OAuth2.0协议认证过程

最新推荐文章于 2023-12-09 11:07:06 发布
最新推荐文章于 2023-12-09 11:07:06 发布
阅读量432 收藏
点赞数
分类专栏: 互联网安全架构 文章标签: OAuth2.0协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/juzhenxing/article/details/103076411
版权
  • 总结
  1. 第一步:用户同意授权,获取code
  2. 第二步:通过code换取网页授权access_token
  3. 第三步:刷新access_token(如果需要)
  4. 第四步:拉取用户信息(需scope为 snsapi_userinfo)
  • 微信公众号授权实战
  1. 关注微信测试公众号
    进入微信公众帐号测试号申请系统
  2. 填写自己服务器域名
    在这里插入图片描述
    在这里插入图片描述
  3. 实现代码
// 在application.yml中配置相关参数 
custom:
  domain: jsd2ee.natappfree.cc
  wx:
    authorizeUrl: https://open.weixin.qq.com/connect/oauth2/authorize
    appID: wxb120dd4f7b91e2f5
    appSecret: 9e488053113d02f3cab1decf5b90345f
    redirectUri: http://cxphcj.natappfree.cc/callback
    accessTokenUrl: https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code
    userinfoUrl: https://api.weixin.qq.com/sns/userinfo

// 网页授权获取用户基本信息
@Controller
@Slf4j
public class OauthController {

    @Value("${custom.wx.authorizeUrl}")
    private String authorizeUrl;

    @Value("${custom.wx.appID}")
    private String appID;

    @Value("${custom.wx.appSecret}")
    private String appSecret;

    @Value("${custom.wx.redirectUri}")
    private String redirectUri;

    @Autowired
    private RestTemplate restTemplate;

    @Value("${custom.wx.accessTokenUrl}")
    private String accessTokenUrl;

    @Value("${custom.wx.userinfoUrl}")
    private String userinfoUrl;

    /**
     * 用户同意授权,获取code
     * 在发起授权请求时,微信会对授权链接做正则强匹配校验,
     * 如果链接的参数顺序不对,授权页面将无法正常访问
     *
     * @return
     */
    @GetMapping("/authorize")
    public String authorize() {
        authorizeUrl = String.format(authorizeUrl + "?appid=%s&redirect_uri=%s&response_type=code&scope=snsapi_userinfo&state=STATE#wechat_redirect",
                appID, redirectUri);
        return "redirect:" + authorizeUrl;
    }

    @GetMapping(value = "/callback")
    @ResponseBody
    public UserinfoVO callback(String code) throws Exception {
        Assert.hasLength(code, "code获取失败");

        //通过code换取网页授权access_token
        accessTokenUrl = accessTokenUrl.replace("APPID", appID).replace("SECRET", appSecret).replace("CODE", code);
        log.info("通过code换取网页授权access_token请求地址: {}", accessTokenUrl);
        String accessTokenResultStr = restTemplate.getForObject(accessTokenUrl, String.class);
        JSONObject accessTokenResult = JSONObject.parseObject(accessTokenResultStr);
        if (accessTokenResult.getInteger("errcode") != null) {
            throw new Exception("通过code换取网页授权access_token失败, 失败信息: " + accessTokenResult.getString("errmsg"));
        }
        //拉取用户信息(需scope为 snsapi_userinfo)
        userinfoUrl = String.format(userinfoUrl + "?access_token=%s&openid=%s&lang=zh_CN",
                accessTokenResult.getString("access_token"),
                accessTokenResult.getString("openid"));
        log.info("拉取用户信息请求地址: {}", accessTokenUrl);
        String userinfoResult = restTemplate.getForObject(userinfoUrl, String.class);
        return JSONObject.parseObject(userinfoResult, UserinfoVO.class);
    }
}
  1. 效果演示
    在这里插入图片描述
    在这里插入图片描述
  2. 注意事项
  • 使用String.format方法拼接请求url可能会报错;
  • 填写回调地址不能是localhost, 否则腾讯服务器无法重定向;
  1. 官方文档
    https://developers.weixin.qq.com/doc/offiaccount/OA_Web_Apps/Wechat_webpage_authorization.html
_翚_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2协议认证流程
weixin_49071539的博客
11-23 791
OAuth 授权所需信息 1.应用名称 2.应用网站 3.重定向URI或回调URL(redirect_uri) 4.客户端标识client_id 5.客户端密钥client_secret 点击授权--------->地址栏信息: https://abcdefg.com/abcd123/12432154321?client_id=15342534dfgtwa&redirect_url=https:1243324fdqwrdf&response_type=code&state=1
OAuth2.0协议流程
西蒙博士
03-15 159
1、客户端向从资源所有者请求授权。授权请求可以直接向资源所有者发起,或者更可取的是通过作为中介的授权服务器间接发起。 2、客户端收到授权许可,这是一个代表资源所有者的授权的凭据,使用本规范中定义的四种许可类型之一或 者使用扩展许可类型表示。授权许可类型取决于客户端请求授权所使用的方式以及授权服务器支持的类型。 3、客户端与授权服务器进行身份认证并出示授权许可请求访问令牌。 4、授权服务器验证...
OAuth认证协议原理分析及使用方法
xymyeah
05-24 965
OAuth认证协议原理分析及使用方法  来源:http://kejibo.com/oauth/  twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到 twitter登录,之后转回原网站,你会发现你已经登录此网站了,比如像 feedtwitterrss2twitter推特中文圈(这个目前好像有点问题转回来的时候是个错误地址) 这种网站就是这个效果。其实这都是
OAuth 2.0 协议原理和认证流程
Visant Blog
04-17 823
OAuth 2.0 的定义 OAuth 2.0 的规范可以参考 : RFC 6749 OAuth 是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。目前,OAuth 的最新版本为 2.0 OAuth 允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的...
正确的工作流程:我应该使用哪个OAuth 2.0流程?
最佳 Java 编程
06-11 165
什么是OAuth 2.0 OAuth 2.0是一个已被广泛采用的委托授权框架,已经存在了很多年,并且似乎已经存在。 如果您不熟悉OAuth 2.0的基本概念,可以使用 川崎孝彦写的优秀文章 。 这只是OAuth 2.0各方的简要提醒: 资源所有者–受保护资源的所有者,例如用户 客户端–想要访问受保护资源的应用程序,例如服务器端Web应用程序或单页应用程序(SPA) 授权服务器...
理解 OAuth 2.0 认证流程
SecularBird的专栏
08-31 480
OAuth 2.0 是广泛使用的授权标准,设计的本身也有许多安全性的考量。本文浅尝辄止,只介绍 Authorization Code 与 Implicit 模式的授权过程,而这些流程背后想要解决的问题,需要另选学习。假设我们的网站有一个功能是同步用户在 Github 的所有仓库。(更多安全相关的考虑参考最后的参考文章)...
OAuth2认证流程
Relievedz的博客
03-16 6076
在前边我们提到微信扫码认证,这是一种第三方认证的方式,这种认证方式是基于OAuth2协议实现,OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。
OAuth2.0认证流程
Mr_g_j的博客
08-05 582
OAuth2.0认证流程   在OAuth2.0的处理流程,主要分为以下四个步骤:   1)得到授权码code   2)获取access token   3)通过access token,获取OpenID   4)通过access token及OpenID调用API,获取用户授权信息   上面是流程的大概四个步骤,在下面的流程示意图中会得到体现,这是我制作的一
Oauth 2.0 认证流程
xinjiatao的专栏
01-09 273
    OAuth的思路: (A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获取资源。 (F)资源服务器确认令牌无误,同意向客户端开放资源。     OAuth认证   OAu...
oAuth2.0认证流程图
weixin_30532837的博客
06-24 638
这两天在看oAuth2.0的东西,简单的使用visio画了个流程图。演示的是用户登录慕课网,使用qq登录的流程: 转载于:https://www.cnblogs.com/yjk295722366/p/9220301.html...
Web - OAuth2 认证流程
04-21 1540
令牌与密码的区别 令牌(token)与密码(password)的作用是一样的,都可以进入系统,但是主要有以下几点区别: 令牌 密码 有效时长 令牌到期自动失效 用户不修改就长期有效 谁可撤销 数据所有者撤销即失效 一般不允许他人撤销 权限范围 令牌具有权限范围,可限制操作 一般为完整权限 注:只要知道了令牌,就能进入系统。系统一般不会再次确认身份,所以令牌必须保密,泄漏令牌与泄漏密码的后果是一样的。 这也是为什么令牌的有效期,一般都设置得很短的原因。 认证流程 (A)用户打
OAuth2.0协议入门
Daniel462038751的专栏
10-20 1683
OAuth2.0 协议原理 OAuth 2.0 协议是一种三方授权协议,目前大部分的第三方登录与授权都是基于该协议的标准或改进实现。OAuth 1.0 的标准在 2007 年发布,2.0 的标准则在 2011 年发布,其中 2.0 的标准取消所有 Token 的加密过程,并简化了授权流程,但因强制使用 HTTPS 协议,被认为安全性高于 1.0 的标准。 一. 基础应用:第三方登录 ​ 对于 OAuth2.0 协议(以下简称 OAuth 协议)的第一次接触,我相信大部分开发者都是通过对接第三方登录
OAuth2.0在项目中认证流程介绍
Leon_Jinhai_Sun的博客
05-10 427
Spring security Oauth2认证解决方案 本项目采用 Spring security + Oauth2完成用户认证及用户授权,Spring security 是一个强大的和高度可定制的身份验证和访问控制框架,Spring security 框架集成了Oauth2协议,下图是项目认证架构图: 1、用户请求认证服务完成认证。 2、认证服务下发用户身份令牌,拥有身份令牌表示身份合法。 3、用户携带令牌请求资源服务,请求资源服务必先经过网关。 4、网关校验用户身份令牌的合法,不合法表示
SpringBoot OAuth2.0认证管理流程详解
热门推荐
u012477420的博客
12-12 1万+
OAuth2.0是一个开放的授权协议,可以用来实现第三方应用对我们API的访问控制,OAuth2.0中定义的角色包括: 1) Resource Owner(资源拥有者) 2) Client (第三方接入平台,请求者) 3) Resource Server (服务器资源: 数据中心) 4) Authorization Server (认证服务器) 授权认证的基本流程包括: 首先Client需要向Resource Ow......
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 4480
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
OAuth 2.0 认证过程
知无涯
11-25 3627
认证和授权的过程中涉及的三方包括: 1、服务提供方,用户使用服务提供方来存储受保护的资源,如照片,视频,联系人列表。 2、用户,存放在服务提供方的受保护的资源的拥有者。 3、客户端,要访问服务提供方资源的第三方应用,通常是网站,如提供照片打印服务的网站。在认证过程之前,客户端要向服务提供者申请客户端标识。 使用OAuth进行认证和授权的过程如下所示: 用户想操作存放在服务提供方的资源。...
一文弄懂Spring Security oauth2授权认证流程
qq_36551991的博客
12-01 1212
spring security oauth2.0授权认证流程
Oauth2.0 认证
最新发布
m0_62943934的博客
12-09 1504
Oauth2.0 是非常流行的网络授权表准,已经广泛应用在全球范围内,比较大的公司,如腾讯等都有大量的应用场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值