OAuth2.0原理和理解

最新推荐文章于 2024-05-15 03:25:41 发布
最新推荐文章于 2024-05-15 03:25:41 发布
阅读量640 收藏 1
点赞数 1
分类专栏: javaweb 文章标签: auth2.0 安全

1. oauth简述

oauth本身不是技术,而是一项资源授权协议,重点是协议!Apache基金会提供了针对Java的oauth封装。我们做Java web项目想要实现oauth协议进行资源授权访问,直接使用该封装就可以。

2. 概述

2.1 官方文档简介

1.需要第三方应用存储资源所有者的凭据,以供将来使用,通常是明文密码。
2.需要服务器支持密码身份认证,尽管密码认证天生就有安全缺陷。
3.第三方应用获得的资源所有者的受保护资源的访问权限过于宽泛,从而导致资源所
  有者失去对资源使用时限或使用范围的控制。
4.资源所有者不能仅撤销某个第三方的访问权限而不影响其它,并且,资源所有者只有
  通过改变第三方的密码,才能单独撤销这第三方的访问权限。
5.与任何第三方应用的让步导致对终端用户的密码及该密码所保护的所有数据的让步

2.2 概括

用于第三方在用户授权下调取平台对外开放接口获取用户相关信息

2.3 理解

1. 第三方应用请求访问受保护资源时,资源服务器在获准资源用户授权后,会向第三方
    应用颁发一个访问令牌(AccessToken)
2. 该访问令牌包含资源用户的授权访问范围、授权有效期等关键属性
3. 第三方应用在后续资源访问过程中需要一直持有该令牌,直到用户主动结束该次授权或者令牌自动过期

 3. OAuth角色

3.1 资源拥有者(resource owner)

       资源拥有者(resource owner)能授权访问受保护资源的一个实体,即终端用户;如新浪微博用户zhangsan

3.2 资源服务器(resource server)

       存储受保护资源,客户端通过access token请求资源,资源服务器响应受保护资源给客户端;存储着用户zhangsan的微博等信息

3.3 授权服务器(authorization server)

        成功验证资源拥有者并获取授权后,授权服务器颁发授权令牌(Access Token)给客户端

3.4 客户端

1. 如新浪微博客户端weico、微格等第三方应用,也可以是它自己的官方应用;

2. 其本身不存储资源,而是资源拥有者授权通过后,使用它的授权(授权令牌)访问受保护资源,然后客户端把相应的数据展示出来/提交到服务器。

3. 访问过程,下图及其描述

 1.请求授权: 客户端请求授权==》授权请求可以直接发给资源拥有者,或间接的通过授权服务器这种中介,后者更可取

在客户端web项目中构造一个oauth的客户端请求对象(OAuthClientRequest),
在此对象中携带客户端信息(clientId、accessTokenUrl、response_type、redirectUrl),
将此信息放入http请求中,重定向到服务端

2. 获得授权许可:  客户端收到一个授权许可,代表资源服务器提供的授权

在服务端web项目中接受第一步传过来的request,从中获取客户端信息,可以自行验证信息的可靠性。
同时构造一个oauth的code授权许可对象(OAuthAuthorizationResponseBuilder),
并在其中设置授权码code,将此对象传回客户端

3.授权许可验证: 客户端使用它自己的私有证书及授权许可到授权服务器验证

a. 在客户端web项目中接受第二步的请求request,从中获得code。
b. 同时构造一个oauth的客户端请求对象(OAuthClientRequest),
   此对象携带客户端信息(clientId、accessTokenUrl、clientSecret、GrantType、redirectUrl),
   还要携带接受到的code。
c. 再构造一个客户端请求工具对象(oAuthClient),这个工具封装了httpclient,
   用此对象将这些信息以post(一定要设置成post)的方式请求到服务端,
   目的是为了让服务端返回资源访问令牌

 4.返回访问令牌: 如果验证成功,则下发一个访问令牌

a. 服务端接受第三步传过来的request,从中获取客户端信息和code,并进行验证。
b. 再按照需求生成访问令牌(accessToken),
   同时构造一个oauth响应对象(OAuthASResponse),
   携带生成的访问指令(accesstoken),
   返回给第三步中客户端的oAuthClient。oAuthClient接受响应之后获取accessToken

 5. 请求资源:客户端使用访问令牌向资源服务器请求受保护资源

a. 此时客户端中已经拥有从服务端返回过来的accessToken,
b. 客户端构造一个服务端资源请求对象(OAuthBearerClientRequest),
c. 在此对象中设置服务端资源请求URI,并携带上accessToken。
d. 再构造一个客户端请求工具对象(oAuthClient),用此对象去服务端靠accesstoken换取资源

6. 验证并返回资源:资源服务器会验证访问令牌的有效性,如果成功则下发受保护资源

 服务端接受第五步传过来的request,从中获取accesstoken并进行验证。
 验证通过之后就可以将客户端请求的资源返回给客户端了

4.OAuth2.0授权模式

授权码模式(Authorization Code)==》(正统方式)(支持refresh token)

授权码简化模式(Implicit)========》(为web浏览器设计)(不支持refresh token)

Pwd模式(Resource Owner Password Credentials)==》(基本不用)(支持refresh token)

Client模式(Client Credentials)==》 (为后台api调用设计)(不支持refresh token)

扩展模式(Extension)=========》(自定义模式)

4.1 授权码模式(Authorization Code)

(1) 简单概括,就是用于第三方在用户授权下调取平台对外开放接口获取用户相关信息。

       有三个关键字:第三方,用户,平台,关系如下图。

(2) 授权的部分,要比上图展示的复杂一丢丢,下面来讲解一下授权的部分

        首先,有个问题,就拿微博平台来说吧,不能说随便一个第三方过来要求申请用户资源,微博平台就去用户那问一句是否授予权限吧,微博大哥能这么随便?所以第三方需要去想要请求的接口所在平台去报备一下,也就是告诉平台:我的xxx地址想要申请使用你的接口,可以吗?等平台审核通过之后,会下发一组appid+appkey,第三方持凭此就有资格去请求该平台的接口了。
         第三方的准备工作做好了,下面就是具体运作流程了。(各大平台大多使用授权码模式——Authorization Code,因为它相比其它几种模式更为严谨,这里我仅分析一下该模式的原理)

这里我们假设一个场景,就是想用‘云打印’来打印自己‘微博的关注列表’。  简图如下:

         在第②,④,⑥,⑧步中,分别用到了云打印在微博平台上获得的appid+appkey。关于每一步请求所需要的一系列参数这里就不一一列举了,官方文档非常详细,这里仅说明一下请求code和请求access token时重要的参数。

第④步参数:

                      response_type:指授权类型,必选,这里填固定值‘code’

                      client_id:指客户端id,必选,这里填在平台报备时获取的appid

                      redirect_uri:指重定向URI,可选

                      scope:指申请的权限范围,可选

                      state:指客户端当前状态,可选,若填了,则认证服务器会原样返回该值

第⑥步参数:

                      grant_type:指使用哪种授权模式,必选,这里填固定值‘authorization_code’

                      code:指从第⑤步获取的code,必选

                      redirect_uri:指重定向URI,必选,这个值需要和第④步中的redirect_uri保持一致

                      client_id:指客户端id,必选,这里填在平台报备时获取的appid

                      client_secret:指客户端密钥,必选,这里填在平台报备时获取的appkey


 第⑧步参数:

                      access_token:指访问令牌,必选,这里填第⑦步获取的access_token

                      token_type:指令牌类型,必选,大小写不敏感,bearer类型 / mac类型

                      expires_in:指过期时间,单位秒,当其他地方已设置过期时间,此处可省略该参数

                      refresh_token:指更新令牌,可选,用即将过期token换取新token

                      scope:指权限范围,可选,第④步中若已申请过某权限,此处可省略该参数

到这里,OAuth2.0 授权码模式的认证过程就完成了,原理还算比较简单,就是较为繁琐,但是不算难。

注意:1.code时效较短,多为10s-10min,每次获得的code仅可使用一次,且code与client_id和redirect_uri有 一一对应关系。

          2.access token 有过期时间,多为10-15天。(过期处理有2种,请求用户重新授权/refreshToken,一般多用重新授权。)

          3.在请求时,参数中包含重定向地址的,需要和第三方在授权方平台报备时留的地址前部一致

          4.关于token_type的两种类型有什么区别,有个博客写的很详细,推荐阅读:www.cnblogs.com/XiongMaoMengNan/p/6785155.html

此处奉上找了好久才找到的OAuth2 RFC6749中文翻译:http://colobu.com/2017/04/28/oauth2-rfc6749/
此文借鉴张胜楠的原文:https://blog.csdn.net/tclzsn7456/article/details/79550249 

4.2 授权码简化模式(Implicit)

授权访问:

http://localhost:8080 /oauth2/oauth/authorize?response_type=token&client_id=testid&redirect_uri=http://localhost/OAuth&scope=read

之后接受访问,该页面将被重定向到重定向URI并带有令牌:
http://localhost/OAuth/#access_token=KCIS89HFUE7SGE62&token_type=bearer&expires_in=3600
4.3 Pwd模式(Resource Owner Password Credentials)

请求格式:

POST -D "&grant_type=password&username=babala&password=kkk1234&scope=read,write" 

http://localhost/oauth/token

服务器返回来的访问令牌:
             {
              "access_token":"9cd23bef-ae56-46b0-82f5-b9a8f78da569",
              "token_type" : "bearer" ,
              "expires_in" : 43199 ,
              "scope" : "read"
            }
4.4 Client模式(Client Credentials)

请求格式:
POST   -D  "&client_id=appid&grant_type=client_credentials&client_secret=appkey"  

http://localhost/OAuth/token

服务器返回来的访问令牌:
            {
              "access_token":"4e56e9ec-2f8e-46b4-88b1-5d06847909ad", 
              "token_type": "bearer” ,
              "refresh_token":"7e14c979-7039-49d0-9c5d-854efe7f5b38",
              "expires_in": 36133 ,
              "scope": "read,write"
            }

5. 代码

客户端:

一、pom依赖:

<dependency>  
    <groupId>org.apache.oltu.oauth2</groupId>  
    <artifactId>org.apache.oltu.oauth2.client</artifactId>  
<version>0.31</version>  

 二、controller方法:

2.1 向服务端请求授权码code的controller方法:

@RequestMapping("/server")
@Controller
public class ServerController{

   String clientId = null;
   String clientSecret = null;
   String accessTokenUrl = null;
   String userInfoUrl = null;
   String redirectUrl = null;
   String response_type = null;
   String code= null;
   
   //提交申请code的请求
   @RequestMapping("/requestServerCode")
   public String requestServerFirst(HttpServletRequestrequest, HttpServletResponseresponse, RedirectAttributesattr) throws OAuthProblemException{

      clientId = "clientId";
      clientSecret = "clientSecret";
      accessTokenUrl = "responseCode";
      redirectUrl = "http://localhost:8081/oauthclient01/server/callbackCode";
      response_type = "code";
      
      OAuthClient oAuthClient =new OAuthClient(new URLConnectionClient());

      String requestUrl = null;
      try {
// 构建oauthd的请求。
// 设置请求服务地址(accessTokenUrl)、clientId、response_type、redirectUrl
      OAuthClientRequest accessTokenRequest = OAuthClientRequest
                .authorizationLocation(accessTokenUrl)
                .setResponseType(response_type)
                .setClientId(clientId)
                .setRedirectURI(redirectUrl)
                .buildQueryMessage();

        requestUrl = accessTokenRequest.getLocationUri();
        System.out.println(requestUrl);
      } catch (OAuthSystemExceptione) {
        e.printStackTrace();
      }
      return "redirect:http://localhost:8082/oauthserver/"+requestUrl ;
   }

此段代码对应开发步骤1.其中accessTokenUrl是服务端返回code的controller方法映射地址。redirectUrl是告诉服务端,code要传回客户端的一个controller方法,该方法的映射地址就是redirectUrl。

2.2 向服务端请求资源访问令牌access token的controller方法:

//接受客户端返回的code,提交申请access token的请求
@RequestMapping("/callbackCode")
public Object toLogin(HttpServletRequestrequest)throws OAuthProblemException{
   System.out.println("-----------客户端/callbackCode--------------------------------------------------------------------------------");
   clientId = "clientId";
   clientSecret = "clientSecret";
   accessTokenUrl="http://localhost:8082/oauthserver/responseAccessToken";
    userInfoUrl = "userInfoUrl";
    redirectUrl = "http://localhost:8081/oauthclient01/server/accessToken";
    HttpServletRequest httpRequest = (HttpServletRequest)request;
    code = httpRequest.getParameter("code");
    System.out.println(code);
    OAuthClient oAuthClient =new OAuthClient(new URLConnectionClient());

    try {
     OAuthClientRequest accessTokenRequest = OAuthClientRequest
           .tokenLocation(accessTokenUrl)
             .setGrantType(GrantType.AUTHORIZATION_CODE)
             .setClientId(clientId)
             .setClientSecret(clientSecret)
             .setCode(code)
             .setRedirectURI(redirectUrl)
             .buildQueryMessage();

     //去服务端请求access token,并返回响应
     OAuthAccessTokenResponse oAuthResponse =oAuthClient.accessToken(accessTokenRequest, OAuth.HttpMethod.POST);
     //获取服务端返回过来的access token
     String accessToken = oAuthResponse.getAccessToken();

     //查看access token是否过期
     Long expiresIn =oAuthResponse.getExpiresIn();
     System.out.println("客户端/callbackCode方法的token:::"+accessToken);
     System.out.println("-----------客户端/callbackCode-----------");
     return"redirect:http://localhost:8081/oauthclient01/server/accessToken?accessToken="+accessToken;
   } catch (OAuthSystemExceptione) {
     e.printStackTrace();
   }
    return null;
}

此方法对应开发步骤3的全部和步骤4的一半,也就是还包括接受服务端返回的access token。最后的redirect地址不是服务端的地址,只是将此token传进客户端的另一个方法,该方法就是最后的资源请求方法。 

2.3 利用服务端给的token去请求服务端的资源的controller方法。这里的资源就是服务端数据库中的数据。

//接受服务端传回来的access token,由此token去请求服务端的资源(用户信息等)
@RequestMapping("/accessToken")
public ModelAndView accessToken(StringaccessToken) {
   System.out.println("---------客户端/accessToken--------------------------");
   userInfoUrl = "http://localhost:8082/oauthserver/userInfo";
   System.out.println("accessToken");

   OAuthClient oAuthClient =new OAuthClient(new URLConnectionClient());
   try {
        OAuthClientRequest userInfoRequest =new OAuthBearerClientRequest(userInfoUrl)
        .setAccessToken(accessToken).buildQueryMessage();
        OAuthResourceResponse resourceResponse =oAuthClient.resource(userInfoRequest, OAuth.HttpMethod.GET, OAuthResourceResponse.class);
        String username = resourceResponse.getBody();
        System.out.println(username);
        ModelAndView modelAndView =new ModelAndView("usernamePage");
        modelAndView.addObject("username",username);
        System.out.println("---------客户端/accessToken--------------------------");
        returnmodelAndView;
   } catch (OAuthSystemExceptione) {
     e.printStackTrace();
   } catch (OAuthProblemExceptione) {
     e.printStackTrace();
   }
   System.out.println("---------客户端/accessToken------------------");
   return null;
}

此方法对应开发步骤5的全部和步骤6的一半,也就是还包括接受服务端返回的资源信息。获取了资源信息之后,其余的开发就和平时的springmvc一毛一样了。

以上三个方法我全部封装在同一个ServerController类中。

服务端

pom依赖

<dependency>  
    <groupId>org.apache.oltu.oauth2</groupId>  
    <artifactId>org.apache.oltu.oauth2.authzserver</artifactId>  
    <version>0.31</version>  
</dependency>  
<dependency>  
    <groupId>org.apache.oltu.oauth2</groupId>  
    <artifactId>org.apache.oltu.oauth2.resourceserver</artifactId>  
    <version>0.31</version>  
</dependency> 

 controller方法

向客户端返回授权码code的controller方法

@Controller
public class AuthorizeController{
   @Autowired
   private UserServiceuserService;

   //向客户端返回授权许可码 code
   @RequestMapping("/responseCode")
   public Object toShowUser(Modelmodel,  HttpServletRequestrequest){
      System.out.println("----------服务端/responseCode---------------------------");

         try {
         //构建OAuth授权请求 
             OAuthAuthzRequest oauthRequest =new OAuthAuthzRequest(request);
             /*oauthRequest.getClientId();
             oauthRequest.getResponseType();
             oauthRequest.getRedirectURI();
             System.out.println(oauthRequest.getClientId());
             System.out.println(oauthRequest.getResponseType());
             System.out.println(oauthRequest.getRedirectURI());*/

         if(oauthRequest.getClientId()!=null&&oauthRequest.getClientId()!=""){
           //设置授权码 
                String authorizationCode ="authorizationCode";
              //利用oauth授权请求设置responseType,目前仅支持CODE,另外还有TOKEN 
                String responseType =oauthRequest.getParam(OAuth.OAUTH_RESPONSE_TYPE);
              //进行OAuth响应构建
                OAuthASResponse.OAuthAuthorizationResponseBuilderbuilder =

                          OAuthASResponse.authorizationResponse(request, HttpServletResponse.SC_FOUND);
              //设置授权码
                builder.setCode(authorizationCode);
              //得到到客户端重定向地址
                String redirectURI =oauthRequest.getParam(OAuth.OAUTH_REDIRECT_URI);
              //构建响应
                final OAuthResponseresponse =builder.location(redirectURI).buildQueryMessage();
                System.out.println("服务端/responseCode内,返回的回调路径:"+response.getLocationUri());
                System.out.println("----------服务端/responseCode--------------------------");
               String responceUri =response.getLocationUri();

              //根据OAuthResponse返回ResponseEntity响应
                  HttpHeaders headers =new HttpHeaders();
                  try {
                 headers.setLocation(new URI(response.getLocationUri()));
              } catch (URISyntaxExceptione) {
                 // TODO Auto-generated catch block
                 e.printStackTrace();
              }
                  return"redirect:"+responceUri;
           }
      } catch (OAuthSystemExceptione) {
        e.printStackTrace();
      } catch (OAuthProblemExceptione) {
        e.printStackTrace();
      }
         System.out.println("----------服务端/responseCode------------------------");
      return null;

   }
   }

此段代码对应开发步骤2 

向客户端返回资源访问令牌accesstoken的controller方法

@Controller
public class AccessTokenController {
   //获取客户端的code码,向客户端返回access token
   @RequestMapping(value="/responseAccessToken",method = RequestMethod.POST) 
   public HttpEntity token(HttpServletRequest request){
      System.out.println("--------服务端/responseAccessToken--------------------");
      OAuthIssuer oauthIssuerImpl=null;
       OAuthResponse response=null;

      //构建OAuth请求 
         try {
        OAuthTokenRequest oauthRequest =new OAuthTokenRequest(request);
        String authCode =oauthRequest.getParam(OAuth.OAUTH_CODE);
        String clientSecret = oauthRequest.getClientSecret();
        if(clientSecret!=null||clientSecret!=""){
           //生成Access Token
               oauthIssuerImpl =new OAuthIssuerImpl(new MD5Generator());
               final StringaccessToken =oauthIssuerImpl.accessToken();
               System.out.println(accessToken);
               System.out.println("--oooo---");
             //生成OAuth响应
               response = OAuthASResponse
                       .tokenResponse(HttpServletResponse.SC_OK)
                       .setAccessToken(accessToken)
                       .buildJSONMessage();
        }
        System.out.println("--------服务端/responseAccessToken------------------");

          //根据OAuthResponse生成ResponseEntity
            return new ResponseEntity(response.getBody(), HttpStatus.valueOf(response.getResponseStatus()));
      } catch (OAuthSystemExceptione) {
        // TODO Auto-generated catch block
        e.printStackTrace();
      } catch (OAuthProblemExceptione) {
        // TODO Auto-generated catch block
        e.printStackTrace();
      }
        System.out.println("--------服务端/responseAccessToken--------------------");
      return null;
   }
}

此段代码对应开发步骤4的前面一半,即服务端验证code、生成token并给客户端

 

4.3 向客户端返回请求资源(username)的controller方法

 

@Controller
public class UserInfoController {
   @Autowired
   private UserServiceuserService;

   @RequestMapping("/userInfo")
   public HttpEntity userInfo(HttpServletRequest request)throws OAuthSystemException{

      System.out.println("-----------服务端/userInfo---------------------------------------");
      try {
         //获取客户端传来的OAuth资源请求
        OAuthAccessResourceRequest oauthRequest =new OAuthAccessResourceRequest(request, ParameterStyle.QUERY);
        //获取Access Token 
            String accessToken =oauthRequest.getAccessToken(); 
            System.out.println("accessToken");
            //验证Access Token 
            /*if (accessToken==null||accessToken=="") { 
              // 如果不存在/过期了,返回未验证错误,需重新验证 
            OAuthResponse oauthResponse = OAuthRSResponse 
                    .errorResponse(HttpServletResponse.SC_UNAUTHORIZED) 
                    .setError(OAuthError.ResourceResponse.INVALID_TOKEN) 
                    .buildHeaderMessage(); 

              HttpHeaders headers = new HttpHeaders(); 
              headers.add(OAuth.HeaderType.WWW_AUTHENTICATE,  
                oauthResponse.getHeader(OAuth.HeaderType.WWW_AUTHENTICATE)); 
            return new ResponseEntity(headers, HttpStatus.UNAUTHORIZED); 

            }  */

            //返回用户名 
            User user=userService.selectByPrimaryKey(1);
            String username = accessToken+"---"+Math.random()+"----"+user.getUname();
            System.out.println(username);
            System.out.println("服务端/userInfo::::::ppp");
            System.out.println("-----------服务端/userInfo-----------------------------------");
            return new ResponseEntity(username, HttpStatus.OK); 
      } catch (OAuthProblemExceptione) {
        // TODO Auto-generated catch block
        e.printStackTrace();

        //检查是否设置了错误码 
            String errorCode =e.getError(); 
            if (OAuthUtils.isEmpty(errorCode)) { 
              OAuthResponse oauthResponse = OAuthRSResponse 
                     .errorResponse(HttpServletResponse.SC_UNAUTHORIZED) 
                     .buildHeaderMessage(); 

              HttpHeaders headers =new HttpHeaders(); 
              headers.add(OAuth.HeaderType.WWW_AUTHENTICATE,  
                oauthResponse.getHeader(OAuth.HeaderType.WWW_AUTHENTICATE)); 
              return new ResponseEntity(headers, HttpStatus.UNAUTHORIZED); 

            } 
            OAuthResponse oauthResponse = OAuthRSResponse 
                     .errorResponse(HttpServletResponse.SC_UNAUTHORIZED) 
                     .setError(e.getError()) 
                     .setErrorDescription(e.getDescription()) 
                     .setErrorUri(e.getUri()) 
                     .buildHeaderMessage(); 
      
            HttpHeaders headers =new HttpHeaders(); 
            headers.add(OAuth.HeaderType.WWW_AUTHENTICATE,  
              oauthResponse.getHeader(OAuth.HeaderType.WWW_AUTHENTICATE)); 
            System.out.println("-----------服务端/userInfo-----------------------------");
            return new ResponseEntity(HttpStatus.BAD_REQUEST); 
      } 
   }
}

此代码对应开发步骤6的前一半。即服务端验证access token、并将资源信息给客户端

另外:需要验证的客户端信息,如clientId、clientSecret都是自行指定,与自己的项目相关,同时客户端信息的验证方法也是依情况而定,没有什么具体标准,我的demo里为了方便,基本上省略了客户端信息验证,都是默认合法。但是accessTokenUrl、userInfoUrl、redirectUrl一定要与自己的项目路径相符合。response_type、GrantType有标准模板,见代码。服务端生成的access token也是有标准的,见代码,too。
至此,整个Java集成oauth就完成了。

项目地址http://download.csdn.net/download/jing12062011/10005141

代码参考jing12062011的作品:地址:https://blog.csdn.net/jing12062011/article/details/78147306

 本人能力有限,错误之处,敬请指正

dixialaoshu4
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth 2.0 原理介绍
邢雪源的专栏
08-20 3648
最近在做对用户的认证及REST API的访问权限控制,需要用OAuth来实现第三方应用对我们API的访问控制。OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。OAuth在全世界得到广泛应用,目前版本是2.0版。本文对OAuth 2.0的应用场景、设计思路和运行流程做一个简明通俗的解释。
完整Oauth 2.0实现实例
03-06
OAuth 2.0 是一种广泛使用的授权框架,它允许第三方应用在用户许可的情况下访问其私有资源。在本文中,我们将深入探讨 OAuth 2.0 的核心概念,并结合 ...对这部分代码的深入研究将有助于更好地理解和运用 OAuth 2.0。
OAuth2.0认证和授权原理
Just Code
10-04 2002
什么是OAuth授权?   一、什么是OAuth协议 OAuth(开放授权)是一个开放标准。 允许第三方网站在用户授权的前提下访问在用户在服务商那里存储的各种信息。 而这种授权无需将用户提供用户名和密码提供给该第三方网站。 OAuth允许用户提供一个令牌给第三方网站,一个令牌对应一个特定的第三方网站,同时该令牌只能在特定的时间内访问特定的资源。   二、OAuth原理和授...
阿里出品的Spring-Security神仙级教程(思维导图+源代码+笔记+项目)
最新发布
2401_84584873的博客
05-15 893
由于篇幅限制,小编在此截出几张知识讲解的图解本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)收录**需要这份系统化的资料的朋友,可以点击这里获取。
OAuth2.0基本原理及应用
weixin_30920091的博客
09-11 225
OAuth2.0基本原理及应用 一.OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 在详细讲解OAuth 2.0之前,需要了解几个专用名词,理解它们对理解OAuth2.0的基本原理很重要。 (1) Third-party application:第三方应用程序,本文中又称"客户端"(client)。 (2)HTTPservi...
简单介绍 Oauth2.0 原理
daobuxinzi的博客
02-09 438
有两家互联网企业 A 和 B,其中 B 是一家提供相片云存储的公司。用户可以把相片上传到 B 网站上长期保存,然后可以在不同的设备上查看。某一天,A 和 B 谈成了一项合作:希望用户在使用A 的客户端时,也可以观看他在 B 的相片。这个技术上要怎么实现呢?   选项一:由 B 提供一个接口:   GET /photos?account=   参数:     account : B 账号   返回:     指定账号下的所有相片   有了这个接口,A 的客户端只需在界面上显示一个输...
OAuth2.0 原理
热门推荐
安梓晨的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程六、OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
基于Django2.1.2的OAuth2.0授权登录
04-15
通过学习和实践这个项目,开发者不仅可以掌握OAuth2.0原理,还能深入理解Django框架的使用,以及如何扩展其功能来满足特定需求。在"OAuth2.0_Django2.1.2-master"这个压缩包中,可能包含了项目的所有源代码和相关...
Oauth2.0 协议 服务端 客户端 thinkphp5.0
02-08
OAuth2.0是一种广泛使用的开放授权...理解并掌握OAuth2.0的核心原理和流程,对于开发安全、可扩展的Web应用至关重要。在这个小demo中,我们可以学习到如何在实际项目中应用OAuth2.0,提高应用程序的健壮性和安全性。
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
在使用这个工具之前,需要理解 JWT 和 OAuth 2.0 的基本原理,并按照库的文档或说明进行配置和调用。 总的来说,JWT 和 OAuth 2.0 是现代Web应用中身份验证和授权的关键技术。了解它们的工作原理和使用方法对于构建...
oauth2.0 原理讲解
02-23
51cto购买的视频中的讲解ppt 主要讲解oauth2的协议理论,没有demo。
OAuth2.0协议原理与实现
03-08
OAuth2.0协议原理与实现
微信oauth2.0授权
10-11
在本文中,我们将详细探讨微信OAuth2.0原理、实现流程以及如何在实际项目中应用。 一、OAuth2.0概述 OAuth2.0是一个授权框架,允许第三方应用在用户许可的情况下访问其存储在特定服务提供商(如微信)上的资源。...
springboot OAuth2.0-demo
12-17
通过分析和运行这个项目,你可以深入理解OAuth2.0的工作原理及其在Spring Boot中的实现。同时,也可以作为模板,为自己的项目添加OAuth2.0认证功能。在实际开发中,还可以考虑添加刷新令牌功能,以及更复杂的权限...
java实现oauth2.0服务端+客户端(含JWT)
12-15
OAuth 2.0 是一个授权框架,用于安全地允许第三方应用访问用户存储在另一服务上的资源,而无需共享用户凭证。...通过这个项目,开发者可以深入理解OAuth 2.0的工作原理,并掌握如何在Java环境中安全地实现这一标准。
OAuth 2.0协议原理
罗布泊coding
06-14 3798
一.基本原理 OAuthOAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 OAuth 2.0 主要有4类角色: • resource owner:资源所有者,指终端的“用户”(即授权登录中资料信息的拥有者) • resource server:资源服务器,...
oauth2.0 原理
读万卷书,行万里路
03-27 346
oauth2.0原理OAuth 2.0中,术语“授权类型”是指应用程序获取访问令牌的方式。 具体流程如下(原理) 1.应用程序打开浏览器以将用户发送到OAuth服务器 2.用户看到授权提示并批准应用程序的请求 3.使用查询字符串中的授权代码将用户重定向回应用程序 4.应用程序交换访问令牌的授权代码 可以看一下这两篇文章:http://www.ruanyifeng.com/blog/2014/...
OAuth2.0实现原理
qq_754086878的博客
07-29 1004
OAuth2.0是一个授权框架,他规定了客户从授权服务器获取Access Token的规则。 OAuth2.0需要解决的问题 要理解OAuth2.0,先要知道为什么会有这个东西产生,或者说他能帮我们解决什么问题,其实简单说他就是帮我们解决了访问安全问题。先看如下的一张图: 图片显示了我们没有引入任何安全机制情况下的资源访问过程,可以看到正常的用户和恶意的用户都可以通过向资源服务器的接口发送请求获得用户数据。显然恶意用户不该获取数据,他是非法获得,这个情况不应该被允许,需要一种机制.
我之前只学习过springboot、mybatis、redis的一些基础知识,想从零开始学习springboot+Oauth2.0和xxl-job这两项技术,教程完全看不懂,我该如何学习呢
07-14
通过实践,你可以更好地理解和掌握这些技术。 5. 学习xxl-job:xxl-job是一款分布式任务调度框架,用于实现定时任务的调度和执行。了解xxl-job的基本概念和使用方法后,你可以参考其官方文档或相关教程,学习如何在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值