OAuth及授权码机制介绍

最新推荐文章于 2024-04-07 17:11:43 发布
最新推荐文章于 2024-04-07 17:11:43 发布
阅读量410 收藏
点赞数
分类专栏: 面试、基础 文章标签: oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanhanhanxu/article/details/106523385
版权

我的个人网站:
http://riun.xyz

简介

OAuth2.0 是授权机制,用来授权第三方应用,获取用户数据。

比如在某些博客网站下方的评论区,经常看到需要使用github登陆然后才能评论,这就使用了OAuth的授权机制。这里我们把博客网站叫做【第三方应用】,把github叫做【用户数据所有者】,把使用github登陆然后才能跳转到博客网站进行评论叫做【授权】。 用户想要在博客网站的评论区进行评论,那我首先得要知道你是谁才能让你评论吧,但是我又没有你的数据,而且我只是需要知道你是谁,显示你的信息就行了,所以我也不必单独再做一个用户登陆系统,那索性我就去别的地方拿你的信息咯,所以我就让你跳转到github的登陆页面,登陆后显示出请求授权该网站的按钮,如果你同意并点击了,那么博客网站就能从github中拿到你的用户信息数据,再跳转到博客页面,你就可以评论了。评论后显示的用户名啊,头像啊这些东西都是从github中拿到的。

引用阮一峰的OAuth教程中的一句话:简单说,OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。

令牌与密码的区别:

令牌密码
短期,自动失效长期,用户不修改就不变
可以被撤销,然后立即失效
有权限范围完整权限

由于令牌相当于短期的密码,在固定的时间、权限范围内可读(或写)数据,所以令牌也是不能泄露的。这也是为什么令牌生效时间设置的很短的原因。

授权方式

OAuth的目的就是颁发令牌,第三方网站通过令牌可以去用户数据所有者取数据。下面介绍下四种授权方式,即四种获取令牌的流程。

  • 授权码(authorization-code)
  • 隐藏式(implicit)
  • 密码式(password):
  • 客户端凭证(client credentials)

不管那种方式,都必须先到第三方网站备案,说明自己的身份。

下面只讲解授权码的方式。具体四种方式,请参考:阮一峰的博客

授权码的方式:

下面将博客网站作为A网站,github作为B网站。

A网站提供一个链接:

https://b.com/oauth/authorize?
  response_type=code&
  client_id=CLIENT_ID&
  redirect_uri=CALLBACK_URL&
  scope=read
# response_type 要求返回授权码
# client_id 是实现向B网站备案时,B提供给A的唯一确定身份的码。必须显式给出
# redirect_uri B网站接收或拒绝后跳转的网址。必须显式给出
# scope 授权范围

用户点击后跳到B网站的登陆页面,并询问是否同意授权A网站获取信息。当用户同意或拒绝后就会跳到到redirect_uri=CALLBACK_URL里提供的url

如果同意授权,跳回时,会返回一个授权码:

https://a.com/callback?code=AUTHORIZATION_CODE
# code 授权码

然后A网站在后端收到请求后,就可以在后端向B网站请求令牌,

https://b.com/oauth/token?
 client_id=CLIENT_ID&
 client_secret=CLIENT_SECRET&
 grant_type=authorization_code&
 code=AUTHORIZATION_CODE&
 redirect_uri=CALLBACK_URL
# client_id 客户端ID,同上。必须显式给出
# client_secret 客户端密钥,和client_id获取方式一样,不过是保密的。必须显式给出
# grant_type=authorization_code 表示是授权码的方式获取令牌
# code 上一步获取的授权码。必须显式给出
# redirect_uri 获取令牌后,B网站向此地址发送令牌相关信息

B网站收到获取令牌的请求,检查参数正确后,就会颁发令牌:向 redirect_uri 的地址发送一段json数据

{    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  "uid":100101,
  "info":{...}
}
    # access_token 就是令牌

A网站在后端拿到,就可以向B网站的API请求数据。 每个发到 API 的请求,都必须带有令牌。 具体做法是在请求的头信息,加上一个Authorization字段,存放令牌信息。

curl -H "Authorization: Bearer ACCESS_TOKEN" \
"https://api.b.com"
# ACCESS_TOKEN 就是令牌

图:在这里插入图片描述

来源:阮一峰的博客

demo

目的:利用OAuth授权完成第三方登陆,最终获取第三方储存的用户数据。

小demo: http://www.ruanyifeng.com/blog/2019/04/github-oauth.html

内容是,利用github登陆授权后获取用户信息进行展示。

riun、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-sso:简单的单点登录Spring Security OAuth2
05-19
spring-security-sso 简单的单点登录Spring Security OAuth2 1.概述 在本教程中,我们将讨论如何使用Spring Security OAuth和Spring Boot实现单点登录 - 单点登录。 我们将使用三个独立的应用程序 授权服务器 - 这是中央认证机制 两个客户端应用程序:使用SSO的应用程序 简而言之,当用户尝试访问客户端应用程序中的安全页面时,他们将首先通过身份验证服务器重定向到进行身份验证。 我们将使用OAuth2中的授权授权类型来驱动授权委派。 2.客户端应用程序 我们从我们的客户端应用程序开始; 我们当然会使用Spring Boot来最小化配置: 2.1。Maven的依赖 首先,我们将在我们的pom.xml中需要以下依赖项: <dependency> <groupId>org.springframewor
qq OAuth登陆实例
08-16
qq OAuth登陆实例 为了使用新浪微博开放平台提供的API(应用程序接口),你需要先注册一个应用。我们会给每一个应用一个专属的App Key和App Secret。Key跟Secret的使用方式跟其他一些协议中的公钥私钥的方案相类似,你可以使用你所熟悉的编程语言将key和secret结合,为你发出的每个请求添加签名,以此来向新浪微博开放平台表明自己身份的合法性。 Web应用应该使用完整的OAuth来进行用户认证。桌面以及移动用户也应该使用OAuth。当然,桌面和移动应用也可以使用Basic Auth,一种简单的通过用户名密的方式来进行认证的方式,具体的说明可以参见授权机制说明页面中相关的部分。 新浪微博开放平台使用的是OAuth 1.0a 版本。
今日分享丨单点登录原理及OAuth20授权协议
m1024292777的博客
04-07 967
随着企业信息化建设的不断提高,多业务系统的统一集成逐步成为核心诉求,而打通这些系统间身份更是重要环节。即为用户和所有业务系统提供标准且便捷的身份认证机制,需要做到以下几点:• 单点登录。对终端用户而言只需要一处登录即可访问所有业务系统,无需重复登录。• 安全且标准的集成协议。对业务系统而言需要有标准且统一的协议规范支持身份认证集成,在安全性保障的前提下,最好做到开箱即用,减少重复开发。
nemiro.oauth.dll:Nemiro.OAuth是一个类库,用于通过.NET Framework中的OAuth协议进行授权
02-03
内米罗 Nemiro.OAuth是一个类库,用于通过.NET Framework中的OAuth协议进行授权。 该库提供了用于实现OAuth客户端的机制,还包含一个流行网站的即用型客户端。 Nemiro.OAuth是根据Apache许可证版本2.0发行的。 要安装Nemiro.OAuth ,请在程序包管理器控制台中运行以下命令: PM> Install-Package Nemiro.OAuth 在线演示 产品特点 支持OAuth 1.0和2.0; 获取有关用户的基本信息:ID,姓名,性别,出生日期,电子邮件地址和电话号; 现成的OAuth客户端适用于:Amazon,Assembla,CodeProject,Dropbox,Facebook,Foursquare,GitHub,Google,Instagram,LinkedIn,Microsoft Live,Mail.Ru,Odnoklassniki(odnoklassniki.ru),SoundCloud,SourceForge,Tumblr,Twitter ,VK(vkontakte,vk.com),Yahoo!,Yan
oauth2.0第三方 qq、sina、baidu、renren、osc、豆瓣 等,登陆的简易封装!
11-05
oauth2.0第三方 qq、sina、baidu、renren、osc、豆瓣 等,登陆的简易封装!
django接入新浪微博OAuth的方法
12-23
本文实例讲述了django接入新浪微博OAuth的方法。分享给大家供大家参考。具体分析如下: 最近将网站和新浪微博进行了整合,思路很简单,就是将页面内容和新浪微博联系起来,一个独立内容的页面对于一条微博,自然评论系统只需要使用微博的评论即可。 然后,用户需要发表评论的话,肯定要接入oauth,不可能让用户登录你的网站来发评论吧?没有谁会将自己的账号和密告诉你的。 查看了新浪微博的授权机制,然后下载了python版的sdk,就可以在django上接入oauth了。 对于oauth很陌生的同学,请先查看OAUTH协议简介 其实流程很简单: ① getrequesttoken -> ② creat
Python 实战:如何给你的程序添加授权机制
亮出锋芒,剑指苍穹
11-16 9847
本文实现了一个离线的简易的软件授权机制,如果想要分享自己的程序但又不希望自己的程序被随意传播的,都可以用得上,文末附有源和示例程序,欢迎大家交流学习
OAuth2.0四种授权模式及实战
热门推荐
CODEING一场空的博客
06-27 1万+
Oauth2.0具有多种授权许可机制协议:授权许可机制、客户端凭据机制、资源拥有者凭据机制(密模式)和隐式许可机制。在源中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证登录或者微信扫登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证模式。
06. 千呼万唤始出来:最重要的授权方式——授权模式
weixin_45946850的博客
05-07 311
在今天的小节中我向你介绍了最重要的授权模式——授权模式。这个过程虽然复杂,但是从OAuth四个角色各自的视角来看,却格外简单和清晰。例如从终端用户的视角看,他在整个流程中只做了两件事,登录授权服务器和做授权决策,终端用户不用关心背后复杂的流转过程。从客户端的视角看它做了三件事——发送授权请求、发送访问令牌请求、携带访问令牌访问资源请求。
keycloak“授权模式”的运行流程(个人理解)
m0_65939803的博客
02-20 583
keycloak授权模式
趣谈双端离线状态下的授权认证实现
Sunwish的博客
05-26 2522
概述 昨天 Anduin 在直播时讨论了一个相当有意思的话题,即在客户端和服务端均处于离线状态,且双端之间没有任何数据交换的情况之下,如何实现客户端对服务端的临时授权。其实类似的授权机制在生活中就有案例,比如我手机上的Steam令牌应用自登录以来就从来没连上网过,但是令牌中的动态密却能够正确地完成电脑端Steam的身份认证,不过这里电脑端的Steam还是连接了网络进行验证的。本文来尝试探讨一种双端均处于离线状态场景的临时认证办法。因为没有查阅相关资料做参考,因此本文最终的系统不一定足够完美。 原文链接:
oauth2.0授权机制,授权
最新发布
05-28
oauth2.0授权机制,授权,单点登录
Spring Security如何优雅的增加OAuth2协议授权模式
09-07
1. 授权模式(Authorization Code):适用于有后台服务器的第三方应用,通过授权获取访问令牌,安全性较高。 2. 简化模式(Implicit Grant Type):适用于无后台服务器的Web应用,令牌直接在浏览器中获取,安全...
Spring Security Oauth2.0 实现短信验证登录示例
08-28
Oauth2.0 是一种 industry-standard 授权协议,提供了多种授权方式,例如授权流程、隐式授权流程、密流程和客户端凭证流程等。 二、短信验证登录示例 在该示例中,我们将使用 Spring Security Oauth2.0 实现...
使用Springboot搭建OAuth2.0 Server的方法示例
08-27
在编写 OAuth2.0 Server 的代时,需要实现授权服务提供方(Authorization Server)的逻辑,包括客户端注册、授权授权、token 生成和验证等步骤。 使用 Springboot 搭建 OAuth2.0 Server 需要了解 OAuth2.0 的...
基于SpringBoot整合oauth2实现token认证
08-25
oauth2协议包括四种授权流程:授权模式、简化模式、密模式和客户端模式。在我们这个示例中,我们将使用密模式来实现token认证。 UserDetail实现认证 在我们的示例中,我们使用了MyUserDetailsService.java来...
springsecurity+oauth2.0 分布式认证授权-授权存储到数据库7
健康平安的活着的专栏
09-01 3272
一 说明 前面文章的介绍了,客户单和授权存储在内存中,现在需要存储到数据库中。 本操作在第5章节的基础上进行操作。 二 操作 2.1 客户端认证信息的配置 2.1.1 在数据库中创建oauth_client_details DROP TABLE IF EXISTS `oauth_client_details`; CREATE TABLE `oauth_client_details` ( `client_id` varchar(255) CHARACTER SET utf8 COLLATE u
OAuth2.0-授权模式
超频化石鱼的博客
01-29 1599
OAuth2.0授权模式主要解决了信任问题:一个第三方网站需要访问我们Github上的数据(例如用户头像),那Github为什么要信任该网站?该对网站信任到什么程度?基于此,如果可以为该网站提供一个专门的,该有专门的权限和过期时间,且Github可随时清除的授权,这样问题就可以解决了。
Spring Security OAuth2.0(一)-----前言-授权模式及代实例
qq_42264638的博客
04-21 2790
Spring Security OAuth2.0(一)-----前言-授权模式及代实例
oauth2授权免登录账户密
08-07
1. 用户访问某个需要授权的应用或网站,并选择使用授权登录。 2. 应用或网站跳转到授权服务器,向其请求授权。 3. 授权服务器验证用户身份,并获取用户授权信息。 4. 授权服务器将授权返回给应用或网站。 5. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值