零散专题29 OAuth 2.0

最新推荐文章于 2023-01-31 10:42:07 发布
最新推荐文章于 2023-01-31 10:42:07 发布
阅读量327 收藏
点赞数
分类专栏: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duola8789/article/details/89639330
版权

已同步到个人博客,欢迎访问

定义

OAuth是一种授权机制,数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。

例子

举个例子,京东App要求访问我的微信头像和昵称,这里面,我是数据的所有者,而微信就是服务提供商,也就是上面的系统,而京东就是第三方的客户端。

当京东要求获取我的微信数据时,我不会将我的微信账号和密码直接告诉京东,然后让京东自己去登陆我的微信账号去获取对应的数据,因为这样做会有以下的缺点:

  1. 京东也许会保存我的密码,这样很不安全
  2. 京东通过密码能够获取我在微信的全部数据,我没有办法限制京东能获得哪些数据、不能获得哪些数据
  3. 我除了修改密码之外,没有能够取消京东获取我的微信数据的能力
  4. 只要有一个京东这样的、知晓我的密码的第三方APP被破解,我的微信密码就会泄露

所以京东需要通过OAuth这种授权机制来获得我的微信数据。思路是这样的:

  1. 京东在它的APP里选择以微信账号登陆京东APP;
  2. 京东客户端会跳转到微信设置的认证服务器,向我询问是否允许获取我的微信相关资料;
  3. 当我同意之后,微信的认证服务器就会向京东APP颁发登陆令牌(token),这个token与用户密码不同,并且在登陆的时候可以指定token的权限范围有效期;
  4. 京东APP获得令牌后,就可以向微信的资源服务器来申请获取用户的微信资料,微信的资源服务器根据令牌的权限和有效期向京东APP开放我的微信头像和昵称。

授权模式

OAuth的核心就是向第三方应用颁发令牌,OAuth 2.0定义了四种授权方式来让客户端得到用户的授权:

  1. 授权码(authorization-code)
  2. 隐藏式(implicit)
  3. 密码式(password)
  4. 客户端凭证(client credentials)

以上这些授权方式,第三方应用在申请令牌之前,都必须先到系统备案,说明自己的身份,然后会拿到两个身份识别码:客户端ID(client ID)和客户端密钥(client secret)。

授权码模式

授权码(authorization-code)模式,指的是第三方应用先申请授权码,然后用该授权码获取令牌。

这种方式是最常用的,也是安全性最高的,适用于后后端的Web应用。授权码通过前端传送,令牌存储在后端,所有与资源服务器的通信都在后端完成。这样的前后端分离可以避免令牌泄露。

仍旧以京东和微信举例

(1)第一步,当用户点击京东APP以微信登陆的链接后,就会跳转到微信的认证服务器,下面就是一个示意的跳转链接:

https://weixin.com/oauth/authorize?
  response_type=code&
  client_id=CLIENT_ID&
  redirect_uri=CALLBACK_URL&
  scope=read

weixin.com/oauth/authorize就是微信认证服务器的URL,response_type参数表示要求返回授权码(code),client_id参数用来表明客户端的ID,redirect_uri是认证服务器接受或拒接请求后的跳转网址,scope参数表示请求的授权范围

(2)第二步,用户跳转到认证服务器的页面后,会要求用户登录,然后询问是否同意给京东APP授权。用户表示同意后,认证服务器就会调回redirect_uri参数指定的网址,在跳转时会以URL中的query参数的形式传回一个授权码(code

https://jd.com/callback?code=AUTHORIZATION_CODE

上面的URL中,code参数对应的值就是授权码

(3)第三步,京东拿到授权码后,就可以在后端向微信认证服务器请求令牌(token)

https://weixin.com/oauth/token?
 client_id=CLIENT_ID&
 client_secret=CLIENT_SECRET&
 grant_type=authorization_code&
 code=AUTHORIZATION_CODE&
 redirect_uri=CALLBACK_URL

上面URL中,client_idclient_secert参数用来让认证服务器确认京东APP的身份(client_secret是保密的,所以只能在后端发送请求),grant_type参数的值是AUTHORIZATION_CODE,表示采用的授权方式是授权码,code参数是上一步拿到的授权码,redirect_uir参数是令牌颁发后的回调地址。

(4)第四步,微信认证服务器收到请求后,核对信息后就会办法令牌,具体的做法是向redirect_uri指定的网址发送一段JSON数据:

HTTP/1.1 200 OK
Conten
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Oauth2框架下解决druid管理界面访问拦截问题
单纯的叶子、的博客
02-23 993
想查看一下数据sql查询情况,发现druid管理界面访问不了,直接重定向到了Oauth2登录界面,原因是Oauth2框架拦截了druid管理界面的访问请求。 话不说,直接修改代码,开放druid访问限制。 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() //开放druid访问
OAuth2.0的一些疑问
爬不上树的小松鼠
09-26 481
OAuth的一些疑问
SpringBoot Oauth2.0认证授权使用 集成第三方账号
Saber__Love的博客
05-07 2238
前言 第一次看到oauth2.0的时候说实话心里是迷茫且惧怕的,自己也有下去小小的了解过,对用户信息反复交互的情况自我感觉掌握度很差。但是在真实完整地去接触学习开发一套涉及完整oauth2.0认证流程之后,我对它又有了新的理解。怎么说呢,由浅入深吧。 oauth2.0认证流程介绍 在真正开始开发之前,我们得先了解oauth2.0整体的运行流程,为什么我们要使用这套流程?我们要用这个流程去做什么内容,这些内容应该怎样去实现。 首先,什么是oauth2.0? 这是本人百度找到的图片,看着蛮简单易...
自定义SpringSecurity授权跳转地址
398701344努力加油!
02-26 2909
自定义SpringSecurity授权跳转地址 在我们用SpringSecurity+Oauth2做权限验证和访问控制的时候,如果要访问的请求处于未登录状态,会被框架进行拦截,并重定向到一个/login的请求(1),再重定向我们授权服务器的/oauth/authorize请求(这里是使用的授权码模式),接着再重定向到我们授权服务器的/login请求上,即我们授权服务器的登录页面。在工作中遇到了一个要修改(1)这个地方请求的问题。既然要修改(1)的/login请求,我们首先要弄清楚这里的/login是从哪里来
OAuth2.0URL连接多参数时,第一次验证拦截器解析后只会得到第一个参数的问题
博客
02-02 1949
/** * 根据code获取Userid后跳转到需要带用户信息的最终页面 * * @param request * @param code * 获取微信重定向到自己设置的URL中code参数 * @param oauth2url * 跳转到最终页面的地址 * @return */ @RequestMapping(v
OAuth2.0协议中文版.pdf
03-27
OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
oauth2.0.zip_oauth2.0
09-20
这个压缩包文件"oauth2.0.zip_oauth2.0"包含了深入理解OAuth 2.0的基础知识,特别是针对初学者的入门介绍。其中的"oauth2.0.pdf"文档很可能是详细阐述OAuth 2.0概念、工作流程和实际应用的教程。 OAuth 2.0的核心...
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
完整Oauth 2.0实现实例
03-06
OAuth 2.0 是一种广泛使用的授权框架,它允许第三方应用在用户许可的情况下访问其私有资源。在本文中,我们将深入探讨 OAuth 2.0 的核心概念,并结合 Java 实现来理解其工作原理。 OAuth 2.0 主要分为四个角色:...
Spring Security 实战干货:客户端OAuth2授权请求的入口在哪里
码农小胖哥
11-07 2036
1. 前言在Spring Security 实战干货:OAuth2 第三方授权初体验一文中我先对 OAuth2.0 涉及的一些常用概念进行介绍,然后直接通过一个 DEMO 来让大家切身感...
Gateway, Zuul, Oauth2.0, 前后端分离, 定制页面,登录回调接口的处理
最新发布
asd43211234的博客
01-31 1460
alexa, oauth2.0授权码
security,Oauth2登录后302重定向Location参数错误,Oauth2授权码模式直接获取access_token
weixin_44530390的博客
08-06 7353
首先我是通过zuul网关(9001)进行访问登录,auth认证服务器(9002)进行原生框架认证 网上给的常规测试都是通过下面的url http://192.168.2.18:9002/oauth/authorize?client_id=client&response_type=code, 然后会自动跳转到 /login 方法。 输入用户名和密码然后进行登录,在登录过程中会有一个响应头为:Location。如图: 但是当我们直接输入***http://192.168.2.18:9002
登录授权验证之OAuth2.0
不二青春
05-12 2118
实际应用项目:http://github.crmeb.net/u/long 本文将从几个方面了解和学习使用OAuth2.0。对不对就不管了,反正我也几乎不会用到。ps.有个项目用到了,所以才会有本文。 OAuth2.0介绍和功能 微信开放平台和github的OAuth2.0接入应用 自己写一个OAuth2.0服务 Springboot OAuth2.0集成 快速了解OAuth2.0 资源很多,看起来比较麻烦,可以直接看Authorization Code授权码流程,以微信登录为例子的介绍。 O
17 微信OAuth2授权登录
Markix的博客
10-31 2784
利用 微信OAuth2网页授权 实现登录功能。
全网最佳,第三方登录系列——苹果登录
了迹奇有没
04-14 7435
第三方登录系列第一篇——Apple登录
springboot2.0解决静态资源无法直接访问问题
zm9898的博客
04-17 2815
package com.zhangman.manman.config; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry; import org.springfra...
OAuth2.0系列之信息数据库存储实践(六)
Nicky's blog
06-16 3579
在前面的学习中,我们配置客户端信息,一般会如下配置,如果有多个客户端的话,就复制一遍,修改一些参数,很显然,这种在生产环境是不适应的,所以Spring Security OAuth2是有提供几种存储方式的,默认是基于内存存储
OAuth 2.0入门指南
"Getting Started with OAuth 2.0" 是一本由 Ryan Boyd 撰写的书籍,主要介绍了OAuth 2.0的使用和概念。OAuth 2.0OAuth协议的升级版本,它不与之前的OAuth 1.0兼容,并且在2012年10月正式成为RFC标准。 OAuth ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值