Oauth2.0了解

最新推荐文章于 2024-09-09 17:00:23 发布
最新推荐文章于 2024-09-09 17:00:23 发布
阅读量864 收藏
点赞数 1
文章标签: Oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haoranhaoshi/article/details/130009288
版权

Oauth2.0
一、名称解释
(1)客户端(Client):应用,如微信小程序,Steam游戏。
(2)资源所有者(Resource Owner):用户,如微信用户,Steam用户。
(3)资源服务端(Resource Server):微信服务端,Steam各业务域服务器。
(4)授权服务端(Authorization Server):如微信授权服务端,Steam开放平台授权服务端。
(5)用户代理(User Agent):用户面向的窗口,客户端表现形式,如微信小程序,Steam游戏的网页、Unity、Android、IOS(都有对应SDK封装调用开放平台授权接口)。
二、工作目标
客户端通过用户代理,在资源所有者面向授权服务器授权后,可以访问资源服务器。简单讲,就是用户授权指定应用后,应用可以访问平台的用户数据。
三、使用场景
(1)各种单点登录,如QQ登录,微信登录。
(2)平台应用,如微信小程序,支付宝小程序,Steam游戏,Steam游戏。
四、四种模式
(1)授权码模式(Authorization Code)

<1>授权(应用客户端请求授权服务端):
传入用户标识uid、应用标识appKey,返回授权码code。
code由uid、appKey、appSecret、过期时间戳生成。
有效期5分钟。
<2>申请访问令牌和刷新令牌(应用服务端请求授权服务端):
传入授权码code、应用标识appKey、应用密钥appSecret,返回访问令牌accessToken、刷新令牌refreshToken、过期时长、用户在应用下的标识openId。
code解析出uid、appKey、appSecret、过期时间戳。
appKey、appSecret校验应用服务端真实性。
过期时间戳校验请求有效性。
accessToken由uid、appKey、appSecret、过期时间戳生成。
有效期2小时。
refreshToken由uid、appKey、appSecret、过期时间戳生成。
有效期30天。
openId由uid和appKey生成。

<3>访问开放平台接口(应用服务端请求授权服务端,校验通过后请求业务域服务端):
传入访问令牌accessToken。
accessToken解析出uid、appKey、appSecret、过期时间戳。
appKey、appSecret校验应用服务端真实性。
过期时间戳可以校验请求有效性。
uid识别用户。
<4>刷新访问令牌(应用服务端请求授权服务端):
传入应用标识appKey、刷新令牌refreshToken,返回访问令牌accessToken、刷新令牌refreshToken、过期时长、用户在应用下的标识openId。
refreshToken解析出uid、appKey、appSecret、过期时间戳。
appKey、appSecret校验应用服务端真实性。
过期时间戳可以校验请求有效性。
重新生成accessToken和refreshToken。
思考1:为什么授权后不直接返回访问令牌?
访问令牌存储在客户端,泄漏风险高。
思考2:为什么授权后不通知客户端授权成功,同时根据配置的接口通知应用服务端访问令牌和刷新令牌?
使授权服务端低延迟,减轻授权服务端压力。
思考3:为什么授权码有效期很短?
减小授权码在客户端的泄漏风险。
思考3:为什么访问令牌有效期短?
减小泄漏后的风险。
思考4:为什么不直接传访问令牌来续期?为什么刷新令牌有效期长?
使用访问令牌续期会造成用户频繁授权,而刷新令牌有效期长,可以避免用户频繁授权。
思考5:为什么刷新时不再次传入密钥,提高应用服务端真实性?
刷新是较为频繁的操作,传入密钥会增加泄漏风险。
思考6:申请令牌时,如何避免密钥暴露?
申请访问令牌和刷新令牌时,传入密钥参与的签名,不把密钥暴露在传输中,减小密钥泄漏风险。
(2)简化模式(Implicit)
应用客户端传入uid、appKey获取访问令牌和过期时长。
应用没有服务端时使用。Steam游戏如果没有服务端,采用这种方式。
访问平台能力,和用户无关,如申请房间,使用的accessToken由appKey和appSecret生成,也无需授权码参与。
(3)密码模式(Resource Owner Password Credentials)
用户在对应用客户端高度信任的情况下,向应用客户端提供用户名和密码,应用客户端靠用户名和密码获得授权服务端授权。
(4)客户端模式(Client Credentials)
应用客户端直接向授权服务端请求访问令牌。
五、扩展方向
(1)unionId
同一个开发者账号有下有多个应用,申请令牌后可以返回unionId,由uid和账号Id生成,是同一个用户跨应用的公用标识。
(2)scope
授权时可以细化到具体的业务域,申请令牌后可以返回scope,表明此时授权的一个或多个业务域。
(3)Oauth1.0
机制:应用端获取requestToken,用户授权后,应用端用授权后的requestToken获取访问令牌。
访问令牌可以存储到一年或一年以上,没有刷新机制。只支持http,不支持https。
(4)安全性
传输安全,如使用SSL防拦截获取和加签防篡改。
客户端安全存储,如授权码、访问令牌加密存储。
应用服务端安全存储,如应用密钥加密存储,甚至应用标识加密存储。
密钥生成的随机性,如16位随机数。
访问安全性,如应用访问业务域限制,甚至域内接口访问限制。

python爬虫-steam登录cookie刷新实现记录
XIAOXIANG233233的博客
12-10 2871
最近发现之前一直用的steam登录cookie刷新接口无了,每天cookie就会掉线一次。只好再次打开steam网页版尝试抓包。比较简单的两个接口,无需js逆向等工作,还是挺轻松的。希望这篇文章对你有所帮助。
使用Springboot搭建OAuth2.0 Server的方法示例
08-27
使用 Springboot 搭建 OAuth2.0 Server 需要了解 OAuth2.0 的设计思路和运行流程,熟悉 Spring Boot 和 Spring Security 的基本概念,掌握 pom.xml 文件的管理依赖关系,并编写实现授权服务提供方的逻辑。
oauth2.0
一个2年工作经验的程序测试员
07-03 207
1Oauth2.0 三种类型的认证方式 1、 web网站认证 用户从第三方web site页面,302跳转至账号中心 输入参数:appkey、回跳地址、认证类型 https://account.aliyun.com/oauth/authorize?oauth_consumer_key=YOUR_APP_KEY&amp;oauth_callback=YOUR_CALL...
Unity3d_qq互联共享_Oauth2.0
HDS--By
10-11 1900
目录[隐藏] 1 1. 为什么要升级到OAuth2.0协议 2 2. 如何升级到OAuth2.0协议 2.1 第一步:实现OAuth2.0协议的授权流程 2.2 第二步:升级OAuth1.0的用户为OAuth2.0的用户 3 3. 常见问题 3.1 3.1 OAuth 2.0需要申请吗? 3.2 3.2 在实现OAuth2.
PHP 对接 STEAM 第三方登陆
码狗V1的博客
11-18 1201
PHP 对接STEAM 授权登陆
H5接入Steam 获取用户数据案例 使用 OpenID 登录绑定公司APP账户 steam公开用户信息获取 steam webapi文档使用
最新发布
Beatingworldline的博客
09-09 3356
communityvisibilitystate - int型,资料可见模式 1 = 隐私 2 = 仅好友可见 3 = 用户好友的好友也可见 4 = 只对登录Steam的用户可见 5 = 公开,任何人可见。personastate - 用户状态 0 - 不在线 (如果资料为隐私也是如此) 1 - 在线 2 - 忙碌 3 - 离开 4 - 休息?gameid - 如果用户在游戏中,这会是以String形式的游戏APP ID(DOTA2是570steamid - 用户64位ID。
基于Django2.1.2OAuth2.0授权登录
04-15
这个基于Django 2.1.2OAuth2.0授权登录课程设计,可能是为了让学生了解如何在实际项目中整合OAuth2.0,提升Web应用的安全性和用户体验。通过学习和实践这个项目,开发者不仅可以掌握OAuth2.0的原理,还能深入理解...
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
这个工具可能还支持 OAuth 2.0 的相关功能,如生成和验证 OAuth 2.0 授权令牌。在使用这个工具之前,需要理解 JWT 和 OAuth 2.0 的基本原理,并按照库的文档或说明进行配置和调用。 总的来说,JWT 和 OAuth 2.0...
完整Oauth 2.0实现实例
03-06
通过这个完整的 OAuth 2.0 实例,你可以了解到如何在 Java 环境下实现这一授权框架,并且能够应用于实际的开发项目中。文件名“oauthWeb”可能指的是包含整个 Web 应用的源代码,其中包含了 OAuth 2.0 相关的配置和...
NET Core 3.1 MVC演示Xero OAuth 2.0客户端身份验证和OAuth 2.0API
01-24
【标题】"NET Core 3.1 MVC演示Xero OAuth 2.0客户端身份验证和OAuth 2.0 API" 涉及的关键知识点包括: ...开发者可以通过学习和分析这个项目,了解如何在实际项目中整合OAuth 2.0授权机制和API交互。
什么是 Access Token
让每一行代码都有改变世界的力量
09-18 1万+
什么是 Access TokenOpaque Access TokenJWT Access TokenAccess Token 示例 Access Token 用于基于 Token 的认证模式,允许应用访问一个资源 API。用户认证授权成功后,Authing 会签发 Access Token 给应用。应用需要携带 Access Token 访问资源 API,资源服务 API 会通过拦截器查验 Access Token 中的 scope 字段是否包含特定的权限项目,从而决定是否返回资源。 如果你的用户通过社交
Steam好友隐身玩游戏?使用SteamWebApi获取好友的游戏时长,并用钉钉推送告诉你他在不在玩
HelloWorld, GraspWorld!
09-19 8666
最近,我的一个steam好友经常玩游戏,但是他竟然隐身,我非常生气,玩游戏你就玩吧,你为什么偷偷玩呢?? 于是我写了一段脚本,获取了他每日的游戏时长,然后用钉钉给我推送。 下面讲一下脚本的制作过程。 第一步:获取steam信息 首先参考了Steam Web Api,具体可以参考: Steam Community :: Steam Web API Terms of Use Steam Web API简易使用介绍 主要使用了这个Api: 最近游玩 http://api.steampowered.com/IPla
OpenID和OAuth的区别及第三方登录的安全隐患分析
曲高和寡
07-22 710
不知道什么时候开始,我们已经习惯了点击“用XX帐号登录”或者“Login with XX”来访问网站,但是大多数人可能都不知道这背后涉及的事有多复杂。OpenID和OAuth完全是为了两种不同的需求而生 OpenID的目标是为了帮助网站确认一个用户的身份OAuth的目标是为了授权第三方在可控范围下访问用户资源 OpenID是怎么认证用户的? 一个网站如果想要接入OpenID认证是非常简单的...
网站使用第三方Steam帐号登录[OpenID]
热门推荐
Chyun8898g的专栏
11-14 15万+
using System; using System.Collections.Generic; using System.Text; using System.Text.RegularExpressions; using System.Net; using System.Web; namespace Utility.OpenID { /// /// Steam OpenID 管
steam第三方授权登录不稳定(openid4java)
joefany的博客
02-11 1万+
steam 官方文档地址:https://developer.valvesoftware.com/wiki/Steam_Web_API要到官网设置域名(服务器域名),同时该域名要绑定一个key,该key似乎需要买一个游戏才能获取key的权限...
[OIDC&&Oauth2 ] 理解Oauth2授权框架
zh_coder
01-14 7751
.  什么是Oauth2授权框架?   Oauth2是一种通用的开放式的面向个人(即用户)网络授权方案,它的前身是Oauth1。但是由于Oauth1设计复杂,易用性差,所以Oauth2Oauth1并不兼容。 二. Oauth2.0的应用场景        我们拿csdn登录来举个栗子,来看csdn的登录页面下方:                  其
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

风铃峰顶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值