OAuth2.0 - 四种授权模式(2 - 简化模式 [implicit grant type])

最新推荐文章于 2021-03-20 02:52:11 发布
最新推荐文章于 2021-03-20 02:52:11 发布
阅读量1.8k 收藏
点赞数
文章标签: javascript c# ViewUI
原文链接:https://my.oschina.net/u/2401395/blog/2999798
版权

https://tools.ietf.org/html/rfc6749#section-4.2

4.2. Implicit Grant【简化模式】

不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了"授权码"这个步骤,因此得名。所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。

    The implicit grant type is used to obtain access tokens (it does not support the issuance of refresh tokens) and is optimized for public clients known to operate a particular redirection URI. These clients are typically implemented in a browser using a scripting language such as JavaScript. 【简化模式(implicit grant type)用于获取访问令牌(它不支持发行刷新令牌),并针对已知要操作特定重定向URI的公共客户端进行了优化。这些客户机通常使用脚本语言(如javascript)在浏览器中实现。】

Since this is a redirection-based flow, the client must be capable of interacting with the resource owner's user-agent (typically a web browser) and capable of receiving incoming requests (via redirection) from the authorization server. 【由于这是一个基于重定向的流程,客户端必须能够与用户的用户代理(通常是Web浏览器)进行交互,并且能够接收来自授权服务器传入的请求(通过重定向)。】

Unlike the authorization code grant type, in which the client makes separate requests for authorization and for an access token, the client receives the access token as the result of the authorization request.【不同于授权码(混合)模式,在该模式中,客户机将授权和访问令牌的请求分开,客户机接收的访问令牌是由授权请求产生的结果。】 

The implicit grant type does not include client authentication, and relies on the presence of the resource owner and the registration of the redirection URI. Because the access token is encoded into the redirection URI, it may be exposed to the resource owner and other applications residing on the same device. 【简化模式不包括客户端身份验证,它依赖于用户是否存在和重定向URI是否注册。因为访问令牌被硬编码到重定向URI中,所以它可能会暴露给用户和位于同一设备上的其他应用程序。】

 
     +----------+
     | Resource |
     |  Owner   |
     |          |
     +----------+
          ^
          |
         (B)
     +----|-----+          Client Identifier     +---------------+
     |         -+----(A)-- & Redirection URI --->|               |
     |  User-   |                                | Authorization |
     |  Agent  -|----(B)-- User authenticates -->|     Server    |
     |          |                                |               |
     |          |<---(C)--- Redirection URI ----<|               |
     |          |          with Access Token     +---------------+
     |          |            in Fragment
     |          |                                +---------------+
     |          |----(D)--- Redirection URI ---->|   Web-Hosted  |
     |          |          without Fragment      |     Client    |
     |          |                                |    Resource   |
     |     (F)  |<---(E)------- Script ---------<|               |
     |          |                                +---------------+
     
最低0.47元/天 解锁文章
cibi7188
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OAuth2.0系列四:OAuth2.0简化模式
青藤光年的博客
09-11 1952
简化模式 有些纯前端应用,必须将令牌储存在前端。那么可以使用简化模式(隐藏式)来申请授权,颁发令牌。 浏览器向授权服务器申请授权,并设置response_type=token,表示直接返回令牌 授权服务器通过校验后跳转到重定向地址并返回token 浏览器通过token去申请资源 这种方式把令牌直接传给前端是很不安全的。因此,只能用于一些安全要求不高的场景,并且令牌的有效期必须非常短,通...
OAuth2.0 - 简化模式、密码模式、客户端模式讲解
小毕超博客
01-16 9032
一、OAuth2.0 在上篇文章中我们已经对OAuth2.0 做了讲解,以及授权模式的认证过程,并且搭建了简单的认证服务和资源服务,由于上篇文章中我们只对授权模式这一种认证登录模式做了讲解,本篇文章对简化模式、密码模式、客户端模式这三种模式进行下演示和讲解,下面是上篇文章的地址: https://blog.csdn.net/qq_43692950/article/details/122521392 上篇文章的配制中,我们已经将所有的模式都放开给了c1这个客户id,所以在下面模式的演示中我们直接使用上
oauth2.0 php简化模式,OAuth2.0学习(1-5)授权方式2-简化模式implicit grant type
weixin_28929303的博客
03-20 342
授权方式2-简化模式(implicit grant type)简化模式(implicit grant type)不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了"授权码"这个步骤,因此得名。所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。它的步骤如下:(A)客户端将用户导向认证服务器。(B)用户决定是否给于客户端授权。(C)假设用户给予授权,认证服务器将用...
OAuth2.0实战案例(四)搭建认证服务,简化模式测试
一天不写代码难受的博客
10-16 300
之前的授权码的模式,系统A 要用授权码才可以拿到token。 现在变为简化模式了,简化模式的意思是: 现在就不需要授权码了,A系统直接就可以从B系统拿到token了。 现在在浏览器数据的地址就变为了 http://localhost:9001/oauth/authorize?response_type=token&client_id=one 现在变为了 response_type=token 就是告诉系统B ,我现在直接要token了,我们输入这个浏览器之后 返回的就是 https://www.b
spring中如何实现参数隐式传递_spring security实战 4-使用隐式模式(implicit grant type)保护资源...
weixin_28740299的博客
12-24 266
写在开篇本改编课程基于《OAuth 2.0 Cookbook_Protect Your Web Applications using Spring Security-Packt Publishing(2017)》。这本书侧重通过一个个精简的小例子来学习,如何使用spring security和oauth2.0来保护你的资源,。课程从第二章开始,在Chaptor2,我们将学习以下内容:本节为隐式模式...
jfinal-oauth2.0-server:jfinal-oauth2.0-server,参考http
04-29
实现了OAuth 2.0定义了四种授权方式授权模式(authorization code): 先获取下次请求token的code,然后在带着code去请求token;简化模式implicit):直接请求token;密码模式(resource owner password ...
jfinal-oauth2.0-server:jfinal-oauth2.0-服务器
05-24
实现了OAuth 2.0定义了四种授权方式 授权模式(authorization code): 先获取下次请求token的code,然后在带着code去请求token; 简化模式implicit):直接请求token; 密码模式(resource owner password ...
OAuth2.0-demo-nodejs:使用 express 应用程序展示 OAuth2.0 和 openID Connect 授权工作流程的示例演示应用程序
08-03
这是一个使用 Node.js 和 Express Framework 构建的sample应用程序,用于展示如何使用 Intuit 的 OAuth2.0 客户端库进行授权和身份验证。 安装 要求 >= 8.x。 帐户 通过 Github Repo(推荐) $ npm install 配置 ...
Oauth2.0-Example:使用 OAuth2 API 使用 Google 帐户进行用户身份验证
06-05
Oauth2.0-示例 配置 为了测试该项目,您应该连接到您的谷歌控制台: : 。 然后激活 OAuth2 API 并将相关值放在 OAuthProperties 类中的以下属性中: 客户编号 客户秘密 您还必须像这样将重定向 URL 设置为回调 ...
springcloud_oauth2.0-master.zip
12-19
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
OAuth2四种授权登录之简化模式、客户端模式获取TOKEN
GinChou的萌新博客
09-09 5234
学习地址: https://www.majiaxueyuan.com/uc/play/65 Oauth2.0的一些简单介绍: https://blog.csdn.net/qq_28198181/article/details/100523474 1.简化模式 授权类型implicit 放到了configure方法中 import org.springframework.c...
OAuth2.0 4种授权模式
yzqingqing的博客
10-13 4090
学习了杨波老师的《微服务安全架构和实践》关于Oauth2.0的知识,做了下简单的总结,具体内容在https://github.com/geektime-geekbang/oauth2lab 最安全的授权方式,适用于开放平台,客户端为不受信的第三方应用,最终客户端获取了token,用户是不知情的 1、用户 ——》客户端(第三方不受信应用) 2、客户端——〉授权服务器 请求授权(携带clien...
[转]OAuth 2.0 筆記 (4.2) Implicit Grant Flow 細節
CurrentJ
08-19 279
OAuth 2.0 筆記 (4.2) Implicit Grant Flow 細節 Sep 30, 2013 在 Implicit Grant Flow 裡,Authorization Server 直接向 Client 核發 Access Token ,而不像 Authorization Code Grant Flow ,先核發 Grant ,再另外去拿 Access Token。 A...
oauth2.0协议之Implicit grant模式解析
code人生
04-07 5126
implicit grand 模式又称client-side 模式,主要用在没有无法安全存储access token的使用场景。适用于所有无Server端配合的应用(由于应用往往位于一个User Agent里,如浏览器里面,因此这类应用在某些平台下又被称为Client-Side Application),如手机/桌面客户端程序、浏览器插件等,以及基于JavaScript等脚本客户端脚本语言实现的应
OAuth 2.0授权框架中文版 [4.1] - 授权模式
李浩好好学习
10-29 1266
OAuth 2.0授权框架中文版 [4.1] - 授权模式4.获取授权 - Obtaining Authorization4.1 授权模式 - Authorization Code Grant4.1.1 授权请求 - Authorization Request4.1.2 授权响应 - Authorization Response4.1.2.1 错误响应 - Error Response4.1.3 访问令牌请求 - Access Token Request 4.获取授权 - Obtaining Autho
Spring Security OAuth专题学习-授权模式简化模式实例
icarusliu的专栏
02-27 1768
本文是Spring Security OAuth2学习系列文章中的第四篇;主要讲解授权模式(AuthenticationCode)及简化模式(Implicit)的使用。 关于密码模式、客户端模式及Spring Security OAuth2的一些基础知识,请移步本博客文章清单进行查看。 1. 简介 授权模式主要使用在客户端与授权、资源服务器不在同一公司的情况;在这种场景下,客户端并不是可信的,...
Spring Security如何优雅的增加OAuth2协议授权模式
zlt2000的博客
09-02 1889
一、什么是OAuth2协议? OAuth 2.0 是一个关于授权的开放的网络协议,是目前最流行的授权机制。 数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。 由于授权的场景众多,OAuth 2.0 协议定义了获取令牌的四种授权方式,分别是: 授权模式授权模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的.
GitLab登录报错
thebigdipperbdx的博客
11-21 2048
错误描述 GitLab登录报错,或idea更新项目提示报错 Could not autenticate you from Ldapmain because “Invalid credentials”. 可能原因就是密码改了 输入正确的密码即可 ...
OAuth2.0详解(授权模式篇)
热门推荐
breakloop
08-23 2万+
OAuth2.0有五种授权模式。(1)授权模式(Authorization Code) (2)授权简化模式Implicit) (3)Pwd模式(Resource Owner Password Credentials) (4)Client模式(Client Credentials) (5)扩展模式(Extension)注:文中的client,可理解为浏览器或APP。但不论哪种模式,都是为
java oauth2.0 简化模式
最新发布
10-12
OAuth 2.0 简化模式Implicit Grant)是一种授权方式,适用于纯前端应用或移动端应用,它通过重定向方式将 Access Token 直接传递给客户端,省去了后端参与的过程。简化模式的流程如下: 1. 客户端将用户导向认证服务器的授权页面,授权页面要求用户输入用户名和密码。 2. 用户输入用户名和密码后,认证服务器验证用户身份,如果验证通过,就会重定向回客户端指定的回调地址,并在 URL 中包含 Access Token。 3. 客户端从 URL 中解析出 Access Token,并使用它来访问受保护的资源。 简化模式的优点是流程简单,适用于前后端分离的应用,但缺点是 Access Token 直接暴露在 URL 中,容易被窃取,因此只适用于安全性要求不高的场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值