SpringOAuth2授权流程分析

已于 2024-06-17 14:40:09 修改
阅读量2.5k 收藏 9
点赞数 2
分类专栏: java 文章标签: OAuth2.0
于 2022-08-08 15:46:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjfcgt123/article/details/126228873
版权

一、什么是OAuth2.0

简单说,OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。

具体可以参考阮一峰的博客:OAuth 2.0 的一个简单解释 - 阮一峰的网络日志,这里面形象的讲述了什么是OAuth2.0

二、OAuth 2.0 授权

1、OAuth2.0的组成部分

OAuth 2.0 的标准是 RFC 6749 文件,该文件介绍了OAuth 2.0 的四个组成部分

  • Resource Owner(资源所有者)
  • Client (第三方接入平台,请求者)
  • Resource Server (资源服务器: 数据中心)
  • Authorization Server (授权/认证服务器)

RFC6749文件中表明:OAuth2.0 引入了一个授权层,用来分离两种不同的角色:请求者Client 和资源所有者Resource Owner。请求者Client 向资源所有者Resource Owner申请授权,资源所有者Resource Owner同意以后,授权/认证服务器Authorization Server可以向请求者Client颁发令牌。请求者通过令牌,去资源服务器Resource Server请求数据。

2、授权方式

RFC6749文件中对于OAuth 2.0 如何颁发令牌的细节,规定得非常详细。具体来说,一共分成四种授权类型(authorization grant),即四种颁发令牌的方式,适用于不同的互联网场景。

  • 授权码(authorization-code)
  • 隐藏式(implicit)
  • 密码式(password)
  • 客户端凭证(client credentials)

注意,不管哪一种授权方式,请求者在申请令牌时都必须携带两个身份识别码:客户端 ID(client ID)和客户端密钥(client secret)。这些clientID 和 clientSecret 都必须先到系统备案(OAuth2.0 自带的数据库表oauth_client_details中存在记录),这是为了防止令牌被滥用,没有备案过的,是不会拿到令牌的。

2.3、授权码模式

授权码(authorization code)模式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。

这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。

1.第一步,A 网站提供一个链接,用户点击后就会跳转到 B 网站,授权用户数据给 A 网站使用。下面就是 A 网站跳转 B 网站的一个示意链接。
https://b.com/oauth/authorize?response_type=code&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read
上面 URL 中,response_type参数表示要求返回授权码(code),client_id参数让 B 知道是谁在请求,redirect_uri参数是 B 接受或拒绝请求后的跳转网址,scope参数表示要求的授权范围(这里是只读)。

 2.第二步,用户跳转后,B 网站会要求用户登录,然后重定向到确认页,询问是否同意给予 A 网站授权。用户点击按钮表示同意,这时 B 网站就会跳回redirect_uri参数指定的网址。跳转时,会传回一个授权码,就像下面这样。
https://a.com/callback?code=AUTHORIZATION_CODE
上面 URL 中,code参数就是授权码。

 3.第三步,A 网站拿到授权码以后,就可以在后端,向 B 网站请求令牌。
https://b.com/oauth/token?client_id=CLIENT_ID&client_secret=CLIENT_SECRET&grant_type=authorization_code&code=AUTHORIZATION_CODE&redirect_uri=CALLBACK_URL
上面 URL 中,client_id参数和client_secret参数用来让 B 确认 A 的身份(client_secret参数是保密的,因此只能在后端发请求),grant_type参数的值是AUTHORIZATION_CODE,表示采用的授权方式是授权码,code参数是上一步拿到的授权码,redirect_uri参数是令牌颁发后的回调网址。 

 4.第四步,B 网站收到请求以后,就会颁发令牌。具体做法是向redirect_uri指定的网址,发送一段 JSON 数据。

{    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  "uid":100101,
  "info":{...}
}

上面 JSON 数据中,access_token字段就是令牌,A 网站在后端拿到了。
最终请求路径示意图如下图所示:(图片来源于网络,有侵权可联系删除) 

2.4、简化模式(隐藏式)

有些 Web 应用是纯前端应用,没有后端。这时就不能用上面的方式了,必须将令牌储存在前端。RFC 6749 就规定了第二种方式,允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)"隐藏式"(implicit)。

 1.第一步,A 网站提供一个链接,要求用户跳转到 B 网站,授权用户数据给 A 网站使用。
https://b.com/oauth/authorize?response_type=token&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read
上面 URL 中,response_type参数为token,表示要求直接返回令牌。

2.第二步,用户跳转到 B 网站,登录后同意给予 A 网站授权。这时,B 网站就会跳回redirect_uri参数指定的跳转网址,并且把令牌作为 URL 参数,传给 A 网站。
https://a.com/callback#token=ACCESS_TOKEN
上面 URL 中,token参数就是令牌,A 网站因此直接在前端拿到令牌。

注意,令牌的位置是 URL 锚点(fragment),而不是查询字符串(querystring),这是因为 OAuth 2.0 允许跳转网址是 HTTP 协议,因此存在"中间人攻击"的风险,而浏览器跳转时,锚点不会发到服务器,就减少了泄漏令牌的风险。  

这种方式把令牌直接传给前端,是很不安全的。因此,只能用于一些安全要求不高的场景,并且令牌的有效期必须非常短,通常就是会话期间(session)有效,浏览器关掉,令牌就失效了。(图片来源于网络,有侵权可联系删除)  

2.5、密码模式

如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用,该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)。

 1.第一步,A 网站要求用户提供 B 网站的用户名和密码。拿到以后,A 就直接向 B 请求令牌。
https://oauth.b.com/token?grant_type=password&username=USERNAME&password=PASSWORD&client_id=CLIENT_ID
上面 URL 中,grant_type参数是授权方式,这里的password表示"密码式",username和password是 B 的用户名和密码。

2.第二步,B 网站验证身份通过后,直接给出令牌。注意,这时不需要跳转,而是把令牌放在 JSON 数据里面,作为 HTTP 回应,A 因此拿到令牌。
这种方式需要用户给出自己的用户名/密码,显然风险很大,因此只适用于其他授权方式都无法采用的情况,而且必须是用户高度信任的应用,比如公司内部用户访问公司内部系统。

(图片来源于网络,有侵权可联系删除) 

2.6、客户端模式

最后一种方式是客户端模式(client credentials),没有前端应用,适合后台服务间的认证和访问。

 1.第一步,A 应用向 B 发出请求。
https://oauth.b.com/token?grant_type=client_credentials&client_id=CLIENT_ID&client_secret=CLIENT_SECRET
上面 URL 中,grant_type参数等于client_credentials表示采用客户端模式,client_id和client_secret用来让 B 确认 A 的身份。

2.第二步,B 网站验证通过以后,直接返回令牌。
这种方式给出的令牌,是针对第三方应用的,而不是针对用户的,即有可能多个用户共享同一个令牌。 

(图片来源于网络,有侵权可联系删除) 

 2.7、总结

  1. 授权码模式,适合客户端有后台应用可存储token信息的情况,token存放在客户端的后台,安全性最高,适合外部用户登录访问。
  2. 简化模式(隐藏式),客户端client无后台应用(前后端分离后,用户直接访问前端程序),访问的令牌需要保存在前端(如浏览器),不安全,令牌有效期不能太长了。
  3. 密码模式,因为用户名和密码需要提交给客户端(client),不太安全,适合对clien
最低0.47元/天 解锁文章
hungteshun
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
springOauth2
04-23
详见:http://blog.csdn.net/monkeyking1987/article/details/16828059
SpringOAuth2Learn:学习Spring OAuth2
05-04
SpringOAuth2示例学习Spring OAuth2 授权提供者授权服务器和资源服务器
一口气说出 OAuth2.0 的四种授权方式
架构师小秘圈
07-13 526
上周我的自研开源项目开始破土动工了,《开源项目迈出第一步,10 选 1?页面模板成了第一个绊脚石 》 ,密谋很久才付诸行动,做这个的初衷就是不想让自己太安稳,技术这条路不进步就等于后退,...
Spring Cloud OAuth2 认证服务器
凉茶铺的博客
08-31 2959
Spring Cloud OAuth2 是 Spring Cloud 体系对OAuth2协议的实现,可以用来做多个微服务的统一认证(验证身份合法性)授权(验证权限)。通过向OAuth2服务(统一认证授权服务)发送某个类型的grant_type进行集中认证和授权,从而获得access_token(访问令牌),而这个token是受其他微服务信任的。............
这可能是全网最详细的 Spring Cloud OAuth2 单点登录使用教程了,妈妈再也不用担心我被面试官吊打了!
最新发布
2401_84558091的博客
05-15 1027
这里为了做演示,把用户名、密码和所属角色都写在代码里了,正式环境中,这里应该是从数据库或者其他地方根据用户名将加密后的密码及所属角色查出来的。账号 admin ,密码 123456,稍后在换取 token 的时候会用到。并且给这个用户设置 “ROLE_ADMIN” 角色。5、OAuth2 配置文件创建一个配置文件继承自 AuthorizationServerConfigurerAdapter.@Autowired@Autowired@Autowired@Autowired。
Spring中的OAuth2
qq_45726327的博客
03-24 1415
Auth” 表示 “授权” Authorization“O” 是 Open 的简称,表示 “开放”连在一起就表示,OAuth2是一种开放授权协议。
oauth2 客户端模式】Spring Authorization Server + Resource + Client 资源服务间的相互访问
土味儿
05-20 4617
1、概述 上一节中介绍了项目的搭建,并实现了授权码模式的访问。在上一节的基础上,再来实现客户端模式。【图文详解】搭建 Spring Authorization Server + Resource + Client 完整Demo 用户通过客户端访问资源是 授权码模式 微服务(资源)间的访问是 客户端模式;客户端模式下,只需要提供注册客户端的ID和密钥,就可以向授权服务器申请令牌,授权服务器核实ID和密钥后,会直接发放令牌,无须再认证/授权,特别适合项目内部模块间的调用。 2、授权服务器中注册新客户端
OAuth 2
xbcai1的博客
05-30 431
OAuth 2,授权框架
微服务安全Spring Security Oauth2实战
持续学习,坚持原创,分享技术笔记及经验。
12-05 1430
微服务安全Spring Security Oauth2实战
oauth2.0 客户端模式、从数据库中获取 client_id client_secret
奋斗
08-03 2892
oauth2.0 客户端模式、从数据库中获取 client_id client_secret。
SpringOauth2AuthorizationServer:通过SpringBoot设置Oauth2 AuthorizationServer
05-25
SpringOauth2 JPA,H2 Intellij社区 2.练习内容 Spring Boot Oauth2-AuthorizationServer 文档 吉特 Spring Boot Oauth2 – AuthorizationServer:数据库处理,已应用JWT令牌方法 文档 吉特 Oauth2授权代码...
wso2is-springoauth:WSO2 IS 与 Spring OAuth 流程之间的集成
06-16
Spring OAuth 与 WSO2 身份服务器结合使用 介绍 请参阅以阅读代码的完整说明 跑步 使用 maven mvn clean install编译项目 运行在目标文件夹中找到的 jar: java -jar yenlo-oauth-1.0-SNAPSHOT.jar
基于springboot2.x的Oauth2.0一键授权登录和微信网页扫码支付测试开发案例(含源码)
08-25
使用idea开发工具,基于springboot2.x、jwt鉴权、nginx集群,前后端分离的微信Oauth2.0一键登录和微信网页扫码支付测试开发demo
spring-security-oauth2源码
06-30
spring security oauth2的源码,方便研究,备份一下。
MyOauth2Project.7z
12-05
SpringOauth.7z
SpringOauth.7z
12-05
SpringOauth
Spring Security OAuth2四种授权模式总结(七)
FAIRYTAIL的博客
02-17 1707
OAuth2的四种授权模式测试
spring security oauth2 资源服务/客户端无法正确获取权限
路过君的博客
08-05 8229
异常现象 当资源服务使用token-info-uri校验token时无法获取全部的授权权限,只能获取其中一个权限,使用user-info-uri则可以获取全部的授权权限 spring security 版本2.3.8 资源服务配置 security: oauth2: client: client-id: client1 client-secret: client1pwd access-token-uri: 'http://localhost:11000/oau
OAuth2.0授权 - 客户端模式(Client Credentials) + 动态client_id
热门推荐
xgw的专栏
08-28 1万+
OAuth 2.0定义了四种授权方式: 授权码模式(authorization code):功能最完整、流程最严密的授权模式。特点是通过第三方应用的后台服务器,与服务提供平台的认证服务器进行互动获取资源。 简化模式(implicit):不通过第三方应用服务器,直接在浏览器中向认证服务器申请token令牌,跳过了授权码这个步骤。所有步骤在浏览器中完成,token对用户可见,且第三方应用不需要认证。 密码模式(resource owner password credentials):用户向第三方应用提供自己的
Spring OAuth2 授权服务器配置详解
码农小胖哥
11-15 5988
前两篇文章分别体验了Spring Authorization Server的使用和讲解了其各个过滤器的作用。今天来讲讲Spring Authorization Server授权服务器的配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值