再谈OAuth和Connect

最新推荐文章于 2021-12-15 10:09:21 发布
最新推荐文章于 2021-12-15 10:09:21 发布
阅读量1.3k 收藏
点赞数
分类专栏: 开放平台 文章标签: token 开放平台 access session url
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huyiyang2010/article/details/6061650
版权

这两天又一次反复考虑和均衡把握衡量了一下OAuth和Connect两种开放平台授权模式。

再说一下它们之间的比较重要的区别:

 

1.OAuth的授权流程主要是通过Request Token和Access Token完成的,而Connect的授权流程主要是通过SessionKey完成的。

SessionKey ,用来维护用户的登录状态。 SessionKey 的有与没有,失效与否,代表用户是否已经登录开放平台。 SessionKey 用户和第三方应用是可以拿到的。

SessionKey 并非是一个 OAuth 名词。由于在整个流程中,存在Session跨域现象,导致了如果用户与第三方应用会话失效需要重新登录的问题。为了解决这个问题,需要使用一个标识来标示用户是否已经登录。该值可以在多个网站之间通过 URL 相互传递。

为了安全,使用Connect,必须要使第三方应用与开放平台之间的交互加上签名。

Request Token ,代表一个第三方应用,用户可以对 Request Token 授权。分为两种状态,授权与为授权。 Request Token 的有效期很短,只供授权和换取 Access Token 使用。 Request Token 用户和第三方应用可以拿到。

Access Token ,代表一个第三方应用的访问数据权利,第三方应用可以使用它来访问内部的某个账户对应的数据。 Access Token 只有第三方应用可以拿到。

OAuth 之所以要使用 Request Token Access Token 两个,就是为了安全考虑。在第三方应用和开放平台 之间的交互无需签名的情况下,用户无法使用 Request Token 拿到开放平台内部的数据。

而假如有黑客的情况,其拿到 Access Token 则会有问题。只能使用签名部分解决这个问题。

 

2.绝大部分情况下,Access Token的有效期都是无限长时间的。这样,除非用户取消授权,第三方应用可以通过Access Token永久性的获取用户数据(无论用户是否在线和登录);

而相对应的SessionKey,只有用户登录后,在会话的存续期才有效,其他时候是失效的,则第三方应用只有在用户登录并且进入应用时,才能获取开放平台的数据,其他情况下,是不能获取数据的。

人气青蛙
关注
专栏目录
分支:Haskell中的OAuth2和OpenID Connect
02-02
在IT行业中,安全的身份验证和授权机制是网络应用的核心组成部分,OAuth2和OpenID Connect(OIDC)就是其中两个广泛采用的标准。这篇文章将深入探讨如何在Haskell这一静态类型、函数式编程语言中实现这两个协议。 ...
OAuth2.0 4种授权方式
yangzhe19931117的博客
11-23 2216
OAuth2.0的4种鉴权方式
抖音开放平台入门教程之获取抖音授权,根据授权换取token,根据token调用接口示例!
热门推荐
qq_41645986的博客
08-27 5万+
一、 申请入驻抖音开放平台,按照项目需求申请个人账号和企业账号,企业账号权限相对来说高一点,企业号认证费用600元,具体可以打抖音官方电话400-992-2556根据提示选择对应平台进行咨询 二、 申请完的企业号登录开放平台把资料填写完整 三、 创建应用进行开发 创建应用需要填写的信息 授权域回调必须要填写网络可访问的域名,也就是你扫完码要跳转到的网站 四、 创建完成的应用会分配一个Client key,Client Secret 此图为应用详情 五、 根据官方提供的Api来获取code(本次调用为直
php实现抖音开放平台账号授权获取码code、获取access_token
lfbin5566的博客
03-31 6666
直接上代码 public function index(){ $code = $_GET['code']; if(empty($code)){ $redirect_uri = "http://www.xxx.com";//授权回调域名(要和在抖音平台申请的网站应用回调域名要一致) 用来接收抖音平台返回的code $redirect_uri = urlencode($redirect_uri); $url = "h
Java实现抖音开放平台二维码授权功能
weixin_52277015的博客
03-12 7850
一、在yml中添加抖音开放平台的账号基本信息 # 抖音开放平台配置信息 dy: clientKey: #抖音开放平台key clientSecret: #抖音开放平台密钥 scope: data.external.user,data.external.item,fans.data,user_info,renew_refresh_token,data.external.user#需要用户开放的权限 responseType: code#填写code就行 redirectUri: #扫码之后
OAuth 2.0 和 OpenID Connect 的基本原理和区别(干货)
qq_24550639的博客
12-13 1万+
基本原理 首先要明确OAuth OpenID Connect学习起来比较难,对谁都会比较难,所以心态要放好,因为有很多专业属于、缩写等等,你要是之前不知道,就基本上很难看懂。而且OAuth和OpenID Connect不像HTTP这样的协议,有固定的格式,OAuth和OpenID Connect其实没有很固定的格式,没有人告诉你,一定要怎么做。 所以本文都是大白话,让大家更容易看懂。 为什么要用OAuth 和 OIDC来做授权和身份验证? 原来,是怎么进行身份验证的? 简单的表格登录验证模式,密码哈希存在数
授权服务器:Spring Boot OAuth 2.0和OpenID Connect身份提供者授权服务器
01-29
授权服务器兼容OAuth 2.0和OpenID Connect(OIDC)的授权服务器,仅用于演示目的,可用作OAuth2 / OIDC研讨会的一部分。目标此授权服务器应... 作为开源免费提供支持学习OAuth2 / OpenID Connect的努力(自学或作为...
新浪微博OAuth认证和储存的主要过程详解
10-24
新浪微博OAuth认证和储存过程涉及了开放授权协议OAuth在微博平台上的具体实现。OAuth是一种安全的授权标准,允许用户在不泄露账号密码的情况下,授权第三方应用访问自己在某个网站上的信息。新浪微博作为国内重要的...
友情提示:首先是可扩展的安全性OAuth 2.0和Go的OpenID Connect SDK
02-02
安全性最高的OAuth2和OpenID Connect框架。 构建简单,功能强大且可扩展。 此库实现同行评审 ,覆盖在同行评审假冒弱点及对策各种数据库的攻击方案,让您的应用程序的安全当黑客渗透或泄漏您的数据库。 OpenID ...
IdentityModel:.NET标准帮助程序库,用于基于声明的身份,OAuth 2.0和OpenID Connect
04-29
关于IdentityModel IdentityModel是.NET标准帮助程序库,用于基于声明的身份,OAuth 2.0和OpenID Connect。 由( 和( 创立并维护。 它是一部分,并根据其。 它已获得 (OSI批准的许可证)的许可。 有关项目文档,请...
抖音视频发布,字节小程序的坑
DarkfallYou的博客
12-07 3097
功能描述:首先为商家做好了礼品领取页的二维码,用户扫码可进入网页端,用户答应抖音发布视频授权之后可以领取礼品,领取后会自动在用户抖音上发布一条推广视频,推广视频上带有商家小程序的链接,可供观看视频的人点击进入领取商品再分享,实现裂变。 这里就涉及到了网页端获取抖音授权和小程序端获取抖音授权的两条路线。 因为我们需要同时在网页端和字节小程序端的使用,所以我这边使用的是uni-app来编写以供多端使用。 首先是二维码 根据抖音开发平台(抖音开放平台)介绍,可以拼接如下的url生成二维码供用户扫码。 注
抖音内打开的h5页面,跳转到抖音商户页面方法记录。
SilenceJude的博客
12-15 2万+
需求说明: 最近在开发抖音内嵌H5页面,需要上传抖音视频,其实上传主要是通过后端封装抖音提供的openapi接口来实现。 但是产品突然提了一个需求,说能不能上传成功后跳转到抖音其他页面呢? 于是我翻遍了官方提供的js桥文档,但是官方文档里面根本没有相关的js桥和跳转方法。 于是使出了程序员的三连:做不了,实现不了,没有这个功能。 结果产品发来一个二维码,抖音扫码进去后是某商户的推广H5,功能大概是授权后上传素材视频,但最后它上传成功后居然跳转到了抖音的商户页面! 啪啪打脸。 于是开始研..
php 抖音openApi 获取粉丝权限
qq_39871711的博客
04-21 5273
首先要获取权限 这里用的tp5 $ClientKey=config('site.ClientKey'); $douyinClientSecret=config('site.douyinClientSecret'); $url="https://open.douyin.com/platform/oauth/connect/?client_key=".$ClientKey...
微信微博抖音web授权登录
gobacka的博客
01-09 8484
1.微信授权登录 申请微信公众号获取appid配置重定向地址 跳转链接 https://open.weixin.qq.com/connect/oauth2/authorize?appid=" + appid + "&redirect_uri=" + encodeURIComponent(redirect_uri) + "&response_type=code&scop...
14.oauth2与open id connect 对比
weixin_30664539的博客
06-03 370
微博的授权机制 openIdConnect 转载于:https://www.cnblogs.com/wangjunwei/p/10966328.html
【PHP】抖音授权登录并获取用户公开信息(网页)
这不是我的博客
02-28 4万+
抖音官方文档:https://open.douyin.com/platform/doc/OpenAPI-oauth2 一、注册账号 二、创建应用 填写信息,然后提交,提交之后需要审核 三、查看应用 在《管理中心》可以查看应用信息 审核通过之后会得到Client Key和Client Secret,调用接口时需要使用 四、应用详情 ...
python 抖音第三方登录_前后端分离抖音第三方授权登录
weixin_39616348的博客
11-30 3173
前后端分离抖音第三方授权登录
OAuth认证(完整版)
weixin_33824363的博客
11-15 218
拿人人的OAuth认证举例吧。其实这个认证就是原则上实现了程序开发人员和用户的用户名密码的分离,使密码不会被第三方获取。 只有被认证后,才能有权限调用人人网的接口方法。首先要去人人的开放平台去注册,各种信息都填好后,会给你一个API key和一个Secret key. 首先,浏览器跳转到人人指定的授权服务页面,"https://graph.renren.com/oauth/au...
统一身份认证OAuth2
siberian_wolf_wy的博客
09-17 2788
统一身份认证OAuth2 前置条件 在进行统一身份认证OAuth2.0授权登录接入前,在统一身份认证服务平台注册应用,并对该应用提请接入审核,当拥有一个已审核通过的应用,并获得相应的appid和appsecret后,申请统一认证登录且审核通过后,才可以开始接入流程。 授权说明 统一身份认证OAuth2.0授权...
OpenID ConnectOAuth
最新发布
07-28
OpenID Connect(OIDC)和OAuth是两个相关但不同的协议。 OAuth是一个授权协议,用于授权第三方应用代表用户访问受保护的资源。它允许用户向第三方应用授予有限的访问权限,而无需共享其凭据(如用户名和密码)。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值