OAuth 2.0: Bearer Token Usage

最新推荐文章于 2024-07-11 22:38:19 发布
最新推荐文章于 2024-07-11 22:38:19 发布
阅读量2.8k 收藏 6
点赞数
分类专栏: 协议/规范
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jkx1132/article/details/75214809
版权
本文详细介绍了OAuth 2.0中Bearer Token的使用,包括通过Authorization Header、Form-Encoded Body Parameter和URI Query Parameter三种方式请求资源。当客户端请求无效或缺失时,资源服务器会返回WWW-Authenticate头,并指明错误类型。文章还讨论了Bearer Token的安全威胁,如伪造、泄露、改寄和重放攻击,强调了TLS在保护Token安全中的重要性。此外,提到了MAC Token作为另一种Access Token类型,但Bearer Token是推荐标准。
摘要由CSDN通过智能技术生成
Bearer Token ( RFC 6750) 用于OAuth 2.0授权访问资源,任何Bearer持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密key。一个Bearer代表授权范围、有效期,以及其他授权事项;一个Bearer在存储和传输过程中应当防止泄露,需实现Transport Layer Security (TLS);一个Bearer有效期不能过长,过期后可用Refresh Token申请更新。

 

一. 资源请求

  Bearer实现资源请求有三种方式:Authorization Header、Form-Encoded Body Parameter、URI Query Parameter,这三种方式优先级依次递减

  • Authorization Header:该头部定义与Basic方案类似 
    GET /resource HTTP/1.1
Host: server.example.com
Authorization: Bearer mF_9.B5f-4.1JqM
  • Form-Encoded Body Parameter: 下面是用法实例 
    POST /resource HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded

access_token=mF_9.B5f-4.1JqM

    使用该方法发送Bearer须满足如下条件:

    1.头部必须包含"Content-Type: application/x-www-form-urlencoded"
2.entity-body必须遵循application/x-www-form-urlencoded编码(RFC 6749)
3.如果entity-body除了access_token之外,还包含其他参数,须以"&"分隔开
4.entity-body只包含ASCII字符
5.要使用request-body已经定义的请求方法,不能使用GET

    如果客户端无法使用Authorization请求头,才应该使用该方法发送Bearer

  • URI Query Parameter
    GET /resource?access_token=mF_9.B5f-4.1JqM HTTP/1.1
Host: serv
最低0.47元/天 解锁文章
熊猫猛男
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
user_oauth:服务器端 OAuth 2.0Bearer” 令牌验证
06-15
介绍 此应用程序针对外部授权服务器实施服务器端 OAuth 2.0Bearer”令牌验证。 它旨在支持服务。 但是,任何其他支持draft-richer-oauth-introspection OAuth 2.0 AS 都应该可以工作。 要求 PHP 卷曲扩展 Apache(因为我们目前使用apache_request_headers() ) 安装 将此代码安装在您ownCloud 安装的apps目录中的目录user_oauth中。 该模块需要一个外部库来验证 OAuth 授权服务器上的 OAuth 令牌。 可以用来安装这个依赖,默认是包含在3rdparty目录下的。 因此,仅当您想再次下载库或更新库时才需要它。 $ cd /path/to/owncloud/apps/user_oauth $ php composer.phar install 或更新: $ php comp
Oauth2.0:Springsecurity的Oauth2.0实现样例
05-14
这是整个OAuth2.0流程的核心,负责用户认证、颁发令牌(Access Token)和Refresh Token。Spring Security OAuth2提供了AuthorizationServerConfigurerAdapter配置类,通过重写其方法来设置客户端信息、权限范围、...
使用 Google 的 Generative AI 服务时,请求没有包含足够的认证范围(scopes)
最新发布
suiusoar
07-11 1018
使用 Google 的 Generative AI 服务时,你的请求没有包含足够的认证范围(scopes)
详解OAuth 2.0授权协议(Bearer token
热门推荐
u012324798的博客
04-20 1万+
OAuth 2.0授权协议1 认证(Authentication)2 授权(Authorization)3 OAuth 2.0与认证机制的联系4 详解OAuth 2.0授权协议4.1 授权码流程4.2 如何使用refresh_token换发新的access_token?4.3 access token的具体用法(Bearer token)4.4 客户机应用如何把access token传递给资源服...
Spring Security 实战干货: 简单的认识 OAuth2.0 协议
码农小胖哥
01-09 2690
1.前言 欢迎阅读 Spring Security 实战干货 系列文章 。OAuth2.0 是近几年比较流行的授权机制,对于普通用户来说可能每天你都在用它,我们经常使用的第三方登录大都基于 OAuth2.0。随着应用的互联互通,个性化服务之间的相互调用,开放性的认证授权成为 客观的需要。 2. OAuth2.0 的简单认识 OAuth定义了如下角色,并明确区分了它们各自的关注点,以确保快速构建一...
OAuth2.0简介介绍(第三方授权登陆)
weixin_74352229的博客
12-25 1076
前面几期的博客分享中都是分享都是有关联Security的知识分享,首先是Security的基础入门使用,在SpringBoot中集成Security使用;然后是Security的进阶使用,实现登陆功能、密码加密、记住我功能以及csrf防御;最后是Security连接数据库实现登陆功能以及权限分配。今天给大家带来的是OAuth2.0(第三方授权登陆)
OAuth 2.0:通往地狱之路1
08-08
然而,正如“OAuth 2.0:通往地狱之路”一文指出,OAuth 2.0 在安全性方面存在一些关键问题,这些问题是与OAuth 1.0相比的核心架构变化所导致的。 首先,OAuth 2.0 引入了“无绑定token”(Unbounded tokens)的概念...
react-google-oauth2.0:使用OAuth 2.0响应前端登录并集成Rest API后端
03-17
ReactGoogle OAuth 2.0 轻松将Google OAuth 2.0单一登录添加到React应用,并让您的服务器处理您的访问和刷新令牌。 该库可直接与配合使用,并以最少的设置立即提供Google OAuth 2.0集成。 文件: : 安装 npm ...
oauth2.0:oauth2.0
06-09
在提供的压缩包文件 "oauth2.0-master" 中,可能包含了实现 OAuth2.0 的 Java 代码示例,包括认证服务器和资源服务器的配置、客户端的实现以及相关的测试用例。通过查看和学习这些代码,可以深入了解如何在实际项目...
PWMIS.OAuth2.0:PWMIS OAuth 2.0演示和工具
05-01
PWMIS.OAuth2.0 授权认证服务程序说明 主要目的 本示例演示了OAuth 2.0的具体使用过程,与网络上其它示例不同的是,本示例的系统各个角色是分开,即授权服务器和资源服务器是分开设计部署的 ASP.NET站点。同时,还有...
rack-oauth2:OAuth 2.0服务器和客户端库。 支持Bearer和MAC令牌类型
02-20
机架-的oauth2 OAuth 2.0服务器和客户端库。 支持Bearer和MAC令牌类型。 OAuth 2.0授权框架(RFC 6749) OAuth 2.0授权框架:承载令牌使用(RFC 6750) HTTP身份验证:MAC访问身份验证(草稿01) 安装 gem install rack - oauth2 资源 在GitHub上查看源代码( ) GitHub上的文档( ) 在GitHub上报告问题( ) 示例服务器应用程序(Rails3) 不记名 GitHub GitHub 示例客户端 Bearer和MAC之间的共同点 授权请求(request_type:'代码'和'令牌') 令牌请求(grant_type:'client_credentials','password','authorization_code'和'refresh_to
RFC 6750 OAuth 2.0 授权框架:不记名令牌用法
07-20
RFC 6750 OAuth 2.0 授权框架:不记名令牌用法 (正式版中文翻译,PDF)
OAuth 2.0学习笔记(四种模式)
free的博客
07-15 385
title: OAuth2学习笔记 date: 2020-07-14 21:54:34 tags: OAuth 2.0 OAuth 2.0 引用 http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 一、背景 主要是用来一个用来授权的框架。他解耦了认证与授权。 用于REST/APIs的代理授权 框架(delegated authorization framework) 基于令牌Token的授权, 在无需暴露用户密码的情 况下,使应用能.
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
FastAPI 学习之路(二十八)使用密码和 Bearer 的简单 OAuth2
mr~li的博客
08-30 1367
使用密码和 Bearer 的简单 OAuth2
FastAPI 中的 OAuth2PasswordBearer 授权方法详解
ktianc的博客
08-22 932
FastAPI 中的 OAuth2PasswordBearer 授权方法主要是为 FastAPI 应用提供密码流授权方案。
spring security 5 oauth2 资源服务器无法正确处理用户授权 报错insufficient_scope
路过君的博客
11-23 2581
现象 客户端通过授权码模式获取不透明令牌(opaque token),使用令牌访问资源服务器 资源服务器安全配置只能处理客户端scope授权,如果添加用户授权的判定规则,则报错 www-authenticate: Bearer error=“insufficient_scope”,error_description=“The request requires higher privileges than provided by the access token.”,error_uri=“https://t
苹果cms v8模板仿q2002电影网站电脑手机自适应模板
ouyang12333的博客
05-21 2870
介绍: 苹果cms v8模板仿q2002电影网站电脑手机自适应模板 网盘下载地址: http://kekewl.cc/72i0LadpXXX0 图片:
OAuth2.0:安全授权框架详解
访问令牌(Access Token)是OAuth2.0的核心概念,它代表了资源拥有者对特定资源的访问权限。它有特定的作用域(Scope)、有效期(Expires)和其他属性,确保了资源的访问控制。访问令牌的格式和验证方式由资源服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值