OAuth2.0的四种授权模式

最新推荐文章于 2023-11-06 09:13:17 发布
最新推荐文章于 2023-11-06 09:13:17 发布
阅读量1.1k 收藏 8
点赞数
分类专栏: 授权 文章标签: OAuth2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhz33177/article/details/92743352
版权

1. OAuth2简易实战(一)-四种模式

1.1. 隐式授权模式(Implicit Grant)

在这里插入图片描述

  • 第一步:用户访问页面时,重定向到认证服务器。
  • 第二步:认证服务器给用户一个认证页面,等待用户授权。
  • 第三步:用户授权,认证服务器想应用页面返回Token
  • 第四步:验证Token,访问真正的资源页面
    在这里插入图片描述
1.2. 授权码授权模式(Authorization code Grant)

在这里插入图片描述

  • 第一步:用户访问页面
  • 第二步:访问的页面将请求重定向到认证服务器
  • 第三步:认证服务器向用户展示授权页面,等待用户授权
  • 第四步:用户授权,认证服务器生成一个code和带上client_id发送给应用服务器
    然后,应用服务器拿到code,并用client_id去后台查询对应的client_secret
  • 第五步:将code、client_id、client_secret传给认证服务器换取access_token和
    refresh_token
  • 第六步:将access_token和refresh_token传给应用服务器
  • 第七步:验证token,访问真正的资源页面
    在这里插入图片描述
1.3. 密码模式(Resource Owner Password Credentials Grant)

在这里插入图片描述

  • 第一步:用户访问用页面时,输入第三方认证所需要的信息(QQ/微信账号密码)
  • 第二步:应用页面那种这个信息去认证服务器授权
  • 第三步:认证服务器授权通过,拿到token,访问真正的资源页面
  • 优点:不需要多次请求转发,额外开销,同时可以获取更多的用户信息。(都拿到账号密码了)

缺点:局限性,认证服务器和应用方必须有超高的信赖。(比如亲兄弟?)

应用场景:自家公司搭建的认证服务器

1.4. 客户端凭证模式(Client Credentials Grant)

在这里插入图片描述

  • 第一步:用户访问应用客户端
  • 第二步:通过客户端定义的验证方法,拿到token,无需授权
  • 第三步:访问资源服务器A
  • 第四步:拿到一次token就可以畅通无阻的访问其他的资源页面。

这是一种最简单的模式,只要client请求,我们就将AccessToken发送给它。这种模式是最方便但最不安全的模式。因此这就要求我们对client完全的信任,而client本身也是安全的。

因此这种模式一般用来提供给我们完全信任的服务器端服务。在这个过程中不需要用户的参与。

复制的温柔
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0 密码模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant 的授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
OAuth2.0授权模式.doc
07-27
OAuth2.0授权模式.doc OAuth2.0授权模式的文档,希望可以帮助学习者
Oauth2.0四种授权模式适用场景和授权流程介绍以及个人的一些思考
玖涯博客
03-09 4557
Oauth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准,先前曾经了解过在 spring-security-oauth2 中 Oauth 四种模式的实现,也通过 Shiro 实现了 Oauth授权流程。 目前 spring-security-oauth2 已经被逐步废弃,Spring 也提供了新的框架 spring-authorization-server,整个框架基于 Oauth 2.1 开发。目前重新整理项目代码,借此机会详细梳理一遍 Oauth2.0 授权模式的适用场景和授权流程,
Oauth2.0四种模式
qq_37457564的博客
07-25 1993
1. 授权模式 (1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize? client_id=p2pweb&response_type=code&scope=app&redirect_uri=http://xx.xx/notify 参数列表如下: client_id:客户端接入标识。 response_type:授权模式固定为code。 scope:客户端权限
OAuth2.0 四种模式
m0_60492092的博客
06-28 780
优点:access_token不会经过浏览器或移动端的App,而是直接从服务端去交换,这样就最大限度的减小了令牌泄漏的风险,安全性高。优点:不需要多次请求转发,额外开销,同时可以获取更多的用户信息。缺点:安全性无法保障,需要授权应用完全信任,且授权应用安全可靠。缺点:没有后台,授权码暴露在前端,安全性无法保障。缺点:局限性,认证服务器和应用方必须有超高的信赖。优点:无用户参与,过程简单。
[转]OAuth2.0授权协议+4种认证模式了解
Admans的专栏
11-06 750
OAuth2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。对于用户而言,我们在互联网应用中最常见的 OAuth 应用就是各种。
OAuth2.0四种授权模式以及Oauth2.0实战
CODEING一场空的博客
04-11 1万+
OAuth2.0四种授权模式实现演示以及自定义授权模式Oauth2.0具有多种授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。
webapi基于Owin中间件的oauth2.0身份认证
10-07
基于Owin中间件的OAuth2.0身份认证,文章位置https://blog.csdn.net/u013938578/article/details/82956188
Oauth2.0 协议 服务端 客户端 thinkphp5.0
02-08
Oauth2.0协议 整合php框架 客户端 服务端授权模式小demo
OAuth 2.0 入门指南:掌握授权模式》这篇文章的demo示例源码
最新发布
12-27
此上传包含了《OAuth 2.0 入门指南:掌握授权模式》文章中提到的完整演示示例源码。这个示例源码旨在提供一个实际的、可操作的示范,让读者可以直观地理解和学习 OAuth 2.0 授权模式的实现细节。 源码包括了设置...
OAuth2.0系列四:OAuth2.0简化模式
青藤光年的博客
09-11 1939
简化模式 有些纯前端应用,必须将令牌储存在前端。那么可以使用简化模式(隐藏式)来申请授权,颁发令牌。 浏览器向授权服务器申请授权,并设置response_type=token,表示直接返回令牌 授权服务器通过校验后跳转到重定向地址并返回token 浏览器通过token去申请资源 这种方式把令牌直接传给前端是很不安全的。因此,只能用于一些安全要求不高的场景,并且令牌的有效期必须非常短,通...
微服务应用之OAuth2.0四种授权方式
weixin_45974176的博客
09-26 3649
看完你就会懂oauth2.0四种授权方式是如何工作的了
OAuth2.0 - 简化模式、密码模式、客户端模式讲解
小毕超博客
01-16 8880
一、OAuth2.0 在上篇文章中我们已经对OAuth2.0 做了讲解,以及授权模式的认证过程,并且搭建了简单的认证服务和资源服务,由于上篇文章中我们只对授权模式这一种认证登录模式做了讲解,本篇文章对简化模式、密码模式、客户端模式这三种模式进行下演示和讲解,下面是上篇文章的地址: https://blog.csdn.net/qq_43692950/article/details/122521392 上篇文章的配制中,我们已经将所有的模式都放开给了c1这个客户id,所以在下面模式的演示中我们直接使用上
OAuth2.0详解(授权模式篇)
热门推荐
breakloop
08-23 2万+
OAuth2.0有五种授权模式。(1)授权模式(Authorization Code) (2)授权码简化模式Implicit) (3)Pwd模式(Resource Owner Password Credentials) (4)Client模式(Client Credentials) (5)扩展模式(Extension)注:文中的client,可理解为浏览器或APP。但不论哪种模式,都是为
一篇文章带你搞定 OAuth 2.0四种方式
南淮北安的博客
09-10 1194
已经学习过:理解 OAuth 2.0 一篇文章就够了 知道了 OAuth2.0 是一种授权机制,主要用来颁发令牌(token) 文章目录一、RFC 6749二、第一种授权方式:授权码三、第二种授权方式:隐藏式四、第三种授权方式:密码式五、第四种授权方式:凭证式 一、RFC 6749 OAuth 2.0 的标准是 RFC 6749 文件。该文件先解释了 OAuth 是什么。 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。…资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端
Oauth2系列5:客户端凭据模式
weigeshikebi的博客
07-09 1920
Oauth2系列5:客户端凭据模式
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 4184
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
如何理解OAuth 2.0四种授权模式
kamisama的博客
10-18 1604
导读 我们都知道OAuth是一个关于授权(authorization)的开放网络标准,目前的版本是2.0版。其有四种授权模式,这四种授权模式分别是什么呢?又分别适用于什么场景呢? 场景解读 有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。 问题是只有得到用户的授权Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢? 传统方法是,用户将自己的Google用户名和密码,告诉"云
OAuth2四种模式介绍+项目实战
What大潘的博客
04-02 4891
OAuth2入门案例,带你快速了解OAuth2的四种模式和使用场景
springboot oauth2.0 授权模式
05-11
SpringBoot OAuth2.0 授权模式是一种常见的授权方式,通常用于安全访问受保护的 API。在此模式下,客户端必须向授权服务器发送一个授权请求,授权服务器返回一个授权码,客户端使用该授权码向资源服务器请求访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值