OAuth协议原理

最新推荐文章于 2022-05-13 17:05:27 发布
最新推荐文章于 2022-05-13 17:05:27 发布
阅读量459 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/likaibk/article/details/53213473
版权

OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。

本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749


OAuth的思路

OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。"客户端"不能直接登录"服务提供商",只能登录授权层,以此将用户与客户端区分开来。"客户端"登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。

"客户端"登录授权层以后,"服务提供商"根据令牌的权限范围和有效期,向"客户端"开放用户储存的资料。


五、客户端的授权模式

客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。OAuth 2.0定义了四种授权方式。

  • 授权码模式(authorization code)
  • 简化模式(implicit)
  • 密码模式(resource owner password credentials)
  • 客户端模式(client credentials)
本文主要讲的是授权码模式

授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。

(A)用户访问客户端,后者将前者导向认证服务器。

(B)用户选择是否给予客户端授权。

(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。

(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。

(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

下面是上面这些步骤所需要的参数。

A步骤中,客户端申请认证的URI,包含以下参数:

  • response_type:表示授权类型,必选项,此处的值固定为"code"
  • client_id:表示客户端的ID,必选项
  • redirect_uri:表示重定向URI,可选项
  • scope:表示申请的权限范围,可选项
  • state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。

下面是一个例子。


GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

C步骤中,服务器回应客户端的URI,包含以下参数:

  • code:表示授权码,必选项。该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。
  • state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。

下面是一个例子。


HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
          &state=xyz

D步骤中,客户端向认证服务器申请令牌的HTTP请求,包含以下参数:

  • grant_type:表示使用的授权模式,必选项,此处的值固定为"authorization_code"。
  • code:表示上一步获得的授权码,必选项。
  • redirect_uri:表示重定向URI,必选项,且必须与A步骤中的该参数值保持一致。
  • client_id:表示客户端ID,必选项。

下面是一个例子。


POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

E步骤中,认证服务器发送的HTTP回复,包含以下参数:

  • access_token:表示访问令牌,必选项。
  • token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
  • expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
  • refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。
  • scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。

下面是一个例子。


     HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

从上面代码可以看到,相关参数使用JSON格式发送(Content-Type: application/json)。此外,HTTP头信息中明确指定不得缓存。

大家可参考http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html


likaibk
关注
专栏目录
Php oauth2.0 原理,OAuth 2.0 协议原理与实现:TOKEN 生成算法
weixin_40003451的博客
03-19 551
OAuth2.0协议定义了授权详细流程,并最终以token的形式作为用户授权的凭证下发给客户端,客户端后续可以带着token去请求资源服务器,获取token权限范围内的用户资源。对于token的描述,OAuth2.0协议只是一笔带过的说它是一个字符串,用于表示特定的权限、生命周期等,但是却没有明确阐述token的生成策略,以及如何去验证一个token。RFC6749对于access token的描...
OAuth原理
ww112233j的博客
05-24 3800
包括如下内容: 1 从简单的例子了解 OAuth 2 OAuth 的定义和组成 3 OAuth 的 Refresh Token 4 OAuth 的授权模式 从简单的例子了解 OAuth 在介绍 OAuth 2.0 之前,让我们来看一个简单的例子。假设你平时喜欢照相,将生活中的点点滴滴记录成电子照片并且存放到云盘上,每隔一段时间会将心仪的照片挑选出来进行打印保存。 同时你发现网络上面有一个款云打印照片的应用,只需要导入电子照片,这款应用就可以帮你进行打印然后将成片邮寄到你的家中。 我们将这
OAuth2.0协议原理与实现
03-08
OAuth2.0协议原理与实现
oauth协议原理
weixin_30642561的博客
07-08 77
oauth协议关系图(如获取微信用户信息): oauth一般授权步骤: 转载于:https://www.cnblogs.com/afei1759/p/11154678.html
理解OAuth2协议原理
little_kelvin的博客
12-15 5910
理解OAuth2协议原理OAuth2简介OAuth2协议角色 OAuth2简介 OAuth 是一个开放授权协议标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的全部内容。 OAuth2 是 OAuth 协议2.0版本,不兼容1.0版本。RFC6749 文档描述了 OAuth2 协议的全部内容。本文将会基本 RFC协议文档去带大家理解OAuth2协议,如果读完以后感觉晦涩弄懂,可以结合 阮一峰大神这个博客去理解。 OAuth2协议角色 例
oauth2.0授权码模式详解
weixin_44846436的博客
03-07 4961
oauth2.0授权码模式 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章http://www.javaman.cn/sb2/oauth-code 授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。 这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。 1、授权码模式流程 第一步,A
OAuth系列之OAuth2.0授权码模式学习笔记
Nicky's blog
07-27 3057
OAuth2.0简单说就是一种授权的协议, 授权码模式(authorization code) 简化模式(implicit) 密码模式(resource owner password credentials) 客户端模式(client credentials) ...
oauth2.0 原理讲解
02-23
OAuth2.0是互联网上的一种授权协议,全称为“The OAuth 2.0 Authorization Framework”,由互联网工程任务组(IETF)标准化,在RFC 6749中进行了定义。该协议主要用来允许一个第三方应用,如应用程序(App)、网站或...
使用OAuth协议来认证或登录各种微博
04-01
OAuth协议是一种授权机制,常用于在线服务提供商与第三方应用之间的身份验证和数据交换。在本文中,我们将深入探讨如何利用OAuth协议实现微博平台的认证和登录功能,以及如何通过源码学习这一过程。 首先,OAuth...
Spring Security(十一):授权认证(OAuth2)-授权码模式(authorization_code)
人不风流枉少年
06-25 3529
一:简介 二:代码 1. pom.xml 注意:这里使用的springboot的版本为2.1.5.RELEASE,不同的版本功能实现上可能会有差异。 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.o...
PWMIS.OAuth2.0:PWMIS OAuth 2.0演示和工具
05-01
PWMIS.OAuth2.0 授权认证服务程序说明 主要目的 本示例演示了OAuth 2.0的具体使用过程,与网络上其它示例不同的是,本示例的系统各个角色是分开,即授权服务器和资源服务器是分开设计部署的 ASP.NET站点。同时,还有一个用户入口站点,它也是一个API代理网关,可以解决跨域问题。 本程序分为以下几个部分: 授权认证服务 API网关代理 工具类 Demo和测试程序 控制台测试程序 WinFom测试程序 1,授权模式 本系统采用OAuth 2.0 开放式授权协议,采用授权与认证相分离的模式,采用OAuth 2.0协议中的密码授权模式。 2,系统角色 在 OAuth 2.0 授权体系中,有下面几种角色: 【授权服务器】:对客户端对资源服务器的访问进行授权; 【资源服务器】:提供API等资源服务的服务器,是资源的提供者,供客户端访问; 【客户端】:访问资源服务器的对象,它可以是一个
Auth2.0授权码模式
12-29
从流程上看申请分为两个阶段:首先需要申请Authorization Code;之后使用Authorization Code来申请Access Token。
Oauth2授权模式访问之授权码模式(authorization_code)
zy_javapythonc的博客
01-28 6233
Oauth2授权模式访问之授权码模式
OAuth认证原理
qq_25381015的博客
10-30 402
一.什么是OAuth?       1.OAuth是一种安全认证协议;     2.OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准;     3.OAuth的授权不会使第三方触及到用户的账号信息(如用户名和密码)(作用);  二、OAuth当中的角色      1.ServiseProvider(服务提供商)服务提供商一般是网站,保存有一些受限制的资源;      
oauth授权协议原理
weixin_33887443的博客
06-07 92
  http://oauth.net/2/ 协议的原文。原来是1.0版本,现在是2.0版本了  https://ruby-china.org/topics/15396https://blog.yorkxin.org/posts/2013/09/30/oauth2-1-introduction/ 通俗解释: http://www.ruanyifeng.com/blog/2014/05/oau...
Spring Cloud系列 Spring Cloud OAuth2授权码模式(authorization code)
ssaiwey的博客
06-22 2025
OAuth 2 有四种授权模式,分别是授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials),具体 OAuth2 是什么,可以参考这篇文章(http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html) 实现统一认证功能 本篇先介绍密码模式实现的单点登录,下一篇再继续说授权码模式 ...
(三)OAuth 2.0 授权码模式 (Authorization Code)
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 2150
前言 在文章 OAuth 2.0 概念及授权流程梳理 中我们谈到OAuth 2.0的概念与流程,这里我准备分别记一记这几种授权模式的demo,一方面为自己的最近的学习做个总结,另一方面做下知识输出,如果文中有错误的地方,请评论指正,在此不胜感激。 阅读本文,默认读者已经过Spring Security有一定的了解,对OAuth2.0流程有一定了解。 带领读者对Spring Security OAuth2.0框架的授权码模式有一个比较直观的概念,能使用框架搭建授权码模式授权服务器与资源服务器(前后端分离版本)
手把手OAuth2授权码模式(Authorization Code)
xuejianxinokok的专栏
04-30 6508
手把手入门OAuth2授权码模式(Authorization Code) 1.简单介绍 OAuth2 授权码模式模式基本上是用用户凭证获取token 后来获取资源的访问权限。其交互步骤如下图: 交互过程如下: 用户在客户端程序上操作某些功能希望从资源服务器获取数据 客户端程序重定向浏览器请求到授权服务器要求授权,在重定向之前客户端程序会给授权服务器传递一个参数作为回调地址 授权服务器请求用户同意,这个步骤一般需要用户先登录,如果已经登录则可能弹出一个交互页面请求用户同意授权 用户决定同意授权 授权服务器
OAuth2.0 授权许可 之 Authorization Code
weixin_30618985的博客
10-10 477
写在前面: 在前一篇博客《OAuth2.0 原理简介》中我们已经了解了OAuth2.0的原理以及它是如何工作的,那么本篇我们将来聊一聊OAuth的一种授权许可方式:授权码(Authorization Code) 什么是Authorization Code ? 简单来说授权码就是的在第三方应用程序请求Authrization Server来获取AccessToken之前的预先校验...
oauth2协议原理
最新发布
06-30
OAuth2(开放授权)是一种授权框架,用于让第三方应用程序能够访问用户的资源,而无需分享用户名和密码。其主要原理包括以下几个步骤: 1. **资源所有者授权**:用户在自己的应用(通常网站或移动应用)中登录,然后授权给第三方应用访问其特定的资源(如Google账户中的联系人信息)。 2. **授权服务器请求**:第三方应用会向授权服务器发起请求,请求访问权限,并附带一个回调URL,告知授权后如何处理。 3. **授权码或令牌获取**:授权服务器会生成一个临时的授权码或访问令牌(Access Token),并可能包含一个短有效期,发送给第三方应用。用户通常不会看到这些。 4. **验证与授权**:第三方应用使用授权码换取长期或短期的访问令牌,并将其发送给资源服务器,验证有效性。 5. **访问资源**:第三方应用使用访问令牌与资源服务器交互,获取用户授权的资源。 6. **刷新令牌**:当访问令牌过期时,应用可以使用刷新令牌(Refresh Token)向授权服务器请求新的访问令牌。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值