OAuth2.0

最新推荐文章于 2024-01-28 10:10:23 发布
最新推荐文章于 2024-01-28 10:10:23 发布
阅读量283 收藏
点赞数
文章标签: oauth oauth2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eieiei438/article/details/81630362
版权

OAuth2.0

一、是什么

  • OAuth2.0是行业标准的授权协议,是一个关于授权的开放网络标准

二、Logo

三、授权方式

  1. 授权码
    • 通过客户端的后台服务器,与需要授权使用的服务提供者的认证服务器进行互动
  2. 简化
    • 不通过第三方应用程序的服务器,直接向认证服务器申请令牌,跳过授权码
  3. 密码
    • 用户向客户端提供自己的用户名和密码,客户端使用用户名和密码,向服务提供商所要授权
  4. 客户端
    • 这个不涉及授权问题,用户直接在客户端进行注册,客户端以自己的名义要求服务提供商提供服务

四、例子

  • 角色描述
    • 菜鸟创新平台:网站
    • 菜鸟:用户
  • 场景
    • 菜鸟第一次访问该网站,该网站进入登录页面,可以使用快捷方式进行登录。快捷方式主要有QQ登录、微信登录、微博登录这些,菜鸟目前只申请了QQ,想通过QQ方式进行授权登录操作
  • 问题
    • 菜鸟创新平台有自己的注册平台吗?
    • 有注册平台的话,为什么还有设置第三方的授权?
      • 这样减少注册的填写信息的交互,用户尽量少操作
    • 可不可以把自己的qq账号密码再菜鸟创新平台中保存下来,以后让菜鸟创新平台来维护
      • 你是不是sha,这样做首先把自己的账号面透露,非常的不安全
      • 其次
        1. 菜鸟创新平台为了后续的服务,会保存用户的密码,这样非常不安全
        2. 创鸟创新平台的后台不得不部署账号密码登录QQ,在接受反馈的信息,单纯的登录不安全
        3. 菜鸟没法限制菜鸟创新平台获取到的权限的范围和有效期
        4. 菜鸟先要收回之前的权限,还得修改自己的密码,非常麻烦
        5. 数据泄露--关联其他的账号密码
  • 解决方案
    • 其中一种就是OAuth2.0

解决四中的问题

  • 先看这张图
  • 上面这幅图基本解释了OAuth,它的作用就是让菜鸟创新平台安全可控的获取菜鸟的授权,与QQ服务进行互动。
  • OAuth的思路
    • OAuth在“客户端”与“服务提供商”【QQ服务】之间,设置了一个授权层。“客户端”不能直接登录“服务提供商”,只能登录授权层,以此将用户【菜鸟】和客户端【菜鸟创新平台】区分开。“客户端”登录授权层所用的令牌(token),与用户的密码不同,token可以被用户指定授权令牌的权限和有效期。“服务提供商”根据令牌的权限范围和有效期,向“客户端”开放用户存储的资料
  • 完整的流程
    1. 用户打开客户端,客户端要求用户给予授权
    2. 用户同意给与客户端授权【关键】
    3. 客户端使用上一步获得的授权,向认证服务器申请令牌
    4. 认证服务器对客户端进行认证以后,确认无误,同意发放令牌
    5. 客户端使用令牌,向资源服务器申请获取资源
    6. 资源服务器确认令牌无误,同意向客户端开放资源

客户端的授权模式

序号模式名称特点授权过程
1授权码模式最完整、流程最严密
1.用户端访问客户端,后者将前者导向认证服务器

2.用户选择是否基于客户端授权

3.假设用户给予授权,认证服务器将用户导向客户端事先指定的“重定向的URI”,同时附上一个授权码

4.客户端收到授权码,附上早先的“重定向URI”,向认证服务器申请令牌【这一步是在客户端的后台服务器上完成的,对用户不可见】

5.认证服务器核对授权码重定向URI,确认无误后,向客户端发送访问令牌(Access Token)和更新令牌
2简化模式不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了“授权码”这个步骤
1.用户端访问客户端,后者将前者导向认证服务器

2.用户选择是否基于客户端授权

3.假设用户给予授权,认证服务器将用户导向指定的“重定向URI”,并在URI的Hash部分包含了访问令牌

4.浏览器向资源服务器发出请求,其中不包括上一步收到的Hash值

5.资源服务器返回一个网页,其中包含的代码可以获取Hash值中的令牌

6.浏览器执行上一步获得的脚本,提取出令牌

7.浏览器将令牌发给客户端
3密码模式用户向客户端提供自己的用户名和密码,客户端使用这些信息,向“服务提供商”索要授权
1.用户向客户提供用户名和密码

2.客户端将用户的用户名和密码发送给认证服务器,向后者请求令牌

3.认证服务器确认无误后,向客户提供访问令牌
4客户端模式客户端以自己的名义,而不是以用户的名义,向“服务提供商”进行认证。这种模式下,用户直接向客户端注册,客户端以自己的名义要求“服务提供商”提供服务,其实不存在授权问题
1.客户端向认证服务器进行身份认证,并要求一个访问令牌

2.认证服务器确认无误后,向客户端提供访问令牌

参考地址

乘风御浪云帆之上
关注
OAuth2.0系列四:OAuth2.0简化模式
青藤光年的博客
09-11 2003
简化模式 有些纯前端应用,必须将令牌储存在前端。那么可以使用简化模式(隐藏式)来申请授权,颁发令牌。 浏览器向授权服务器申请授权,并设置response_type=token,表示直接返回令牌 授权服务器通过校验后跳转到重定向地址并返回token 浏览器通过token去申请资源 这种方式把令牌直接传给前端是很不安全的。因此,只能用于一些安全要求不高的场景,并且令牌的有效期必须非常短,通...
OAuth2.0 - 简化模式、密码模式、客户端模式讲解
小毕超博客
01-16 9482
一、OAuth2.0 在上篇文章中我们已经对OAuth2.0 做了讲解,以及授权码模式的认证过程,并且搭建了简单的认证服务和资源服务,由于上篇文章中我们只对授权码模式这一种认证登录模式做了讲解,本篇文章对简化模式、密码模式、客户端模式这三种模式进行下演示和讲解,下面是上篇文章的地址: https://blog.csdn.net/qq_43692950/article/details/122521392 上篇文章的配制中,我们已经将所有的模式都放开给了c1这个客户id,所以在下面模式的演示中我们直接使用上
accept 返回0_OAuth2.0系列之基本概念和运作流程(一)
weixin_29221191的博客
12-22 209
OAuth2.0系列之基本概念和运作流程一、OAuth2.0是什么?1.1 OAuth2.0简介1.2 OAuth2.0官方文档二、OAuth2.0原理2.1 OAuth2.0流程图三、 OAuth2.0的角色四、OAuth2.0授权模式4.1 授权码模式(authorization code)4.2 简化模式(implicit grant type)4.3 密码模式(resource ...
OAuth 2.0入门和协议流程,授权模式包括授权码模式、简化(隐式)模式和密码模式。
最新发布
qq_73126462的博客
01-28 1262
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版用户可以通过选择其他登录方式来使用gitee,这里就使用到了第三方认证。来自RFC 6749OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。
OAuth2.0的典型模式
m0_37779570的博客
08-24 271
授权码模式 Resource Owner:用户 User-Agent: 浏览器等 Authorization Server: 授权服务器 Client: 授权用户 简化模式 密码模式 客户端模式 刷新令牌 ...
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
Java的oauth2.0 服务端与客户端的实现 (完整源码、demo)
10-01
Java的oauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:...
oauth2.0第三方 qq、sina、baidu、renren、osc、豆瓣 等,登陆的简易封装!
11-05
在Web应用开发中,OAuth2.0常被用来实现社交网络平台(如QQ、新浪、百度、人人网、OSC开源中国、豆瓣等)的第三方登录功能。这种登录方式被称为“单点登录”或“统一认证”,因为它允许用户通过一个账号登录多个关联...
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
这个工具可能还支持 OAuth 2.0 的相关功能,如生成和验证 OAuth 2.0 授权令牌。在使用这个工具之前,需要理解 JWT 和 OAuth 2.0 的基本原理,并按照库的文档或说明进行配置和调用。 总的来说,JWT 和 OAuth 2.0 是...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
OAuth2.0指南(一)
错位竞争,单点突破。
06-01 3591
原文链接   作者:Jakob Jenkov  译者:iDestiny 引言 OAuth2.0是一种应用之间彼此访问数据的开源授权协议。比如,一个游戏应用可以访问Facebook的用户数据,或者一个基于地理的应用可以访问Foursquare的用户数据等。下面是一张阐述该概念的图: OAuth2.0怎么通过应用共享数据的例子,用户访问web游戏应用,该游戏应用要求用户通过Fac
OAuth2 简介
菜鸟厚非
04-13 245
客户端认证控制API访问(客户端授权模式) 使用场景:API访问 API。 次模式通常用于机器与机器之间进行通信。 密码认证方式控制API访问(资源所有者密码授权模式) 使用场景:APP 。 OpenId Connect添加用户认证(简化流程授权模式) ...
深入浅出OAuth 2.0授权机制
geek1992的博客
07-17 368
(1). 用户打开客户端以后,客户端要求用户给予授权。 (2). 用户同意给予客户端授权。 (3). 客户端拿到上一步获取到的授权,向认证服务器申请令牌。 (4). 认证服务器对客户端进行认证以后,确认无误,统一发放令牌。 (5). 客户端使用令牌,向资源服务器申请获取用户的资源。 (6). 资源服务器确认令牌无误,同意向客户端开放资源。 ...
详解.NET实现OAuth2.0四种模式(5)简化模式
lweiyue的专栏
07-20 1167
简化模式又称为隐式授权码模式,它是授权码模式的一个简化版本。具体来说,在简化模式中,授权服务器不返回授权码,而直接返回AccessToken。这种模式一般用在无法安全保存AppSecret等信息的应用中,如HTML/JS应用(所有代码都在明文中)。授权码原先设计的目的是验证应用是合法的,但既然应用没办法证明自己,就没有必要多一步请求了。 我们直接来看简化模式的实现。Startup类跟授权码模式是一致的,我们不再赘述。 ...
OAuth2.0入门图解
流楚丶格念的博客
07-22 1982
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。是一个标准,用来给第三方应用授权来访问当前用户存储在其他应用上的信息OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。httpshttps。.......
Spring cloud oauth2.0学习总结
热门推荐
菜鸟很菜的专栏
04-14 4万+
因为项目需要,调研并使用了Spring cloud oauth2.0,网上关于oauth2.0的介绍很多,包括交互的流程等等。这里,我不再介绍这些,直接深入讲解,并附上实践代码。希望能对大家有帮助。 相关链接: Spring cloud oauth2.0的源码解析和本人实现的三个Demo,第一个Demo是使用Spring cloud oauth2.0来实现单点登陆;第二个Demo是使用Jdbc
OAuth2.0的学习和实践
koastal的博客
12-13 2042
本文以接入新浪账户为例,说明通过OAuth2.0微博登陆的步骤 慕课网关于OAuth2.0的视频教程地址: http://www.imooc.com/learn/557 新浪微博关于OAuth2.0的说明文档地址: http://open.weibo.com/wiki/%E6%8E%88%E6%9D%83%E6%9C%BA%E5%88%B6%E8%AF%B4%E6%98%8E
OAuth2.0的简单理解与使用
03-17 1万+
最近在做小程序的开发,在调用数据接口的时候发现一个以前知道却不了解的协议OAuth2.0,只有获得授权才可以顺利调用自己想要的API,没办法只能花时间研究下咯。1.应用场景假设你想玩现在很火的一款吃鸡游戏,但是需要使用你的微信账号登录,这时就出现一个授权访问的问题,OAuth2.0协议就是应用于这种场景之下的。如图微信会告诉你,吃鸡游戏将会访问你的那些用户数据首先我们来理解下OAuth2.0协议的...
OAuth 2.0入门指南
"Getting Started with OAuth 2.0" 是一本由 Ryan Boyd 撰写的书籍,主要介绍了OAuth 2.0的使用和概念。OAuth 2.0 是OAuth协议的升级版本,它不与之前的OAuth 1.0兼容,并且在2012年10月正式成为RFC标准。 OAuth ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

乘风御浪云帆之上

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值