OAuth 2.0最佳实践

已于 2022-09-23 19:20:37 修改
阅读量900 收藏 4
点赞数 4
分类专栏: 工作实践总结 文章标签: java oauth2.0 token 授权码
于 2022-04-30 11:02:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jack1liu/article/details/124509956
版权

目录

一 OAuth 2.0 是什么

二 为什么用 OAuth 2.0

三 OAuth 2.0 四种授权流程

3.1 授权码模式

3.2 密码模式

3.3 客户端模式

3.4 简化模式

四 授权码模式详解

4.1 授权页面

4.2 code 生成

4.3 token 签发

五 授权码模式安全建设

5.1 业务安全

5.2 传输安全

一 OAuth 2.0 是什么

OAuth 2.0 是一种授权协议。

二 为什么用 OAuth 2.0

OAuth 2.0 这种授权协议,能保证第三方软件只有在获得授权之后,才可以进一步访问授权者的数据,能保证授权者数据的安全性。

三 OAuth 2.0 四种授权流程

在 OAuth 2.0 的体系里面有 4 种角色,它们分别是资源拥有者、客户端、授权服务和受保护资源。

为了详细的讲解四种授权流程,以产品 A 集成产品 B 进行授权登录为例,来具体说明四种授权流程和应用场景。

3.1 授权码模式

1 用户访问产品 A,产品 A 上集成了产品 B 作为第三方授权登录,引导用户跳转到授权页面。

2 用户点击授权后,产品 A 就可以访问用户在产品 B 的资源了。

应用场景:授权码模式是 OAuth 2.0 体系中迄今流程最完备、安全性最高的授权流程。目前主流的授权模式都是使用该流程。

3.2 密码模式

1 用户使用产品 B 的用户名和密码来登录产品 A。

2 产品 A 通过用户名和密码访问 B 开放平台授权服务来获取 access_token。

3 B 开放平台授权服务生成 access_token,返回给产品 A。

4 产品 A 获取到 access_token 之后就可以访问用户在 B 产品上的受保护资源。

应用场景:如果说产品 A 和产品 B 都属于同一家公司的官方出品,那么可以使用密码模式。

3.3 客户端模式

0 A 产品在 B 开放平台注册生成 client_id、client_secret。

1 A 产品通过 client_id、client_secret 向 B 开放平台授权获取 access_token。

2 B 开放平台授权服务向 A 产品返回 access_token。

3 A 产品通过 access_token 访问 B 开放平台受保护资源。

应用场景:如果说 A 产品访问的是 B 平台的开放资源,且该资源不属于任何一个第三方用户,那可以直接使用客户端模式。

3.4 简化模式

1 用户访问 A 产品,直接向 B 开放平台授权服务获取 access_token。

2 B 开放平台授权服务向用户返回 access_token。

3 用户通过 access_token 访问 B 开放平台受保护资源服务。

应用场景:

嵌入到浏览器端的应用且没有服务端,那就只能选择简化模式。

四 授权码模式详解

授权码模式主要有三个核心流程:授权页面、code 生成、token 签发。

4.1 授权页面

用户访问产品 A,A 产品引导用户用产品 B 进行授权,B 开放平台会对 A 客户端进行合法性校验、同时也需要对产品 B 的登录态进行验证,返回授权列表信息给用户。

4.2 code 生成

授权页面生成之后,用户点击授权,B 开放平台会对 A 客户端进行合法性校验、同时也需要对产品 B 的登录态进行验证,生成 code,返回给 A 客户端。

4.3 token 签发

A 客户端将 code 给到 A 服务端,A 服务端通过 code、client_id、client_secret 向 B 开放平台请求获取 access_token、refresh_token。B 开放平台验证 code、client_id、client_secret 的合法性,进行 token 签发。token 生成可以使用 JWT。

JWT 实现 token 认证_新猿一马的博客-CSDN博客目录一 什么是 JWT二 JWT 适用场景2.1 认证2.2 信息交换三 几种认证方式3.1 session 认证3.2 token 认证四 JWT 的数据结构4.1 header4.2 playload4.3 signature4.4 总结五 JWT 的使用方式六 JWT的优点七 JWT的使用注意八 JWT 等待解决的问题九 参...https://blog.csdn.net/jack1liu/article/details/92131519

五 授权码模式安全建设

5.1 业务安全

A 授权码 code 必须设置有效期,且只能使用一次。

B 页面进行重定向的时候需要对 URI 做安全校验。

C token 必须是有有效期的,access_token 有效期较短,refresh_token 有效期较长。access_token 过期后,refresh_token 进行续约,重新签发 access_token,此时 refresh_token 也需要更新。如果 refresh_token 也过期了,需要用户重新授权。

D 如果用户修改了账号密码或者对账号进行了注销,token 应该都失效。

5.2 传输安全

使用 HTTPS 协议进行通信保护传输数据的安全性。

Java-Talk
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是OAuth2.0
s041109的博客
05-23 689
目录 前言 1.所以什么是OAuth2.0呢? 举例说明 2. OAuth2中的角色 3. 认证流程 前言 OAuth是Open Authorization的简写。 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。 同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。 1.所以什么是OAuth2.0呢? OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1
ASP.NET实现QQ、微信、新浪微博OAuth2.0授权登录 <font color=red>原创</font>
10-22
6. **安全考虑**:在实现过程中,确保所有的敏感信息(如access_token)得到妥善保护,遵循安全编码最佳实践,例如使用HTTPS、防止XSS和CSRF攻击等。 总的来说,ASP.NET实现OAuth2.0授权登录涉及网络请求、URL构造...
OAuth2.0认证登录服务端实现详解
泛微二次开发后端知识总结
05-05 4039
本篇博客介绍了OAuth2.0认证登录服务端的实现过程,主要针对授权码模式和简化模式做了详细介绍。OAuth2.0是目前业界广泛使用的认证授权框架,在实际应用中,可以根据系统需求选择不同的授权方式。
Oauth2.0的四种模式
qq_37457564的博客
07-25 2090
1. 授权码模式 (1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize? client_id=p2pweb&response_type=code&scope=app&redirect_uri=http://xx.xx/notify 参数列表如下: client_id:客户端接入标识。 response_type:授权码模式固定为code。 scope:客户端权限
阿里出品的Spring-Security神仙级教程(思维导图+源代码+笔记+项目)
最新发布
2401_84584873的博客
05-15 871
由于篇幅限制,小编在此截出几张知识讲解的图解本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)收录**需要这份系统化的资料的朋友,可以点击这里获取。
OAuth2.0 实现单点登录
热门推荐
qq15035899256的博客
03-17 2万+
本文是对OAuth2.0的学习,了解了它的4种授权方式,学会了如何搭建验证服务器,使用 postman对四种模式作了接口测试。并且学会了资源服务器实现单点登录的两种方式,也成功解决了远程调用时没有携带 token 的问题。最后也学会了使用 JWT 存储 Token,大大提高了安全性。
【安全】探索统一身份认证:OAuth 2.0的介绍、原理和实现方法
橘足轻重的博客
06-28 1932
OAuth 2.0作为一种流行的统一身份认证协议,为用户在多个应用程序之间共享身份验证和授权信息提供了安全可靠的解决方案。本文介绍了OAuth 2.0的概念、原理和实现方法,希望读者能够更好地理解和应用该技术,以提升用户体验并促进应用之间的集成和互操作性。
[转]OAuth2.0授权协议+4种认证模式了解
Admans的专栏
11-06 860
OAuth2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。对于用户而言,我们在互联网应用中最常见的 OAuth 应用就是各种。
OAuth 2.0 Implicit Flow Detector-crx插件
03-25
尽管这些标准是Web开发人员的最佳实践,但许多站点仍依赖现已弃用的隐式流程(https://developer.okta.com/blog/2019/05/01/is-the-oauth-implicit-flow -dead)(不安全)ðŸ:trade_mark:该扩展检测网站何时使用...
Advanced API Security OAuth 2.0 And Beyond-Apress
03-22
4. **OAuth 2.0扩展与最佳实践**:除了标准规范,书还将涵盖OAuth 2.0的扩展,如OpenID Connect,它为身份验证添加了一个薄层,以及如何应用这些扩展来增强API的安全性。 5. **安全风险与对策**:作者将详细分析...
Android平台下基于OAuth2.0协议的三方认证技术研究与实现.pdf
09-22
OAuth 2.0 是一种广泛使用的开放授权协议,旨在允许用户授权第三方应用访问他们存储在另一服务提供商上的信息,而无需分享他们的用户名和密码。...开发者在实施时应遵循最佳实践,确保应用的安全性和用户体验。
oauth2.0--基础--04--搭建JWT
zhou920786312的博客
11-01 856
1、介绍 框架:spring sercurity+oauth2.0+JWT 需要完成下面的内容 oauth2.0–基础–03–简单搭建认证服务器,资源服务器 2、JWT 2.1、JWT 概念 JSON Web Token 一种简介的、自包含的协议格式 用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。 JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。 2.2、优点 jwt基于json,非常方便解析 可以在令牌中自定义丰富的内容,易扩展 通过非对称
OAuth2.0
liu_sgxggs的博客
05-28 429
1.什么是oauth2.0 OAuth2.0是目前使用非常广泛的授权机制,用于授权第三方应用获取用户的数据 用户可以通过选择其他登录方式来使用csdn,这里就使用到了第三方认证 2. OAuth2中的角色 1. 资源所有者 能够授予对受保护资源的访问权限的实体,如果资源的所有者为个人,也被成为最终用户 2. 资源服务器 存储有受保护资源的服务器, 能够接受并验证访问令牌,并响应受保护资源的访问请求 3. 客户 需要被授权,然后再访问受保护资源的实体。客户这个术语,并不是特指应用程序,服务
OAuth 2.0 (第三方登录)前端流程实现
qq_45799465的博客
11-01 5585
OAuth 实现,前端所需要做的事情。
java-oauth2.0
大帅的博客
07-31 437
oauth2.0协议及五种授权模式
OAuth2.0授权 - 客户端模式(Client Credentials) + 动态client_id
xgw的专栏
08-28 1万+
OAuth 2.0定义了四种授权方式: 授权码模式(authorization code):功能最完整、流程最严密的授权模式。特点是通过第三方应用的后台服务器,与服务提供平台的认证服务器进行互动获取资源。 简化模式(implicit):不通过第三方应用服务器,直接在浏览器中向认证服务器申请token令牌,跳过了授权码这个步骤。所有步骤在浏览器中完成,token对用户可见,且第三方应用不需要认证。 密码模式(resource owner password credentials):用户向第三方应用提供自己的
OAuth2.0 - 介绍与使用 及 授权码模式讲解
小毕超博客
01-16 6103
一、OAuth2.0 前面我们已经学习了SpringSecurity在SpringMVC环境下和WebFlux环境下用户认证授权以及整合JWT作为Token无状态认证授权,但是在前面的演示中都会发现全都是基于单体项目而言的,现在分布式微服务的环境下难不成还要每个服务都做一套自己的认证授权吗? 今天我们要讲解的OAuth2.0便可以解决分布式环境下的统一认证授权,我们要学习的是Spring推出的Spring-Oauth2.0框架,可以完美的和SpringBoot 以及 SpringCloud进行整合,而不需要
【最佳实践OAuth标准和基于OAuth2.0实现Github 授权单点登录的保姆级教程
追寻上飞的博客
04-20 1010
OAuth)是一种授权标准,允许第三方应用程序通过授权访问用户的受保护资源,而无需获取用户的用户名和密码。OAuth标准旨在解决用户在使用第三方应用程序时需要提供自己的用户名和密码的安全性和隐私问题。OAuth2.0是一种用于授权的开放标准,旨在为客户端应用程序提供访问受保护资源的安全机制。它是OAuth 1.0的升级版,OAuth2.0的起源可以追溯到2006年,当时Twitter发布了一个名为Twitter OAuth的开放API,该API使用OAuth1.0作为其授权机制。
sa-token和oauth2.0集成最佳实践
07-28
对于将 sa-token 和 OAuth2.0 集成的最佳实践,你可以按照以下步骤进行操作: 1. 了解 sa-token 和 OAuth2.0 的基本概念和工作原理。sa-token 是一个轻量级的身份认证和授权框架,而 OAuth2.0 是一个行业标准的授权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值