【OAuth2】access code与access token的区别

已于 2023-05-28 11:48:05 修改
阅读量941 收藏 2
点赞数 2
文章标签: java
于 2021-06-17 19:25:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/harbor_lee/article/details/117997731
版权

两次请求,第一次是跳转到第三方并登录以得到access code,第二次是发送请求并携带access code以得到access token。为啥要设计成两次请求,可以参考这篇1,大意是解决access token被滥用的可能,因为第二次请求可能会携带ip、设备名、app名、access code来生成唯一的access token。为啥不在第一次请求时携带上这些信息,文章说可能是为了清晰,我觉得应该也为了省内存吧,如果第一次请求时用户名密码错误,携带那些信息就会占用提供OAuth2服务的服务端内存,没有必要。
这篇2感觉是补充,因为返回access code是通过回调,回调的第三方url可能是http的,直接返回access token存在安全问题。oauth2的服务器本身都是走https。
从本人工作中的使用来总结,access code会随第三方登录成功后的回调返回到浏览器,服务端处理该回调请求时会拿access code在服务端发起http请求到第三方换取access token,换取时需要携带服务端appId、secret等敏感信息,如果一次请求就能搞定那意味着浏览器发出的第三方请求里需要带上这些敏感信息,显然不如服务端发出更安全。
另外,附上一个和chatGpt聊天的截图,设计前后端+第三方认证的请求流时可考虑进来这个细节。
在这里插入图片描述
在这里插入图片描述

  1. https://zhuanlan.zhihu.com/p/92474561 ↩︎

  2. https://zhuanlan.zhihu.com/p/84670338 ↩︎

harbor_lee
关注
Oauth2协议中如何对accessToken进行校验
飘渺Jam的博客
07-04 3847
大家好,我是飘渺。今天我们来聊聊oauth2.0的accesstoken校验逻辑。概述本文来自球友Never Sett* 的提问看完这个问题,我感觉读者对于accesstoken的校验逻辑不太清楚,所以特意写了这篇文章解释一下。首先我们要知道Oauth2是一个授权协议,客户端访问某个被保护的资源之前,需要先通过认证服务器获取accesstoken,而后通过在请求头上带上a......
python access token_如何使用Python获取oauth2 access_token
weixin_29437633的博客
02-19 1563
对于一个项目,有人给了我这个我在Postman中用于测试目的的数据:在Postman中,这非常有效.我只需要取回访问令牌.有一次,我得到了访问令牌,我可以继续.我已经尝试了几个Python包和一些自定义代码,但不知怎的,这个看似简单的任务开始引起真正的麻烦.我试过一个例子:import httplibimport base64import urllibimport jsondef getAuthT...
第三方登录
hyly_zhard的博客
11-21 329
1、 为什么先返回code呢? 这个返回的code只能够使用一次。 这个code是从qq的服务器返回给网站时,我们时通过浏览器来实现的,在这个传输的过程中,是有可能被人捕获的,假设返回的是token别人就能使用token去换取数据了。 再者,这个code是一次性的,就算被别人捕获到了也没有用,因为已经使用过一次了,已经失效了。 为什么要使用token换取用户信息呢?为什么不直接返回用户信息呢? ...
微信开发之Author网页授权
weixin_34148456的博客
11-08 524
微信开发中,经常有这样的需求:获得用户头像、绑定微信号给用户发信息.. 那么实现这些的前提就是授权! 1.配置安全回调域名: 在微信公众号请求用户网页授权之前,开发者需要先到公众平台官网中的“开发 - 接口权限 - 网页服务 - 网页帐号 - 网页授权获取用户基本信息”的配置选项中,修改授权回调域名,值得注意的是这里就是直接写全域名,如: www.liliangel.cn。然...
token和JWT和code区别
noodzhan
07-17 1251
授权码 auth_code 概述: 这个auth_code是认证服务器分发的,比如说你做了一个网站,要支持第三方登录(微信,QQ等),你可以发送一个请求到微信的认证中心去,然后用户同意授权之后,微信的服务器会分发auth_code,然后别人携带你的auth_code就可以获取你的个人信息。 令牌 access_token 存储位置:cookie 携带的信息:一般是用户的身份信息(id,name) JWT 获取:一般需要你的access_token来获取JWT 存储位置:head(请求头) 携带的
授权协议OAuth 2.0之授权码和访问令牌
最新发布
wang0907的博客
04-12 1265
我们知道,OAuth2.0一共有四个角色,受保护资源拥有者,客户端,授权服务器,受保护资源,其中最重要的角色当属授权服务器模式了,而在授权服务器中最重要的又莫过于授权码和访问令牌access_token,就如下图所示:因此,本文就来看下授权码和访问令牌access_token是如何生成的。
oauth2使用授权码模式(authorization code)获取access_token
热门推荐
吴国凯的博客
05-05 3万+
oauth2获取access_token的几种方式: 简化模式(implicit):在redirect_url中传递access_token,oauth客户端运行在浏览器中。 密码模式(password):将用户名和密码传过去,直接获取access_token。 客户端模式(client credentials):用户向客户端注册,然后客户端以自己的名义向“服务端”获取资源。 授权码模式(aut...
oauth2获取access_token1
08-08
OAuth2 获取 access_token 的几种方式 在 OAuth2 协议中,获取 access_token 是一个非常重要的步骤。 access_token 是客户端访问资源服务器的唯一凭证,用于身份验证和授权。下面将详细介绍 OAuth2 获取 access_...
oauth2.0 access_token资源认证
01-10
OAuth2.0是一种授权框架,广泛应用于Web应用和API接口的安全访问控制,允许第三方应用在用户许可的情况下,获取有限的访问权限。...客户端通过获取和使用access_token,能够在用户授权范围内安全地与数据库进行交互。
OAuth2获取token报错invalid stream header
12-14
记一次异常解决:OAuth2获取token...检查需要创建的OAuth2的几张表:oauth_access_tokenoauth_approvals、oauth_client_details、oauth_client_tokenoauth_codeoauth_refresh_token 这几张表的字段类型一定要设
Oauth2获取用户基本信息JAVA
08-07
微信基于Oauth2获取用户基本信息,保证可用。
Oauth2_授权登录之access_token与open_id关联
ThefFirsttThelLast的博客
08-07 978
场景描述:我公司开发的App需要集成甲方的第三方应用(H5),甲方要求实现授权登录,我方App账户需保证登录第三方应用,但又不想泄露过多信息给第三方。在这套流程体系中,本人对微信、支付宝、QQ的access_token与open_id如何关联进行猜想,并制定了自己的方案 方案说明:本方案主要目的是解决codeaccess_token与用户关联问题,因此对获取access_token\refre...
为什么OAuth2里面在获取access token之前一定要先获取code,然后再用code去获取access token
qq_25123887的博客
09-25 2534
为什么OAuth2里面在获取access token之前一定要先获取code,然后再用code去获取access token 为什么OAuth2里面在获取access token之前一定要先获取code,然后再用code去获取access token oauth2在获取access_token之前,一定要先获取code,主要是因为安全原因: code需要设置过期时间,一般设置的过期时间非常短,如10分钟等,用户需要在短时间内通过code换取access_token,避免code被第三方拦截。当然,即便这种情
OAuth2简介生成accessToken(一)
weixin_54889617的博客
12-10 5827
SpringSecurityOAuth2的基本Api简介和生成Access_Token
【PHP】阿里巴巴开放平台Oauth2.0协议获取access_token
不纯正的逼格的专栏
01-16 134
如果对Oauth2不太熟,有时间的话可以去学习一下之前写的一篇。二、拿Codeaccess_token
OAuth2扩展access_token(二)
weixin_54889617的博客
12-10 1922
OAuth2中扩展用户信息
springsecurity-oauth2令牌 access_token验证
clonetx的博客
06-21 4250
springsecurity oauth2 令牌access_token验证源码分析
OAuth2四种授权登录之密码模式获取TOKEN
GinChou的萌新博客
09-03 1万+
学习地址: https://www.majiaxueyuan.com/uc/play/65 目录 1.简介 2.Oauth2角色划分 3.OAuth2为我们提供了四种授权方式 4.密码获取TOKEN方式 5.测试 1.简介 OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所...
微信环境下获取codeaccess_token和openid
weixin_38242636的博客
05-27 794
//获取code getCode () function getCode() { var code = GetRequest()['code']; var local = window.location.href; if (code == null || code === '') { window.location.href = 'https://open.weixin.qq.com/connect/oauth2/authorize?appid=' + windo.
spring security oauth2 怎么用codeaccess_token
06-10
使用Spring Security OAuth2进行code换取access_token的步骤如下: 1.客户端向认证服务器发出授权请求,包括客户端ID、访问范围、重定向URI和response_type=code参数。 2.认证服务器对用户进行认证,如果用户认证...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值