跟我总结OAuth2.0

最新推荐文章于 2024-01-29 15:25:08 发布
最新推荐文章于 2024-01-29 15:25:08 发布
阅读量9.1k 收藏 10
点赞数 3
分类专栏: OAuth2.0 文章标签: oauth JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jbjwpzyl3611421/article/details/51130030
版权

          公司准备使用一种网页的安全认证来实现多个应用系统的单点登录,经过研究采用了现阶段比较流行的OAuth2.0 。下面是对OAuth2.0一些整理和总结以便以后的学习交流。

一、学习OAuth2.0我们先了解一下OAuth是什么?

        OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。看了Auth描述有何感想呢? 是不是很啰嗦哭 OK  其实用一句俗话来讲:OAuth是用来给客户端授权的,让客户端登录到系统中获得资源。(如果仅仅是为了登录的话,其实使用OAuth是没有必要的)。

二、OAuth历史及资料

       OAuth 2.0 是目前比较流行的做法,它率先被Google, Yahoo, Microsoft, Facebook等使用。之所以标注为 2.0,是因为最初有一个1.0协议,但这个1.0协议被弄得太复杂,易用性差,所以没有得到普及。2.0是一个新的设计,协议简单清晰,但它并不兼容1.0,可以说与1.0没什么关系。具体可以到OAuth2官网http://oauth.net/2/查看,OAuth2协议规范可以参考http://tools.ietf.org/html/rfc6749。目前有好多参考实现供选择,可以到其官网查看下载。

文使用Apache Oltu,其之前的名字叫Apache Amber ,是Java版的参考实现。使用文档可参考https://cwiki.apache.org/confluence/display/OLTU/Documentation


如下图(1)所示OAuth2.0


                                           图(1)

三、OAuth2分为四个角色:资源拥有者、资源服务器授权服务器客户端


下图(2)为OAuth2.0的角色及工作步骤



                                                        图(2)

资源拥有者(user:能授权访问受保护资源的一个实体,可以是一个人。

资源服务器(resourceserver:存储受保护资源,客户端通过access token请求资源,资源服务器响应受保护资源给客户端。

授权服务器(authorizationserver:成功验证资源拥有者并获取授权之后,授权服务器颁发授权令牌(Access Token)给客户端。

客户端(client :第三方应用,其本身不存储资源,而是资源拥有者授权通过后,使用它的授权(授权令牌)访问受保护资源,然后客户端把相应的数据展示出来/提交到服务器。“客户端”术语不代表任何特定实现(如应用运行在一台服务器、桌面、手机或其他设备)。

四、OAuth2协议工作流程

     

A、客户端从资源拥有者那请求授权。授权请求可以直接发给资源拥有者,或间接的通过授权服务器这种中介,后者更可取。

B、客户端收到一个授权许可,代表资源服务器提供的授权。

C、客户端使用它自己的私有证书及授权许可到授权服务器验证。

D、如果验证成功,则下发一个访问令牌。

E、客户端使用访问令牌向资源服务器请求受保护资源。

F、资源服务器会验证访问令牌的有效性,如果成功则下发受保护资源。

 

下图为详细OAuth2.0授权流程:


五、下面我们来讲解一个shiro+oauth2的实例

     5.1准备开发工具jar包,本人采用的开发工具是Eclipse4.5 数据库mysql5.5。

      shiro和oauth2包:

     


5.2 创建项目shiro-oauth2-client和shiro-oauth2-server


      5.2客户端项目

      web.xml配置文件


spring-config-shiro.xml配置文件


    

      

客户端请求后台源码


第一步:用户同意授权,获取code

客户端验证用户是否登录,没有登录发送请求到服务器登录引导页进行登录授权,并且返回code

http://localhost:8080/shiro-oauth2-server/authorize?client_id=c1ebe466-1cdc-4bd3-ab69-77c3561b9dee&response_type=code&redirect_uri=http://localhost:8080/shiro-oauth2-client/oauth2-login
若提示该链接无法访问,请检查参数是否填写错误\服务器【shiro-oauth2-server】是否启动\是否拥有scope参数对应的授权作用域权限。state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。

服务器端代码



下图为服务器登录授权页面:

用户登录授权后页面将跳转至redirect_uri/?code=CODE&state=STATE。若用户禁止授权,则重定向后不会带上code参数,仅会带上state参redirect_uri?state=STATE

code说明  code作为换取access_token的票据,每次用户授权带上的code将不一样,code只能使用一次,10分钟未被使用自动过期。

参数说明:


第二步:通过code获取AccessToKen

http://localhost:8080/shiro-oauth2-server/accessToken?client_secret=d8346ea2-6017-43ed-ad68-19c0f971738b&grant_type=authorization_code&redirect_uri=http://localhost:8080/shiro-oauth2-client/oauth2-login&code=87d84cbff66b6a0e27308ac543ca0b0a&client_id=c1ebe466-1cdc-4bd3-ab69-77c3561b9dee
提交请求使用post方式其中client_secret可以使用basic方式加入header中grant_type:表示使用的授权模式,必选项,此处的值固定为"authorization_code"code:表示上一步获得的授权码,必选项。
参数说明:

返回值:

参数说明:

第三步:通过access_token获取用户资源

访问受资源服务端保护的资源(前面没有特别说明的服务端都是指授权服务端

下图为获取用户信息:



后台运行结果

源码下载地址:http://download.csdn.net/detail/jbjwpzyl3611421/9488565

悟之思语
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
jfinal-oauth2.0-server:jfinal-oauth2.0-server,参考http
04-29
jfinal-oauth2.0-server 基于, 参考实现了4.节描述的内容。 实现了OAuth 2.0定义了四种授权方式 授权码模式(authorization code): 先获取下次请求token的code,然后在带着code去请求token; 简化模式(implicit):直接请求token; 密码模式(resource owner password credentials): 先完成授权,然后再获取token; 客户端模式(client credentials): 类似密码保护模式; ​ demo #自定义clientcredentials implements OAuthClientCredentials public class PasswordClientCredentials implements OAuthClientCredentials { @Overrid
Oauth2.0的四种模式
qq_37457564的博客
07-25 1979
1. 授权码模式 (1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize? client_id=p2pweb&response_type=code&scope=app&redirect_uri=http://xx.xx/notify 参数列表如下: client_id:客户端接入标识。 response_type:授权码模式固定为code。 scope:客户端权限
OAuth2.0详细介绍与实践(通俗易懂)
热门推荐
cV展示的学习园
11-07 4万+
Oauth2.0详细介绍及其实践
【SpringSecurity】十四、OAuth2.0协议
最新发布
llg___的博客
01-29 986
关于第三方客户端系统何时用refresh_token来刷新令牌,可以写定时任务(授权码换token时,access_token的过期时间也返回过来了),也可以等出现access_token过期的返回结果时,再做刷新处理。比如:用户A微信扫码登录网站B,即用户A授权网站B去微信服务器拿自己的部分信息,以免去在网站B重复输入信息注册的麻烦,当然,你的微信登录密码,网站B并不知道。三方登录,社交登录(Q、V)等,比如用户想登录A网站,A网站让用户授权第三方网站,获取到用户在第三方网站的身份信息后,完成登录。
Security详解
myli92的博客
05-12 999
1.HttpSecurity常用方法 方法 说明 openidLogin() 用于基于 OpenId 的验证 headers() 将安全标头添加到响应 cors() 配置跨域资源共享( CORS ) sessionManagement() 允许配置会话管理 portMapper() 允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 P
Oauth2.0的基本使用
m0_65041486的博客
09-15 987
​ 所以出现了使用JWT来保存token,第三方应用先通过授权服务器进行认证,认证通过授权服务器向第三方应用颁发jwt的token,然后第三方应用每次访问资源服务器的资源都携带jwt的token,资源服务器通过对第三方应用携带的jwt的token进行解析,以判断第三方应用是否认证通过。​ 和使用redis的步骤差不多,只需要修改关于授权服务器的oauth配置类的代码+资源服务器的oauth配置类的代码+资源服务器的配置文件即可。配置第三方应用 – 只有配置的第三方应用才可向授权服务器申请token。
OAuth2.0 - 介绍与使用 及 授权码模式讲解
小毕超博客
01-16 6022
一、OAuth2.0 前面我们已经学习了SpringSecurity在SpringMVC环境下和WebFlux环境下用户认证授权以及整合JWT作为Token无状态认证授权,但是在前面的演示中都会发现全都是基于单体项目而言的,现在分布式微服务的环境下难不成还要每个服务都做一套自己的认证授权吗? 今天我们要讲解的OAuth2.0便可以解决分布式环境下的统一认证授权,我们要学习的是Spring推出的Spring-Oauth2.0框架,可以完美的和SpringBoot 以及 SpringCloud进行整合,而不需要
SpringSecurity、Shiro、Oauth2.0、Cas
m0_37695902的博客
06-05 1688
文章目录 认证和授权总流程认证技术技术选型cas基本流程首次登陆流程再次登陆流程注销流程 cas实现相关自定义登陆逻辑cas service配置cas service管理自定义用户登陆界面SpringBoot配置cas client SpringSecurity基...
OAuth2.0协议中文版.pdf
03-27
OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
本篇文章主要介绍了Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
OAUTH2.0+OpenLDAP技术框架
01-09
OAUTH2.0+OpenLDAP技术框架,及适用场景,综合价值等PPT文档,可修改!!!
Shiro集成OAuth2
08-10
NULL 博文链接:https://zhaoshijie.iteye.com/blog/2204395
OAuth2.0 密码模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant 的授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
springboot集成oauth2.0
07-27
springboot 集成oauth2.0服务器,基于oauth2.0授权码形式集成
【开发技术】2万字分析shiro、spring security两大安全框架,spring session,OAuth2 入门级教程
a23452的博客
07-25 3600
SpringBootSpringBoot开发技术 — 应用程序安全,Spring security,ShiroWeb开发中还有一个要点就是应用程序的安全性,比如一般通过登录验证保护用户的个人资源,会员制度将会员和普通用户享用的功能区分,管理系统要进行角色进行相关的权限的管理,安全管理框架: Spring Security和Shiro,Shiro为轻量级,主要就是一个验证器RBAC role based access control 访问控制基于角色,安全管理的实现思路就是前台通过相关的标签进行标记,后台通过
OAuth2.0从入门到实战(附github地址)
Javaer
02-25 2168
Oauth2.0 从入门到实战,一篇文章搞懂第三方登录和SSO
OAuth2.0四种授权模式以及Oauth2.0实战
CODEING一场空的博客
04-11 1万+
OAuth2.0四种授权模式实现演示以及自定义授权模式。 Oauth2.0具有多种授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。
shiro+oauth2.0
weixin_33911824的博客
10-16 1155
1.搭建Oauth2.0协议的实现demo,最好要先学习一下Shiro的环境搭建。 在Shiro安全控制框架的基础上实现oauth2.0 较为容易。 学习Oauth2.0 正式开始: 学习理论:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 案例 我用的是:张开涛的oauth和shiro集成的栗子。 当然理...
Oauth协议总结
zlb_lover的博客
11-08 837
Oauth协议总结 一 、Oauth是什么? 首先了解一下oauth协议主要解决了什么问题。例子如下:   图1 小新现在想要使用一个“在线打印服务”来打印一些照片,同时小新的照片都存储在了“云网盘”上,按照传统的方式小新要怎么做呢? 1、将照片从“云网盘”上down下来,在上传到“在线打印服务”,然后开始打印。  2、下载/上传太麻烦了,小新可以直接把“云网盘”的账号和密码告诉...
spring cloud oauth2.0
09-03
总结来说,Spring Cloud OAuth2.0 是一个强大的身份认证和授权框架,用于构建安全的分布式系统。它提供了一系列组件和库,帮助你实现基于令牌的身份验证和授权管理,并且与 Spring Cloud 和 Spring Security 紧密...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值