Auth2.0原理

最新推荐文章于 2024-04-25 22:22:45 发布
最新推荐文章于 2024-04-25 22:22:45 发布
阅读量846 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyfound/article/details/104960841
版权

OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。目前Auth2.0已经得到了广泛应用,比如微信登录、微博、QQ等。

一、为什么要使用OAuth
为了理解OAuth的适用场合,让我举一个假设的例子。
有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。
问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
传统方法是,用户将自己的Google用户名和密码,告诉"云冲印",后者就可以读取用户的照片了。这样的做法有以下几个严重的缺点。
(1)"云冲印"为了后续的服务,会保存用户的密码,这样很不安全。
(2)Google不得不部署密码登录,而我们知道,单纯的密码登录并不安全。
(3)"云冲印"拥有了获取用户储存在Google所有资料的权力,用户没法限制"云冲印"获得授权的范围和有效期。
(4)用户只有修改密码,才能收回赋予"云冲印"的权力。但是这样做,会使得其他所有获得用户授权的第三方应用程序全部失效。
(5)只要有一个第三方应用程序被破解,就会导致用户密码泄漏,以及所有被密码保护的数据泄漏。

OAuth就是为了解决上面这些问题而诞生的。

二、OAuth2.0授权流程
关于OAuth2.0协议的授权流程可以参考下面的流程图

其中Client指第三方应用,Resource Owner指用户,Authorization Server是我们的授权服务器,Resource Server是API服务器。

解释一下上述流程:

(A)用户打开客户端以后,客户端要求用户给予授权。
(B)用户同意给予客户端授权。
(C)客户端使用上一步获得的授权,向认证服务器申请令牌。
(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。
(E)客户端使用令牌,向资源服务器申请获取资源。
(F)资源服务器确认令牌无误,同意向客户端开放资源。

三、授权模式
客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。OAuth 2.0定义了四种授权方式。
授权码模式(authorization code)
简化模式(implicit)
密码模式(resource owner password credentials)
客户端模式(client credentials)

四、授权码模式
授权码模式(authorization code)是功能最完整、流程最严密的授权模式。

它的步骤如下:
(A)用户访问客户端,后者将前者导向认证服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。


下面是上面这些步骤所需要的参数。
A步骤中,客户端申请认证的URI,包含以下参数:
response_type:表示授权类型,必选项,此处的值固定为"code"
client_id:表示客户端的ID,必选项
redirect_uri:表示重定向URI,可选项
scope:表示申请的权限范围,可选项
state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。

下面是一个例子。

[html] view plain copy
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz  
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1  
Host: server.example.com  
C步骤中,服务器回应客户端的URI,包含以下参数:
code:表示授权码,必选项。该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。
state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。
下面是一个例子。
[html] view plain copy
HTTP/1.1 302 Found  
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA  
          &state=xyz  
D步骤中,客户端向认证服务器申请令牌的HTTP请求,包含以下参数:
grant_type:表示使用的授权模式,必选项,此处的值固定为"authorization_code"。
code:表示上一步获得的授权码,必选项。
redirect_uri:表示重定向URI,必选项,且必须与A步骤中的该参数值保持一致。
client_id:表示客户端ID,必选项。
下面是一个例子。

[html] view plain copy
POST /token HTTP/1.1  
Host: server.example.com  
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW  
Content-Type: application/x-www-form-urlencoded  
  
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA  
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb  

E步骤中,认证服务器发送的HTTP回复,包含以下参数:
access_token:表示访问令牌,必选项。
token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。
scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。

下面是一个例子。

[html] view plain copy
HTTP/1.1 200 OK  
    Content-Type: application/json;charset=UTF-8  
    Cache-Control: no-store  
    Pragma: no-cache  
  
    {  
      "access_token":"2YotnFZFEjr1zCsicMWpAA",  
      "token_type":"example",  
      "expires_in":3600,  
      "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",  
      "example_parameter":"example_value"  
    }  
Refresh Token 是 Access Grants 的一种,在获取 Access Token 时,认证服务器将返回相应的 Refresh Token,如果 Access Token 过期,就可以用 Refresh Token 去刷新。

一般针对移动应用时,在返回access_token时会返回refresh_token。refresh_token 也是有有效期的,当refresh_token失效的后,需要用户重新授权。

refresh_token失效后,可重新获取。
首选需要用户授权,获取code后获取refresh_token,包含参数:

client_id:表示客户端的ID,必填项

grant_type:固定值 ,填refresh_token , 必填项

refresh_token:填写通过access_token获取到的refresh_token参数,必填项。

五、案列
以微信登录为例,整个认证授权流程如下:

1、打开授权页面

GET https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx4afd02a0d14d2e89&redirect_uri=wx4afd02a0d14d2e89%3A%2F%2Foauth&response_type=code&scope=snsapi_message,snsapi_userinfo,snsapi_friend,snsapi_contact&state=none&uin=MTA1MjE4MTQwMA%3D%3D&lang=zh_CN&key=08dc53d6f0880cc5b4052d374032c26103e315cb2a2fc114b4b591df260aa205ca88a52dc3fef5cfd6e61bdea39e16c3&pass_ticket=2wuB7BcROVt5mIoS4BI06jZ%2B970bXK6Iv4N9JWg6S9mlznLKwlEjhW3sKCyKZEeZ HTTP/1.1

参数说明:

appid:wx4afd02a0d14d2e89
redirect_uri:wx4afd02a0d14d2e89://oauth
response_type:code
scope:snsapi_message,snsapi_userinfo,snsapi_friend,snsapi_contact
state:none
uin:MTA1MjE4MTQwMA==
lang:zh_CN
key:08dc53d6f0880cc5b4052d374032c26103e315cb2a2fc114b4b591df260aa205ca88a52dc3fef5cfd6e61bdea39e16c3
pass_ticket:2wuB7BcROVt5mIoS4BI06jZ+970bXK6Iv4N9JWg6S9mlznLKwlEjhW3sKCyKZEeZ

2、点击登录 获取code

一个code只能成功获取一次AccessToken

[html] view plain copy
POST https://open.weixin.qq.com/connect/oauth2/authorize_reply HTTP/1.1  
Host: open.weixin.qq.com  
Connection: keep-alive  
Q-UA2: QV=3&PL=ADR&PR=WX&PP=com.tencent.mm&PPVN=6.3.30&TBSVC=36842&CO=BK&COVC=036872&PB=GE&VE=GA&DE=PHONE&CHID=0&LCID=9422&MO= MI3W &RL=1080*1920&OS=6.0.1&API=23  
Q-GUID: 24ee875dc809037e90eaa4ea13b788cb  
Q-Auth: 31045b957cf33acf31e40be2f3e71c5217597676a9729f1b  
Content-Length: 288  
Cache-Control: max-age=0  
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/wxpc,*/*;q=0.8  
Origin: https://open.weixin.qq.com  
User-Agent: Mozilla/5.0 (Linux; Android 6.0.1; MI 3W Build/MMB29M) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/37.0.0.0 Mobile MQQBrowser/6.8 TBS/036872 Safari/537.36 MicroMessenger/6.3.30.920 NetType/WIFI Language/zh_CN  
Content-Type: application/x-www-form-urlencoded  
Referer: https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx4afd02a0d14d2e89&redirect_uri=wx4afd02a0d14d2e89%3A%2F%2Foauth&response_type=code&scope=snsapi_message,snsapi_userinfo,snsapi_friend,snsapi_contact&state=none&uin=MTA1MjE4MTQwMA%3D%3D&lang=zh_CN&key=08dc53d6f0880cc5b4052d374032c26103e315cb2a2fc114b4b591df260aa205ca88a52dc3fef5cfd6e61bdea39e16c3&pass_ticket=2wuB7BcROVt5mIoS4BI06jZ%2B970bXK6Iv4N9JWg6S9mlznLKwlEjhW3sKCyKZEeZ  
Accept-Encoding: gzip, deflate  
Accept-Language: zh-CN,en-US;q=0.8  
  
snsapi_userinfo=on&allow=%E7%A1%AE%E8%AE%A4%E7%99%BB%E5%BD%95&uuid=0315whxAUTCzUabF&uin=MTA1MjE4MTQwMA%3D%3D&key=08dc53d6f0880cc5b4052d374032c26103e315cb2a2fc114b4b591df260aa205ca88a52dc3fef5cfd6e61bdea39e16c3&pass_ticket=2wuB7BcROVt5mIoS4BI06jZ%2B970bXK6Iv4N9JWg6S9mlznLKwlEjhW3sKCyKZEeZ  
snsapi_userinfo on  
allow   确认登录  
uuid    0315whxAUTCzUabF  
uin MTA1MjE4MTQwMA==  
key 08dc53d6f0880cc5b4052d374032c26103e315cb2a2fc114b4b591df260aa205ca88a52dc3fef5cfd6e61bdea39e16c3  
pass_ticket 2wuB7BcROVt5mIoS4BI06jZ+970bXK6Iv4N9JWg6S9mlznLKwlEjhW3sKCyKZEeZ  
响应
[html] view plain copy
HTTP/1.1 301 Move Permanently  
Connection: keep-alive  
Location: wx4afd02a0d14d2e89://oauth?code=011vxUYC0OV5Xe2iFdZC0bOVYC0vxUYN&state=none  
Content-Length: 0  
重定义到redirect_uri?code=
3、获取access_token

[html] view plain copy
GET https://api.weixin.qq.com/sns/oauth2/access_token?appid=wx4afd02a0d14d2e89&secret=610afefcafe40a95b41314ed48868da2&code=011vxUYC0OV5Xe2iFdZC0bOVYC0vxUYN&grant_type=authorization_code HTTP/1.1  
appid   wx4afd02a0d14d2e89  
secret  610afefcafe40a95b41314ed48868da2  
code    011vxUYC0OV5Xe2iFdZC0bOVYC0vxUYN  
grant_type  authorization_code  
  
User-Agent: Dalvik/2.1.0 (Linux; U; Android 6.0.1; MI 3W MIUI/V8.1.3.0.MXDCNDI)  
Host: api.weixin.qq.com  
Connection: Keep-Alive  
Accept-Encoding: gzip  
  
  
HTTP/1.1 200 OK  
Connection: keep-alive  
Content-Type: text/plain  
Date: Wed, 23 Nov 2016 01:49:21 GMT  
Content-Length: 377  
  
{  
"access_token":"lzfj7zopmtDA17aY8X_eueJz-aVCNPOdFV4veLmnpvddOQqSdpUtIIlLCPpIho6eXDe6jfNCMDtbkDzwtJeZyQ0CXzMS80SRIRIulh6x8qk",  
"expires_in":7200,  
"refresh_token":"K-kLkcG7xUJRrdp06os-YQlmzokEjIKMGaYm61EjMygPXsXqw30FJL6jpiEJTOnjAcXD9NzKjx9ke4ftqQAnmiIr2v7dp-QI3XXuLhlmooo",  
"openid":"oPYxRwa6z4QWPAJn82a9fFZaKTKA",  
"scope":"snsapi_userinfo",  
"unionid":"odRDvvoL8q_FSMZ4gN3H54PHp2_E"  
}  

四、获取用户信息
[html] view plain copy
GET https://api.weixin.qq.com/sns/userinfo?access_token=lzfj7zopmtDA17aY8X_eueJz-aVCNPOdFV4veLmnpvddOQqSdpUtIIlLCPpIho6eXDe6jfNCMDtbkDzwtJeZyQ0CXzMS80SRIRIulh6x8qk&openid=oPYxRwa6z4QWPAJn82a9fFZaKTKA HTTP/1.1  
access_token    lzfj7zopmtDA17aY8X_eueJz-aVCNPOdFV4veLmnpvddOQqSdpUtIIlLCPpIho6eXDe6jfNCMDtbkDzwtJeZyQ0CXzMS80SRIRIulh6x8qk  
openid  oPYxRwa6z4QWPAJn82a9fFZaKTKA  
  
User-Agent: Dalvik/2.1.0 (Linux; U; Android 6.0.1; MI 3W MIUI/V8.1.3.0.MXDCNDI)  
Host: api.weixin.qq.com  
Connection: Keep-Alive  
Accept-Encoding: gzip  
  
HTTP/1.1 200 OK  
Connection: keep-alive  
Content-Type: text/plain  
Date: Wed, 23 Nov 2016 01:49:22 GMT  
Content-Length: 350  
  
{  
"openid":"oPYxRwa6z4QWPAJn82a9fFZaKTKA",  
"nickname":"小伙子",  
"sex":1,"language":"zh_CN",  
"city":"Chaoyang",  
"province":"Beijing",  
"country":"CN",  
"headimgurl":"",  
"privilege":[],  
"unionid":"odRDvvoL8q_FSMZ4gN3H54PHp2_E"  
}  


六、参考
Oauth2.0

新浪微博授权
微信授权

理解Auth2.0
————————————————
版权声明:本文为CSDN博主「沈荣荣」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/u010251897/article/details/80708498

hyfound
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OAuth2.0认证原理
weixin_47073925的博客
06-01 7715
OAuth2.0认证原理 一.OAuth是什么? OAuth的英文全称是Open Authorization,它是一种开放授权协议。OAuth目前共有2个版本,2007年12月的1.0版(之后有一个修正版1.0a)和2010年4月的2.0版,1.0版本存在严重安全漏洞,而2.0版解决了该问题,下面简单谈一下我对OAuth2.0的理解。 二.OAuth2.0有什么用? 引用一下OAuth2.0中文文档中的介绍: 1.需要第三方应用存储资源所有者的凭据,以供将来使用,通常是
OAuth2.0 原理
热门推荐
安梓晨的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程六、OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
OAuth 2.0的授权认证流程
最新发布
qq_34068440的博客
04-25 1067
1、Auth2.0 协议简介2、OAuth 2.0的授权认证流程OAuth 2.0 的核心概念认证思路与流程3、OAuth2.0 的四种模式授权码模式(authorization code)隐式授权模式(Implicit Grant)资源所有者密码凭证模式(Resource Owner Password Credentials Grant)客户端凭证模式(Client Credentials Grant)4、相关文章Auth2.0 协议简介。
OAuth 2.0协议原理
罗布泊coding
06-14 3805
一.基本原理 OAuth: OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 OAuth 2.0 主要有4类角色: • resource owner:资源所有者,指终端的“用户”(即授权登录中资料信息的拥有者) • resource server:资源服务器,...
SpringSecurity Oauth2.0原理篇(一)
qq_38226564的博客
02-15 1594
Spring Security、SpringBoot、 token、认证码
Oauth2.0原理
01-04 123
http://homeway.me/ Oauth2.0是第三方接入的一个安全协议 今天查了查Oauth2.0接入原理,感觉挺有意思的 0x01.关于Oauth Oauth是允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用的协议。 例如我们想要获取github的用户账号信息。
auth2.0 安装包及资料学习(包含个版本的php_oauth.dll)
06-25
这个“auth2.0 安装包及资料学习”压缩包提供了多种资源,帮助开发者理解和实践 OAuth 2.0 的实现,特别强调了与 PHP 和 MySQL 的集成。 1. **OAuth 2.0 概述** OAuth 2.0 是一个开放标准,允许用户让第三方应用在...
基于Spring Cloud、OAuth2.0、Vue的前后端分离的系统
12-11
在构建基于Spring Cloud、OAuth2.0和Vue的前后端分离系统时,我们涉及了多个核心技术和实践,这些技术在现代分布式系统中扮演着至关重要的角色。以下是对这些知识点的详细说明: 1. **Spring Cloud**: Spring ...
c# OAuth2.0
05-25
OAuth2.0是一种授权框架,广泛应用于Web应用和API接口的安全访问控制,允许第三方应用在用户许可的...通过这个项目,开发者可以学习到OAuth2.0的原理,以及如何在实际开发中应用这些概念,提高应用的用户体验和安全性。
springboot OAuth2.0-demo
12-17
通过分析和运行这个项目,你可以深入理解OAuth2.0的工作原理及其在Spring Boot中的实现。同时,也可以作为模板,为自己的项目添加OAuth2.0认证功能。在实际开发中,还可以考虑添加刷新令牌功能,以及更复杂的权限...
OAuth2.0协议原理与实现
03-08
OAuth2.0协议原理与实现
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring Security和OAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录(SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
OAuth2.0认证流程原理
单炒饭
04-15 1万+
导读 大家也许都有过这样的体验,我们登录一些不是特别常用的软件或网站的时候可以使用QQ、微信或者微博等账号进行授权登陆。例如我们登陆豆瓣网的时候,如果不想单独注册豆瓣网账号的话,就可以选择用微博或者微信账号进行授权登录。这样的场景还有很多,例如登录微博、头条等网站,也都可以选择QQ或者微信登录的方式。 那么这样的第三方登陆方式到底是怎么实现的呢?难道是腾讯把我们QQ或者微信的账户信息卖给了...
OAuth2.0实现原理
qq_754086878的博客
07-29 1014
OAuth2.0是一个授权框架,他规定了客户从授权服务器获取Access Token的规则。 OAuth2.0需要解决的问题 要理解OAuth2.0,先要知道为什么会有这个东西产生,或者说他能帮我们解决什么问题,其实简单说他就是帮我们解决了访问安全问题。先看如下的一张图: 图片显示了我们没有引入任何安全机制情况下的资源访问过程,可以看到正常的用户和恶意的用户都可以通过向资源服务器的接口发送请求获得用户数据。显然恶意用户不该获取数据,他是非法获得,这个情况不应该被允许,需要一种机制.
简单介绍 Oauth2.0 原理
weixin_41044151的博客
06-01 567
有两家互联网企业 A 和 B,其中 B 是一家提供相片云存储的公司。用户可以把相片上传到 B 网站上长期保存,然后可以在不同的设备上查看。某一天,A 和 B 谈成了一项合作:希望用户在使用 A 的客户端时,也可以观看他在 B 的相片。这个技术上要怎么实现呢? 选项一:由 B 提供一个接口: GET /photos?account= 参数: account : B 账号 返回: 指定账号下的所有相片 有了这个接口,A 的客户端只需在界面上显示一个输入框,让用户输入他的 B 账号,然后调用这个接口来获取相片就可
【安全】探索统一身份认证:OAuth 2.0的介绍、原理和实现方法
橘足轻重的博客
06-28 1973
OAuth 2.0作为一种流行的统一身份认证协议,为用户在多个应用程序之间共享身份验证和授权信息提供了安全可靠的解决方案。本文介绍了OAuth 2.0的概念、原理和实现方法,希望读者能够更好地理解和应用该技术,以提升用户体验并促进应用之间的集成和互操作性。
微信公众号授权认证实现
LeYOUNGER的博客
04-11 1948
摘要最近写了一个微信的项目,需要使用微信公众号的认证功能,途中遇到了很多问题,在解决的过程中学到了不少东西
H5使用微信OAuth2.0授权登录,并实现内网调试。
alonesupermen的博客
03-23 1570
微信授权登录H5之内网调试
auth2.0+jwt+spring security
08-29
Auth2.0是一种用于授权的开放标准,它允许用户授权第三方应用访问他们的资源,而无需直接分享他们的凭据。这种授权方式对于保护用户敏感信息非常有用。 JWT(JSON Web Token)是Auth2.0中使用的一种令牌格式。它由...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值