Oauth2的授权码模式为什么要用code获取token?而非回跳时直接返回token呢

最新推荐文章于 2023-03-26 17:35:02 发布
最新推荐文章于 2023-03-26 17:35:02 发布
阅读量3.1k 收藏 4
点赞数 1
分类专栏: 实现原理 文章标签: 应用设计 oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/echojson/article/details/106940472
版权

为什么oauth2中的授权码模式 在获取token之前非要先到资源服务器获取一个code 然后才使用资源服务器的code去资源服务器去申请token?而不能在回跳时直接返回token呢?

首先,从产品交互上,我们需要浏览器跳转到“认证服务器”,让用户明确表态同不同意“第三方站点”的授权请求。这个时候,浏览器访问的地址已经到“认证服务器”去了,不跳转回来的话,网页不在“第三方站点”的控制中,怎么进行授权成功后的下一步交互呢?授权码模式的安全考量,是基于产品交互能完成的前提下,考虑如何不在浏览器这种暴露 url 的环境里做到安全的。如果你想表达的是“认证服务器”跳转回来,但是不带 code,而是通过 Server 对 Server 将 token 直接给“第三方服务器”。这样会造成一系列问题:

  1. Http 协议是无状态的,“第三方服务器”无法从一个 Server 对 Server 的请求轻易区分这个 token 对着自己当前哪个 Session。
  2. 如果依赖第一步里,“第三方服务器”跳转到“认证服务器”时传递的 GET 参数来作为 Session 身份区分,又涉及到跳转本身就是明文,可能被篡改的问题,需要协定复杂的签名协议来保证安全,这和 OAuth2 希望设计简洁验证模式的初衷违背。
  3. 假设安全问题解决了,已跳转回来的“第三方服务器”网页需要等待一个不知道何时才会过来的“认证服务器” Server 回调,才能告诉用户到底授权成功没有。远不如同步主动去请求“认证服务器”获取方便。

code 是通过浏览器重定向获取的,你在浏览器地址栏就可以看到,如果这一步不返回code而是直接返回access token,那么这个token其实已经暴露了, 而client拿到code以后换取access token是client后台对认证服务器的访问,不依赖浏览器,access token不会暴露出去

echojson
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Security OAuth2 授权模式的实现
08-18
Spring Security OAuth2 授权模式OAuth 2.0 授权流程中的一种常见模式,该模式要求用户登录并对第三方应用(客户端)进行授权,出示授权交给客户端,客户端凭授权换取 access_token(访问凭证)。...
OAuth2 授权模式为什么不直接返回access_token
只为成功找方法 不为失败找借口
08-19 2423
https://www.cnblogs.com/erichi101/p/13497971.html OAuth2的实际应用中,最常见的就是“授权模式”了。微博是这种模式,微信也是这种模式。总结来说,就是简单的二步: 1.获取code 2.根据code,去获取access_token 以微博为例 (http://open.weibo.com/wiki/%E6%8E%88%E6%9D%83%E6%9C%BA%E5%88%B6%E8%AF%B4%E6%98%8E):假设我们开发...
Oauth2--- 授权模式(authorization_code)过程
silmeweed的博客
09-28 8253
一、获取授权Code: 访问授权服务器 /oauth/authorize 端点:(只用于"implicit", "authorization_code") GET: http://127.0.0.1:8080/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu...
oauth2.0 授权模式的一些思考
博客
02-21 330
如果没有code,在用户授权完成后,授权服务携带access_token调用三方服务的后端接口,将access_token 交给第三方服务的后端,不能通过重定向的方式进行(access_token 不能暴露在浏览器中,避免泄漏)。这样的话,用户点击完授权后,不能第三方软件,一直在授权页面 体验不好,当然 第三方服务拿到token后,可以自己重定向自己的页面。相对来说比较麻烦。
security,Oauth2登录后302重定向Location参数错误,Oauth2授权模式直接获取access_token
weixin_44530390的博客
08-06 7300
首先我是通过zuul网关(9001)进行访问登录,auth认证服务器(9002)进行原生框架认证 网上给的常规测试都是通过下面的url http://192.168.2.18:9002/oauth/authorize?client_id=client&response_type=code, 然后会自动转到 /login 方法。 输入用户名和密然后进行登录,在登录过程中会有一个响应头为:Location。如图: 但是当我们直接输入***http://192.168.2.18:9002
关于oauth2.0为什么返回code而不直接返回token
W2044377578的博客
03-24 1817
结论:直接返回不安全。 1.因为认证服务器认证通过后是需要浏览器302重定向到你的服务器,如果直接返回token,不安全,别人可以获取到。 2.为什么需要浏览器重定向到你的服务器,而不直接让认证服务器直接调用你的接口。那可以想想,认证服务器直接调用你的接口,那你应该怎样让浏览的页面进行转呢?这候发送请求的不是浏览器了,而是认证服务器,所以你只能给认证服务器发送一个url地址,让认证服务器控制浏...
OAuth2授权模式
mengxin_chen的博客
04-28 2834
OAuth2授权模式 授权授权的工作流程图: 前端发送到第三方登录请求 资源服务器拿到请求后进行重定向并把client_id带上,重定向到第三方授权服务器 然后在第三方授权服务器拿到请求后进行验证,验证账号密是否正确 再然后从前端页面重定向到资源服务器进行登录账号 登录成功后资源服务器拿到code,再然后资源服务器把带有code、client_id、client_secret的信息重定向发送到第三方授权服务器,向它索要Token 授权服务器把角色信息和头像图片封装到Token里面,然后颁发封装好的
关于oauth2中为什么不直接返回token而是传授权code
weixin_30735745的博客
07-30 1936
1.客户端会暴露 token授权服务器是会根据客户端传来的 redirect_url 返回给客户端 3xx 重定向状态,然后客户端再把授权 code 传给客户端服务器,首先前端(网页有源代,手机app反编译)的都是不安全的,直接token 传给客户端会把 token 暴露 2.授权服务器不会直接token所有授权客户都需要授权中心注册获取 appkey 与 app...
oauth2.0授权模式详解
weixin_44846436的博客
03-07 4835
oauth2.0授权模式 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章http://www.javaman.cn/sb2/oauth-code 授权(authorization code)方式,指的是第三方应用先申请一个授权,然后再用该获取令牌。 这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用授权通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。 1、授权模式流程 第一步,A
springboot-security-oauth2:SpringBoot集成Spring Security、OAuth2实现authorization code授权模式
05-10
项目默认最为复杂的authorization code授权认证模式,已经实现自定义登录页、授权页、错误页,以及第三方用户登录。1.支持/oauth/authorize,/oauth/token,/oauth/refresh_token,/oauth/error;2.用户认证的...
OAuth2获取token报错invalid stream header
12-14
在整合springcloud gateway、eureka、security、OAuth2的候,采用授权模式,用授权去访问/oauth/token获取token,遇到invalid stream header异常。 解决方法: 检查需要创建的OAuth2的几张表:oauth_access_...
Spring cloud Oauth2使用授权模式实现登录验证授权
12-10
在Spring Cloud Oauth2中,授权模式(Authorization Code Grant)是一种常见的安全认证方式,用于保护Web应用程序。本文将深入探讨如何使用授权模式来实现登录验证授权。 首先,理解OAuth2的基本概念至关重要。...
Spring cloud Oauth2的密模式内存方式实现登录授权验证
12-09
模式(Resource Owner Password Credentials Grant)是Oauth2中的四种授权类型之一,允许客户端直接使用用户凭证向认证服务器请求访问令牌。 在Spring Boot环境下,我们可以利用Spring Security OAuth2模块来...
OAuth2】Spring Security OAuth2 授权模式
hkk666123的博客
05-06 1265
文章目录背景介绍扩展(1)`spring-security-oauth2`获取code的controller:(2)扩展的`userApprovalHandler`生效应用(1)获取code值(2)获取accessToken(有效期暂定72h)(3)获取refreshToken(4)访问资源(用户信息) 背景 由于业务实现中涉及到接入第三方系统(app接入有赞商城等),所以涉及到第三方系统需要获取用户信息(用户手机号、姓名等),为了保证用户信息的安全和接入方式的统一,采用Oauth2四种模式之一的授权模式
OAuth2授权模式详细流程(一)——站在OAuth2设计者的角度来理解code
andy_zhaozhao的专栏
04-14 2184
本文来自于公众号链接: 彻底理解浏览器同源策略SOP ) ​本文接上篇公众号文章《OAuth2核心协议概览》 大纲 概述 为什么要有授权模式 站在OAuth2设计者的角度来理解code 第一次实验:OAuth2 Client直接向用户要token 第二次实验:OAuth2 Client在后端直接向AS要token 第三次实验:OAuth2 Client在前端直接向AS要token 第四次实验:O...
OAuth2.o的授权模式为什么要用code获取token?
Authing的博客
11-17 1665
OAuth2.0 zhua难题持续更新。
oauth2授权模式下为什么要code换取token
菜鸟的学习笔记
03-21 879
为什么需要code换取token之胡扯八道
OAuth2.0
haoranhaoshi的博客
03-26 613
申请访问令牌和更新令牌:应用端传入Code、appKey、secret,授权端校验Code解出的secret和appKey对应secret的一致后,appKey、secret结合Code解出的uid生成accessToken、refreshToken。为什么不是用户授权后,授权直接返回token给客户端,然后客户端给游戏端。是为了避免token在客户端泄露风险,以及应用端到客户端和客户端到授权端的传输被截取的风险。为什么不是授权后,授权端通知客户端已授权,同根据配置的地址直接返回token应用端。
性能~问题业务场景稳定性测试
最新发布
07-25
1
oauth2 /oauth/token模式
12-06
模式OAuth2的一种授权方式,它允许用户使用用户名和密获取访问令牌。在密模式下,用户需要授权服务器提供用户名和密授权服务器验证通过后,会颁发访问令牌给客户端。下面是使用密模式获取访问令牌的步骤: 1. 启动SpringBoot项目springboot-security-oauth2。 2. 使用Postman发送POST请求到http://localhost:8080/oauth/token,请求参数包括grant_type、username、password、client_id、client_secret和scope。 3. grant_type参数的值为password,表示使用密模式。 4. username和password参数分别为用户的用户名和密。 5. client_id和client_secret参数分别为客户端的ID和密钥。 6. scope参数表示请求的权限范围,可以是all或者其他自定义的权限范围。 7. 授权服务器验证通过后,会返回一个JSON格式的响应,其中包含访问令牌(access_token)、令牌类型(token_type)、过期间(expires_in)等信息。 下面是使用Postman发送密模式请求的示例代: ```shell POST http://localhost:8080/oauth/token Content-Type: application/x-www-form-urlencoded grant_type=password&username=user_1&password=123456&client_id=yyy_client&client_secret=yyy_secret&scope=all ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值