OAuth2简介

已于 2022-08-26 19:26:44 修改
阅读量271 收藏
点赞数 1
分类专栏: 前端 文章标签: oauth2
于 2022-08-11 08:03:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hc1285653662/article/details/126277712
版权

来源博客:https://blog.csdn.net/weixin_39556811/article/details/111617313

一、OAuth2.0 是什么?

OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色,在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。

OAuth2.0 是OAuth 协议的一个版本,OAuth2.0 不向下兼容OAuth1.0

举个栗子解释一下什么是 OAuth 授权?
在家肝文章饿了定了一个外卖,外卖小哥30秒火速到达了我家楼下,奈何有门禁进不来,可以输入密码进入,但出于安全的考虑我并不想告诉他密码。此时外卖小哥看到门禁有一个高级按钮“一键获取授权”,只要我这边同意,他会获取到一个有效期 2小时的令牌(token)正常出入。
在这里插入图片描述

二、OAuth2.0 授权方式

OAuth2.0 的授权简单理解其实就是获取令牌(token)的过程,OAuth 协议定义了四种获得令牌的方式

  • 授权码(authorization-code)
  • 隐藏式(implicit)
  • 密码式(password)
  • 客户端凭证(client credentials)

但值得注意的是,不管我们使用哪一种授权方式,在第三方应用申请令牌之前,都必须在系统中去申请身份唯一标识:客户端 ID(client ID)和 客户端密钥(client secret)。这样做可以保证 token 不被恶意使用。
下面我们会分析每种授权方式的原理,在进入正题前,先了解 OAuth2.0 授权过程中几个重要的参数:

  • response_type:code 表示要求返回授权码,token 表示直接返回令牌
  • client_id:客户端身份标识
  • client_secret:客户端密钥
  • redirect_uri:重定向地址
  • scope:表示授权的范围,read只读权限,all读写权限
  • grant_type:表示授权的方式,AUTHORIZATION_CODE(授权码)、password(密码)、client_credentials(凭证式)、refresh_token 更新令牌
  • state:应用程序传递的一个随机数,用来防止CSRF攻击。

1、授权码

OAuth2.0四种授权中授权码方式是最为复杂,但也是安全系数最高的,比较常用的一种方式。这种方式适用于兼具前后端的Web项目,因为有些项目只有后端或只有前端,并不适用授权码模式。

社交登录是授权码模式常用的一个实例

下图我们以用WX登录掘金为例,详细看一下授权码方式的整体流程。
在这里插入图片描述
1)用户选择WX登录掘金,掘金会向WX发起授权请求,接下来 WX询问用户是否同意授权(常见的弹窗授权)

https://wx.com/oauth/authorize?response_type=code&client_id=CLIENT_ID
                              &redirect_uri=http://juejin.im/callback&scope=read

response_type 为 code 要求返回授权码
scope 参数表示本次授权范围为只读权限
redirect_uri 为授权成功后重定向到掘金的地址

2)用户同意授权后,WX 根据 redirect_uri重定向并带上授权码

http://juejin.im/callback?code=xxxx

3)当掘金拿到授权码(code)时,带授权码和密匙等参数向WX申请令牌

https://wx.com/oauth/token?client_id=xxx&client_secret=xxx
&grant_type=authorization_code&code=xxx&redirect_uri=http://juejin.im/callback

grant_type表示本次授权为授权码方式authorization_code
获取令牌要带上客户端密匙 client_secret,授权码 code

4)最后 WX 收到请求后向 redirect_uri 地址发送 JSON 数据,其中的access_token 就是令牌;
最后,掘金可以通过access_token 访问资源用户在微信的一些数据

 {      "access_token":"ACCESS_TOKEN",  
        "token_type":"bearer",  
        "expires_in":2592000,  
        "refresh_token":"REFRESH_TOKEN",  
        "scope":"read",  
        ......}

2、隐藏式

如果Web应用是没有后端的, 属于纯前端应用,无法用上边的授权码模式。令牌的申请与存储都需要在前端完成,跳过了授权码这一步。
前端应用直接获取 token,response_type 设置为 token,要求直接返回令牌,跳过授权码,WX授权通过后重定向到指定 redirect_uri

https://wx.com/oauth/authorize?
     response_type=token&client_id=xxx&redirect_uri=http://juejin.im/callback&scope=read

3、密码模式

用户在掘金直接输入自己的WX用户名和密码,掘金拿着信息直接去WX申请令牌,请求响应的 JSON结果中返回 token
grant_type 为 password 表示密码式授权。

https://wx.com/token?grant_type=password&username=xxx&password=xxx&client_id=xxx&client_secret

这种授权方式缺点是显而易见的,非常的危险,如果采取此方式授权,该应用一定是可以高度信任的

4、客户端模式

凭证式和密码式很相似,主要适用于那些没有前端的命令行应用,可以用最简单的方式获取令牌,在请求响应的 JSON 结果中返回 token
grant_type 为 client_credentials 表示凭证式授权,client_id 和 client_secret 用来识别身份

https://wx.com/token?grant_type=client_credentials&client_id=CLIENT_ID&client_secret=CLIENT_SECRET

三、令牌的使用与更新

1、令牌怎么用?

拿到令牌可以调用 WX API 请求数据了,那令牌该怎么用呢?
每个到达WX的请求都必须带上 token,将 token 放在 http 请求头部的一个Authorization字段里

2、令牌过期怎么办?

token是有时效性的,一旦过期就需要重新获取,但是重走一遍授权流程,不仅麻烦而且用户体验也不好,那如何让更新令牌变得优雅一点呢 ?

一般在颁发令牌时会一次发两个令牌,一个令牌用来请求API,另一个负责更新令牌 refresh_token。grant_type 为 refresh_token 请求为更新令牌,参数 refresh_token 是用于更新令牌的令牌

https://wx.com/oauth/token?grant_type=refresh_token&client_id=xxx
               &client_secret=xxx&refresh_token=xxx
坚持每天学习一点
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2】详细讲解
Huang_Ds的博客
06-30 2万+
Oauth2的基本概念与四种认证模式的详细讲解 ​​​​​​​
OAuth2 详细介绍!
weixin_52834606的博客
09-22 1万+
OAuth2 , Spring Security OAuth2 , JWT
SpringCloud之SSO单点登录-基于Gateway和OAuth2的跨系统统一认证和鉴权详解
最新发布
踏雨歌青春,诗酒趁年华
05-29 1万+
本文详述了如何利用SpringCloud、Gateway和OAuth2实现跨系统的统一认证和鉴权。文章介绍了SSO单点登录的概念和优势,通过具体的配置和代码示例,讲解了如何搭建一个安全、高效的认证中心,实现用户只需一次登录即可访问多个系统的目标,从而提高系统安全性和用户体验。
OAuth2】授权框架的四种授权方式详解
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
12-24 6287
OAuth 2是一种授权框架,允许第三方应用通过用户授权的形式访问服务中的用户信息,最常见的场景是授权登录;再复杂一点的比如第三方应用通过 Github 给开发者提供的接口访问权限内的用户信息或仓库信息。OAuth2 广泛应用于 web 、桌面应用、移动 APP 的第三方服务提供了授权验证机制,以此实现不同应用间的数据访问权限。下面分别从不同角色、授权类型、使用场景及流程的纬度详细介绍 OAuth2。
前言技术之Oauth2全方面介绍
m0_53151031的博客
03-25 3935
一、Oauth2基本概念 1、定义 Oauth2是目前最流行的授权机制,用来授权第三方应用,获取用户数据 2、场景带入 1、外卖场景 一户人家住在一个大型居住小区,小区有门禁系统,进入小区需要输入密码,这户人家经常性点外卖,必须让外卖人员进入到小区,如果把密码告诉外卖人员,这样的话,他就和户主拥有了一样的权限,这样安全隐患太大,给了外面人员密码之后,为了安全,必须要进行修改密码,这就很麻烦。 这时候Oauth2就诞生了,外卖人员的职责只是送货,没必要知道小区密码 ...
认证授权:OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3734
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密码提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
oauth2.rar
03-26
1. **OAuth2简介** OAuth2 是一种开放标准,它允许用户让第三方应用在不泄露用户密码的情况下,通过用户代理(通常是浏览器)获取授权来访问其私有资源。这个标准定义了四种授权模式:授权码模式、简化模式、密码...
Spring Cloud与OAuth2整合简介
08-22
"Spring Cloud与OAuth2整合简介" Spring Cloud与OAuth2整合简介是指将Spring Cloud框架与OAuth2认证协议进行整合,以实现微服务架构中的身份验证和授权管理。OAuth2是目前最流行的身份验证和授权协议之一,广泛应用...
oauth2:Elixir OAuth 2.0客户端库
02-03
在Elixir中,为了与OAuth 2.0兼容的服务进行交互,开发者可以使用`oauth2`库。 **OAuth 2.0简介** OAuth 2.0 是一个开放标准,用于授权。它定义了一种允许应用程序代表用户获取访问权限的方式,而无需共享用户的...
Douban-Java-SDK-OAuth2-origin.zip_android_oauth2
09-20
1. **导入SDK**:将"Douban-Java-SDK-OAuth2-origin"中的库文件引入Android项目。 2. **配置客户端信息**:在应用中初始化豆瓣SDK,设置客户端ID和密钥。 3. **启动授权流程**:使用SDK提供的方法启动授权页面,并...
node-oauth2-server
03-30
一、OAuth2简介 OAuth2的主要目标是为第三方应用提供有限的访问权限,用户可以授权第三方应用访问他们存储在特定服务提供商的数据,而无需共享他们的用户名和密码。OAuth2定义了四种授权类型:授权码(Authorization...
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 8450
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
OAuth2】OAuth2概述及使用GitHub登录第三方网站
Decade_Faiz的博客
07-19 2438
OAuth 是一个开放的非常重要的认证标准/协议,允许用户授权第三方应用访问其存储在其他网站上资源,而无需将用户名密码提供给第三方网站的开放标准/协议。OAuth2 是 OAuth 的最新版本,同时也是被广泛应用的一个版本。我们在网站上常见的QQ登录,微信扫码登录,GitHub 授权登录就是基于 OAuth2.0 实现的。点击跳转。
OAuth2.0到底是什么?看完你就明白了!
qq_41826150的博客
06-30 1809
OAuth2是一种开放授权协议,是一种用于授权的规范。它提供了一种灵活的授权方式,允许用户在第三方应用中安全地授权访问其受保护的资源,而无需共享其用户名和密码。OAuth2协议定义了客户端如何请求授权、用户如何在客户端和应用之间进行授权,以及如何交换授权信息以获取Access Token。Access Token是第三方应用访问用户资源的凭证,具有一定的有效期限。OAuth2的引入解决了传统授权方式中存在的安全性和可维护性问题,使得用户可以更加灵活和安全地授权第三方应用访问其资源。
oauth2基本概念
热门推荐
qq_31211493的博客
03-21 1万+
1.什么是oauth2 OAuth2.0介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点:简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使
什么是OAuth2
weixin_60257072的博客
01-19 1568
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。Spring Security支持OAuth2认证,OAuth2提供授权码模式、密码模式、简化模式、客户端模式等四种授权模式,前边举的微信扫码登录的例子就是基于授权码模式,这四种模式中授权码模式和密码模式应用较多,本节使用Spring Security演示授权码模式、密码模式,其余两种请自行查阅相关资料。授权码模式简单理解是使用授权码去获取令牌,要想获取令牌先要获取授权码,授权码的获取需要资源拥有者亲自授权同意才可以获取。
Spring Security OAuth2详解
qq_33814479的博客
10-12 6339
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
深入理解Spring Security OAuth2及JWT
森屿@光年的博客
11-02 5345
什么是OAuth2? OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。主要涉及的RFC规范有RFC6749(整体授权框架),RFC6750(令牌使用),RFC6819(威胁模型)这几个,一般我们需要了解的就是RFC6749。获取令牌的方式主要有四种,分别是授权码模式,简单模式,密码模式和客户端模式,如何获取token不在本篇文章的讨论范围,我们这里假定客户
Spring Cloud OAuth2 简介及使用
weixin_56941647的博客
03-24 2178
Spring Cloud OAuth2 简介及使用
关于 Spring-Security 以及OAUTH的 技术博文 5000字以上
06-10
Spring Security 是一个强大的安全框架,可以用于保护 Spring 应用程序中的资源。OAuth 是一种授权机制,可以用于保护 Web 应用程序中的资源。本文将介绍 Spring Security 和 OAuth 的相关知识和技术,以及如何在应用程序中使用它们。 一、Spring Security 1.1 Spring Security 简介 Spring Security 是一个强大的安全框架,可以用于保护 Spring 应用程序中的资源。Spring Security 提供了多种安全特性,如认证、授权、加密等。通过使用 Spring Security,我们可以轻松地保护应用程序中的资源,如 URL、方法、服务等。 1.2 Spring Security 特性 Spring Security 提供了多种安全特性,如认证、授权、加密等。以下是 Spring Security 的一些主要特性。 (1)认证:通过认证机制,可以验证用户是否具有访问资源的权限。Spring Security 提供了多种认证方式,如表单认证、HTTP 基本认证、LDAP 认证等。 (2)授权:通过授权机制,可以限制用户对资源的访问权限。Spring Security 提供了多种授权方式,如基于角色的授权、基于权限的授权等。 (3)加密:通过加密机制,可以保护用户的敏感信息。Spring Security 提供了多种加密方式,如 MD5、SHA、BCrypt 等。 (4)会话管理:通过会话管理机制,可以管理用户的会话信息,如会话超时时间、会话 ID 等。 (5)注解支持:通过注解机制,可以在代码中使用注解来控制资源的访问权限。 1.3 Spring Security 实现原理 Spring Security 的实现原理主要是通过过滤器链来实现的。当请求到达应用程序时,Spring Security 会拦截请求,并根据配置的过滤器链来判断请求是否合法。如果请求合法,则允许请求通过,否则拒绝请求。 二、OAuth 2.1 OAuth 简介 OAuth 是一种授权机制,可以用于保护 Web 应用程序中的资源。OAuth 主要用于授权第三方应用程序访问用户的资源。例如,当我们使用第三方登录时,需要使用 OAuth 机制来保护用户的隐私信息。 2.2 OAuth 2.0 OAuth 2.0 是 OAuth 的一个升级版本,主要用于 Web 应用程序中的资源保护。OAuth 2.0 相比于 OAuth 1.0,有以下几个改进。 (1)简化了流程:OAuth 2.0 简化了授权流程,使得开发者可以更容易地实现 OAuth 机制。 (2)支持多种认证方式:OAuth 2.0 支持多种认证方式,如授权码模式、密码模式、客户端模式等。 (3)支持多种授权方式:OAuth 2.0 支持多种授权方式,如基于角色的授权、基于权限的授权等。 2.3 OAuth 2.0 实现原理 OAuth 2.0 的实现原理主要是通过授权服务器和资源服务器来实现的。当第三方应用程序请求访问用户的资源时,需要经过授权服务器的认证和授权,然后才能访问用户的资源。授权服务器的认证和授权主要是通过 OAuth 2.0 的认证和授权流程来实现的。 三、Spring Security 和 OAuth 的整合 3.1 Spring Security OAuth Spring Security OAuth 是 Spring Security 的一个扩展,可以用于实现 OAuth 2.0 授权机制。Spring Security OAuth 提供了多种认证方式和授权方式,可以轻松地实现 OAuth 2.0 授权机制。 3.2 Spring Security 和 OAuth 的整合 Spring Security 和 OAuth 的整合可以使用 Spring Security OAuth 来实现。以下是 Spring Security 和 OAuth 的整合步骤。 (1)引入 Spring Security OAuth 依赖。 (2)配置 OAuth 2.0 客户端信息。 (3)配置 Spring Security OAuth 2.0 认证服务器。 (4)配置 Spring Security OAuth 2.0 资源服务器。 (5)在应用程序中使用 OAuth 2.0 认证机制。 四、案例及开源链接 以下是一个基于 Spring Security 和 OAuth 的案例及其开源链接。 4.1 Spring Security 和 OAuth2.0 实现基于 Github 的第三方登录 该案例基于 Spring Security 和 OAuth2.0 实现了基于 Github 的第三方登录。用户可以使用 Github 账号登录应用程序,而无需再次进行注册。开源链接:https://github.com/spring-guides/tut-spring-security-and-angular-js/tree/master/oauth2-github 五、总结 本文介绍了 Spring Security 和 OAuth 的相关知识和技术,以及如何在应用程序中使用它们。通过使用 Spring Security 和 OAuth,我们可以轻松地保护应用程序中的资源,保护用户的隐私信息。在实际开发中,我们应该根据具体情况选择合适的认证方式和授权方式,以保证应用程序的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值