恶意用户只要获取到了这两个值,那么就可以无限续杯了,这样会不会增加安全风险?我认为是不会的,因为 access token 同样存储在前端,恶意用户可以获取存储到前端的 client_id 和 refresh token ,同样也可以获取到一直有效的 access token。

Authorization Server 上用户信息的合并。假设同一个组织运营的多个公众号,没有绑定到了同一个开放平台上,这时对于一个用户来说,他针对每个公众号都有一个openid。这时,如果一个用户访问了公众号A的业务系统,在A的业务系统里面有一条用户记录,在 UAA 中创建了一个影子用户;然后此用户又访问了公众号 B 的业务系统,此时在B的业务系统里面有一条记录,在UAA中也创建了一个影子用户;这时,在UAA中针对此用户就存在了两条用户记录,不管怎样,这不是我们想要的结果。
这个问题的解决方案貌似就是特定事件时合并用户的信息,比如说用户在A公众号的业务系统中绑定了手机号,在B公众号的业务系统中绑定手机号时,系统就需要能够判断出这是一个人,要进行合并账号了;
由于在A业务系统和B业务系统中使用的都是自己系统中用户表的id或者当前业务的标识,所以如果合并账号之后,只需要修改A系统和B系统里用户表的uaa user的标识即可,所以 Authorization Sever 合并账号的行为在业务系统中成本极低;
在UAA中合并账号,主要牵扯到 users + userinfo 表的合并和group的合并;
如果有冲突的话,需要记录下来,并且在业务系统中引导用户再次确认使用冲突中的那一方的数据;
比如A系统对应的 UAA 中的影子用户和 B 系统对应的 UAA 中的影子用户都有 email ,并且不一样。那么这个冲突就需要记下俩,在A或者B的业务系统中,引导用户再次确认是使用哪个email。比如告诉用户部分信息过期;或者一个引导用户补充信息的活动,填写email,发送领虚拟币的链接;或者显眼位置展示冲突一方的数据,引导用户去修改,如果修改了,使用修改后的值,如果没有修改,那大概率就是当前显示的值,多次之后也可以将当前展示冲突的一方作为用户的最新信息,等等的策略。

上面合并用户的情况,很少会有组织遇到这种问题,大部分情况下,抽取数据,在另外一个离线系统中做用户画像,就足够了。
因为两个系统,基本上不太可能有业务重叠,没有必要在两个不同的业务系统中识别出跟另一个不相关的系统中的某个用户是同一个人。

往 UAA 里写入影子用户需要带 scim.write 或者 uaa.admin scope的 access_token

id,uaa_user_name,RSA(uaa_user_password),phoneNumber,additional_information
id,uaa_user_name,RSA(uaa_user_password),member_openid,unionid,additional_information
id,uaa_user_name,RSA(uaa_user_password),other_openid,unionid,additional_information
id,uaa_user_name,RSA(uaa_user_password),email,additional_information
id,app,client_id , RSA(client_secert)(这就相当于配置到sso应用上的clientid和clientsecret),其他信息,比如微信H5网页里的redirect url等;

陈振阳
关注
专栏目录
OAuth2.0与Node.js:简化应用程序的开发流程
程序员光剑
07-24 1838
作者:禅与计算机程序设计艺术 1.简介 OAuth(开放授权)是一个基于标准协议,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或让它把数据泄露到其他地方。虽然很多网站都提供了 OAuth 服务,但对于一般开发者来说,其实现起来却比较复杂。比如,要让
使用spring-cloud-security-oauth2来实现oauth serverresource server
02-28
使用spring-cloud-security-oauth2来实现oauth serverresource server,oauth Serverresource Server分开,resource Server实现了两种方式
Spring Security OAuth2.0 - AuthorizationServerResourceServer分离
weixin_30457065的博客
04-19 1946
《Spring Security实现OAuth2.0授权服务 - 基础版》和《Spring Security实现OAuth2.0授权服务 - 进阶版》两篇文章介绍如何搭建OAuth2.0授权服务器和资源服务器。 本文将继续优化,将授权服务器和资源服务器分离,部署在不同的服务器上面。 一、简要说明 Spring Security OAuth2.0既可以把授权服务器(Auth...
JWT 资源服务器Resource Server)与授权服务器Authorization Server)登录注册通过谁来实现
weixin_43404791的博客
04-26 936
我刚开始的时候是吧登录注册的接口放在需要的服务之上,后来发现每次都要写服务登录注册这个模块,放到了授权服务器之上,不过这样会造成注册信息单一,现在我觉得得把他迁移回固定的资源服务器. ...
oauth2.0 高性能服务器,2019-07-14,周日,实例2:改进版的OAuth2.0Server实例之认证服务器authorization-server记录...
weixin_39755890的博客
08-05 327
改进目标初步定为:(1)在数据库保存安全认证数据,包括用户、客户端、验证码和令牌等。(2)将认证服务器和资源服务器拆分。其实这也是基于之前下载的开源代码。向源码作者致敬。本实例分为下面2个项目:(1)authorization-server——认证服务器。(2)resource-server——对外提供接口的资源服务,也就是被保护的对象。1.认证服务器authorization-server这里...
Spring Security 0auth2 认证服务器和资源服务器实现
MrLee的博客
02-07 2095
【代码】Spring Security 0auth2 认证服务器和资源服务器实现。
Spring Cloud Data Flow整合UAA使用外置数据库和API接口
南瓜慢说
06-21 711
我最新最全的文章都在 南瓜慢说 www.pkslow.com ,欢迎大家来喝茶! 1 前言 之前的文章《Spring Cloud Data Flow整合Cloudfoundry UAA服务做权限控制》介绍了如何用UAA来保护Spring Cloud Data Flow,但使用是内存数据库,重启UAA后就丢失了配置信息。而且需要通过Ruby gem安装uaac命令行工具,有点麻烦,比较不是所有人都会使用Ruby的。 本文将解决这两个问题,问题一通过引入PostgreSQL来解决;问题二通过UAA REST.
使用aggregation API扩展你的kubernetes API
虚幻私塾
06-23 428
Kubernetes apiserver aggregation AA 是Kubernetes提供的一种扩展API的方法,目前并没有GA众所周知,kubernetes扩展API的方法大概为三种:CRD、AA、手动扩展源码。根据CNCF分享Min Kim说的AA更关注于实践,而用户无需了解底层的原理,这里使用过 , 的用户是很能体会到这点。官方也给出了CRD与AA的区别要想很好的使用AA,就需要对kubernetes与 AA 之间认证机制进行有一定的了解,这里涉及到一些概念在下面的说明,所有出现的API
通过Keycloak API理解OAuth2与OpenID Connect
锐意工作室
01-16 1万+
文章目录通过Keycloak API理解OAuth2与OpenID Connect前言OAuth2 介绍OAuth2核心概念OAuth2 核心数据JWTOAuth2 flowAuthorization Code Flow安装和运行Keycloak配置Keycloak访问Keycloak新增Realm新增Client新增Role新增UserKeycloak配置列表测试调用Keycloak的APIKeycloak endpoints用Postman测试访问Keycloak endpoints获取Authoriz
【进度1】小程序上传文件到腾讯云COS存储桶
weixin_46070649的博客
02-04 610
小程序大文件上传解决方案
【图文详解】搭建 Spring Authorization Server + Resource + Client 完整Demo
土味儿
05-19 1万+
一个完整的Demo,有认证端,有资源端,有客户端;采用当前最新的技术。 非常感谢 码农小胖哥,仔细研读了他的很多文章。本项目的很多逻辑和代码都源自于他。如果想深入学习OAuth2,强烈建议关注胖哥。 1、项目概述 1.1、概述 Server + Resource + Client 功能完善: 授权Server: 进行认证、授权,并发放token、刷新token,不负责token鉴权(由资源服务器自行鉴权); 资源服务器Resource:提供资源,需要携带token请求,可以自行鉴权; 客.
authorization server && client && resource 使用2
我的技术博客
12-09 783
authorization server && client && resource 使用1 默认的示例就是使用的jwt 生成token(用于),当然这里和我们用户登录的token是有区别的我们授权服务器端支持授权码模式(用户需要登录)和客户端默认(和用户无关)步骤生成1、OAuth2ClientAuthenticationFilter 对clientid 和clientsecret做一些验证,和jwt无关2、然后不管是哪种模式在上一步验证通过后会进入OAuth2TokenEndpointFilter
【oauth2 客户端模式】Spring Authorization Server + Resource + Client 资源服务间的相互访问
土味儿
05-20 4954
1、概述 上一节介绍了项目的搭建,并实现了授权码模式的访问。在上一节的基础上,再来实现客户端模式。【图文详解】搭建 Spring Authorization Server + Resource + Client 完整Demo 用户通过客户端访问资源是 授权码模式 微服务(资源)间的访问是 客户端模式;客户端模式下,只需要提供注册客户端的ID和密钥,就可以向授权服务器申请令牌,授权服务器核实ID和密钥后,会直接发放令牌,无须再认证/授权,特别适合项目内部模块间的调用。 2、授权服务器注册新客户端
Spring Security OAuth2之resource_id配置与验证
字母哥博客
07-28 8180
一、resource_id的作用 Spring Security OAuth2 架构上分为Authorization Server认证服务器Resource Server资源服务器。我们可以为每一个Resource Server(一个微服务实例)设置一个resourceid。Authorization Server给client第三方客户端授权的时候,可以设置这个client可以访问哪一些Resource Server资源服务,如果没设置,就是对所有的Resource Server都有访问权限。
(一)学习spring-cloud:2021之spring-authorization-server
qq_37182370的博客
05-27 1万+
1. 前言 1.1为什么使用spring-authorization-server? 真实原因:原先是因为个人原因,需要研究新版鉴权服务,看到了spring-authorization-server,使用过程,想着能不能整合新版本cloud,因此此处先以springboot搭建spring-authorization-server,后续再替换为springcloud。 官方原因:原先使用Spring Security OAuth,而该项目已经逐渐被淘汰,虽然网上.............
java oauth server_Spring OAuth2 ResourceServer外部AuthorizationServer
weixin_35792271的博客
02-24 316
如何设置单独的Spring OAuth2 ResourceServer,它使用和第三方AuthorizationServer我看到的所有示例都始终在同一个应用程序实现ResourceServerAuthorizationServer .我不想实现AuthorizationServer,因为其他人会提供这个 .试过没有运气@Configuration@EnableResourceServerpu...
用HttpPost登陆验证时,用户名和密码放在请求头部header的处理方法,形式为Authorization: username password。
热门推荐
u013136708的专栏
11-17 9万+
 post.setHeader("Authorization", "your token"); 这里主要是要
使用OAuth打造webapi认证服务供自己的客户端使用
weixin_34060299的博客
10-28 815
一、什么是OAuth OAuth是一个关于授权(Authorization)的开放网络标准,目前的版本是2.0版。注意是Authorization(授权),而不是Authentication(认证)。用来做Authentication(认证)的标准叫做openid connect,我们将在以后的文章进行介绍。 二、名词定义 理解OAuth的专业术语能够帮助你理解其流程模式,OAuth常用的名...
从0到1带大家搭建spring cloud alibaba 微服务大型应用框架(三) (mini-cloud) 搭建认证服务(认证/资源分离版) oauth2.0 (下)-代码重构篇
峡谷电光马仔的博客
02-22 1126
这样做有两个目的, 一 是不像让重构代码扰乱我们之前的开发流程 二是需要单独保留重构篇,让大家确确实实的参与到一个框架从无到有,从烦乱到精炼的过程
oauth2 authorization server redis
最新发布
08-08
用户在一个服务(如 Google 或 Facebook)上登录并授权一个应用访问其数据时,OAuth 服务器Authorization Server)负责处理这个权限请求。它会验证用户的凭据,并决定是否授予应用程序临时访问令牌。 Redis, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陈振阳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值