OAuth2.0

已于 2023-04-03 22:01:25 修改
阅读量606 收藏
点赞数
分类专栏: 技术 文章标签: Oauth
于 2023-03-26 17:35:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haoranhaoshi/article/details/129781789
版权

文档:

小程序登录中使用OAuth2.0文档:
https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html
OAuth2.0英文文档:
https://www.rfc-editor.org/rfc/rfc6749
知乎OAuth2.0:
https://zhuanlan.zhihu.com/p/509212673

涉及端:
客户端。
应用端。
授权端。

核心过程:
授权:客户端传入appKey和uid,授权端结合secret生成Code。
申请访问令牌和更新令牌:应用端传入Code、appKey、secret,授权端校验Code解出的secret和appKey对应secret的一致后,appKey、secret结合Code解出的uid生成accessToken、refreshToken。

总结:
用户认可的条件下,授权端信任应用端的机制。

思考1:
为什么不是用户授权后,授权端直接返回token给客户端,然后客户端给游戏端。是为了避免token在客户端泄露风险,以及应用端到客户端和客户端到授权端的传输被截取的风险。

思考2:
为什么不是授权后,授权端通知客户端已授权,同时根据配置的地址直接返回token给应用端。是为了授权端响应低延迟。
可以参考注册中心监听到服务列表变化后是通知客户端改变,而不是直接将新的服务列表给到客户端。

思考3:
为什么有refreshToken,而不是应用端直接通知授权端对accessToken续期,是为了校验应用端的可靠性。

思考3:
为什么不通过accessToken校验应用端的可靠性,是为了尽可能减少accessToken的暴露。即使accessToken泄露了,还有refreshToken,可以避免通过accessToken续期。

其它文档:
网页授权:
https://developers.weixin.qq.com/doc/offiaccount/OA_Web_Apps/Wechat_webpage_authorization.html
获取AccessToken:
https://developers.weixin.qq.com/doc/offiaccount/Basic_Information/Get_access_token.html

风铃峰顶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OAuth 2.0 文档
weixin_40809507的博客
10-16 2589
OAuth 2.0 文档 初见OAuth2.0OAuth 2.0是一个业界标准的授权协议,其定义了四种可以适用于各种应用场景的授权交互模式:授权码模式、应用授信模式、用户授信模式、简化模式。其中,授权码模式被广泛应用于第三方互联网开放平台,通过第三方登录是其最常见应用场景之一,比如使用微信、QQ和淘宝账号进行登录。 ​ OAuth 2.0 官方文档地址:https://tools.ietf.org/html/rfc6749#section-4.3.2 一、情景再现: ​ [外链图片转存失败,源站可
Auth2.0原理
沈荣荣的博客
06-15 1万+
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。目前Auth2.0已经得到了广泛应用,比如微信登录、微博、QQ等。一、为什么要使用OAuth为了理解OAuth的适用场合,让我举一个假设的例子。有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。...
OAuth2.o的授权码模式为什么要用code获取token?
Authing的博客
11-17 1663
OAuth2.0 zhua难题持续更新。
OAuth2授权码模式
mengxin_chen的博客
04-28 2832
OAuth2授权码模式 授权码授权的工作流程图: 前端发送到第三方登录请求 资源服务器拿到请求后进行重定向并把client_id带上,重定向到第三方授权服务器 然后在第三方授权服务器拿到请求后进行验证,验证账号密码是否正确 再然后从前端页面重定向到资源服务器进行登录账号 登录成功后资源服务器拿到code,再然后资源服务器把带有code、client_id、client_secret的信息重定向发送到第三方授权服务器,向它索要Token 授权服务器把角色信息和头像图片封装到Token里面,然后颁发封装好的
HttpClient获取oAuth2.0中的code
weixin_44830737的博客
09-20 3985
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录获取Oauth2授权码code一、准备账号密码appId等参数二、将请求参数(client_id,response_type,redirect_uri)拼接在url后面三、这里我将账号密码用Map进行封装四、调用post请求五、post请求方法六、结果 获取Oauth2授权码code 获取授权码code 需要通过浏览器重定向,把url复制到浏览器打开,然后输入账号密码,才会返回code。 也可以通过httpclient post去
oauth2.0授权码模式详解
weixin_44846436的博客
03-07 4828
oauth2.0授权码模式 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章http://www.javaman.cn/sb2/oauth-code 授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。 这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。 1、授权码模式流程 第一步,A
Oauth2.0 安全性问题,code,CSRF与PKCE
kidkid1208的博客
03-07 5458
CSRF攻击 上图是OAuth2.0授权码授权流程,可以看到,流程中用户整体发起了两次请求到认证服务器后端,且这两次请求是分离的,因此给攻击者发起CSRF攻击制造了条件。即攻击者通过前三步生成攻击者的含授权码的RedirectURL,引导在webapp上已登陆的用户点击恶意网站上的恶意链接(攻击者的含授权码的RedirectURL),这样就会继续步骤6后续流程,造成webapp登陆的用户账号绑定攻击者的第三方账号。 可以看到,CSRF攻击应用在授权码认证流程的条件是用户必须已经登录了第三方网站。即通过将攻.
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
oauth2.0.zip_oauth2.0
09-20
这个压缩包文件"oauth2.0.zip_oauth2.0"包含了深入理解OAuth 2.0的基础知识,特别是针对初学者的入门介绍。其中的"oauth2.0.pdf"文档很可能是详细阐述OAuth 2.0概念、工作流程和实际应用的教程。 OAuth 2.0的核心...
Java的oauth2.0 服务端与客户端的实现 (完整源码、demo)
10-01
Java的oauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:...
webapi基于Owin中间件的oauth2.0身份认证
10-07
**OAuth2.0简介** OAuth2.0是一种授权框架,广泛应用于Web API的身份验证和授权。它允许第三方应用在用户授权的情况下,访问该用户的特定资源,而无需获取用户的用户名和密码。OAuth2.0的核心是将认证和授权分离,...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
OAuth 2.0 授权认证详解
最新发布
顺其自然~专栏
06-26 9023
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
OAuth2】Spring Security OAuth2 授权码模式
hkk666123的博客
05-06 1259
文章目录背景介绍扩展(1)`spring-security-oauth2`获取code的controller:(2)扩展的`userApprovalHandler`生效应用(1)获取code值(2)获取accessToken(有效期暂定72h)(3)获取refreshToken(4)访问资源(用户信息) 背景 由于业务实现中涉及到接入第三方系统(app接入有赞商城等),所以涉及到第三方系统需要获取用户信息(用户手机号、姓名等),为了保证用户信息的安全和接入方式的统一,采用Oauth2四种模式之一的授权码模式
Oauth2--- 授权码模式(authorization_code)过程
silmeweed的博客
09-28 8240
一、获取授权码Code: 访问授权服务器 /oauth/authorize 端点:(只用于"implicit", "authorization_code") GET: http://127.0.0.1:8080/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu...
OAuth 2.0实战(二)-为什么要先获取授权码code?
热门推荐
JavaEdge全是干货的技术号
10-18 9万+
xx软件最终是通过访问令牌请求到我的公众号里的文章。访问令牌是通过授权码换来的。你有想过为何要用授权码换令牌,而不直接颁发访问令牌呢? OAuth 2.0 的角色 资源拥有者、客户端(即第三方软件)、授权服务和受保护资源。 资源拥有者=> 我 客户端 => xx软件 授权服务 -> 公众号开放平台的授权服务 受保护资源 -> 我的公众号里的文章 第 4 步授权服务生成授权码,倘若我们不要授权码,这步直接返回访问令牌access_token 。那就不能重定向,因为这样会把安全保密
OAuth 2.0 (第三方登录)前端流程实现
qq_45799465的博客
11-01 5682
OAuth 实现,前端所需要做的事情。
OAuth2授权码模式详细流程(一)——站在OAuth2设计者的角度来理解code
andy_zhaozhao的专栏
04-14 2179
本文来自于公众号链接: 彻底理解浏览器同源策略SOP ) ​本文接上篇公众号文章《OAuth2核心协议概览》 大纲 概述 为什么要有授权模式 站在OAuth2设计者的角度来理解code 第一次实验:OAuth2 Client直接向用户要token 第二次实验:OAuth2 Client在后端直接向AS要token 第三次实验:OAuth2 Client在前端直接向AS要token 第四次实验:O...
桌面应用嵌入H5(Node-Webkit或者Electron)
haoranhaoshi的博客
01-02 3698
一、Node-Webkit 1、简介: 可将网页文件嵌入到桌面应用程序中,例如暴雪的星际争霸,腾讯的微信、QQ桌面版,酷我音乐等都采用混合桌面应用。 2、使用方法 (1)下载对应操作系统的Node-Webkit包; (2)编写网页文件及package.json文件(Demo是桌面应用的Title,Demo.html是第一个展示的界面); package.json基础内容: {“na...
OAuth 2.0入门指南
"Getting Started with OAuth 2.0" 是一本由 Ryan Boyd 撰写的书籍,主要介绍了OAuth 2.0的使用和概念。OAuth 2.0 是OAuth协议的升级版本,它不与之前的OAuth 1.0兼容,并且在2012年10月正式成为RFC标准。 OAuth ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

风铃峰顶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值