OAuth鉴权——原理

最新推荐文章于 2024-09-30 09:27:29 发布
最新推荐文章于 2024-09-30 09:27:29 发布
阅读量8.2k 收藏 10
点赞数 2
分类专栏: Web 文章标签: token url 存储 照片 user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lingedeng/article/details/6781759
版权

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。

典型案例

如果一个用户拥有两项服务:一项服务是图片在线存储服务A,另一个是图片在线打印服务B。由于服务A与服务B是由两家不同的服务提供商提供的,所以用户在这两家服务提供商的网站上各自注册了用户,假设这两个用户名各不相同,密码也各不相同。

当用户要使用服务B打印存储在服务A上的图片时,用户该如何处理?

    方法一:用户可能先将待打印的图片从服务A上下载下来并上传到服务B上打印,这种方式安全但处理比较繁琐,效率低下;

    方法二:用户将在服务A上注册的用户名与密码提供给服务B,服务B使用用户的帐号再去服务A处下载待打印的图片,这种方式效率是提高了,但是安全性大大降低了,服务B可以使用用户的用户名与密码去服务A上查看甚至篡改用户的资源。

    方法三:当服务B(打印服务)要访问用户的服务A(图片服务)时,通过OAUTH机制,服务B向服务A请求未经用户授权的RequestToken后,服务A将引导用户在服务A的网站上登录,并询问用户是否将图片服务授权给服务B。用户同意后,服务B就可以访问用户在服务A上的图片服务。整个过程服务B没有触及到用户在服务A的帐号信息。

OAuth相关术语

在认证和授权的过程中涉及的三方包括:

    服务提供方(ServiceProvider,用户使用服务提供方来存储受保护的资源,如照片,视频,联系人列表。

    用户(User,存放在服务提供方的受保护的资源的拥有者

   客户端(Consumer要访问服务提供方资源的第三方应用,通常是网站,如提供照片打印服务的网站也可以是桌面或移动应用程序。在认证过程之前,客户端要向服务提供者申请客户端标识。

OAuth相关的三个URL

    RequestToken URL:获取未授权的RequestToken服务地址;

    UserAuthorization URL:获取用户授权的RequestToken服务地址;

    AccessToken URL:用授权的RequestToken换取AccessToken的服务地址。

OAuth相关的参数定义:

    oauth_consumer_key:使用者的IDOAUTH服务的直接使用者是开发者开发出来的应用。所以该参数值的获取一般是要去OAUTH服务提供商处注册一个应用,再获取该应用的oauth_consumer_key

    oauth_consumer_secretoauth_consumer_key对应的密钥

    oauth_signature_method:请求串的签名方法,应用每次向OAUTH三个服务地址发送请求时,必须对请求进行签名。签名的方法有:HMAC-SHA1RSA-SHA1PLAINTEXT等三种

    oauth_signature:用上面的签名方法对请求的签名

    oauth_timestamp:发起请求的时间戳,其值是距197000:00:00 GMT的秒数,必须是大于0的整数。本次请求的时间戳必须大于或者等于上次的时间戳。

    oauth_nonce:随机生成的字符串,用于防止请求的重放,防止外界的非法攻击。

    oauth_version:OAUTH的版本号,可选,其值必须为1.0

OAuth HTTP响应代码:

    HTTP400 Bad Request请求错误

        Unsupportedparameter参数错误

        Unsupportedsignature method签名方法错误

        Missingrequired parameter参数丢失

        DuplicatedOAuth Protocol Parameter参数重复

    HTTP401 Unauthorized未授权

        InvalidConsumer Key非法key

        Invalid/expired Token失效或者非法的token

        Invalidsignature签名非法

        Invalid /used nonce非法的nonce

OAuth认证和授权过程

OAUTH认证授权就三个步骤,三句话可以概括:

    1. 获取未授权的RequestToken

    2. 获取用户授权的RequestToken

    3. 用授权的RequestToken换取AccessToken

下图显示了认证和授权具体步骤及参数

OAuth

具体每步执行信息如下:

    A. 客户端(第三方软件)向OAUTH服务提供商请求未授权的RequestToken。即向RequestToken URL发起请求;

    B. OAUTH服务提供商同意使用者的请求,并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret,并返回给使用者;

    C. 使用者向OAUTH服务提供商请求用户授权的RequestToken。即向UserAuthorization URL发起请求并在请求中携带上一步服务提供商颁发的未授权的token与其密钥;

    D. OAUTH服务提供商通过网页要求用户登录并引导用户完成授权;

    E. RequestToken授权后,使用者将向AccessToken URL发起请求,将上步授权的RequestToken换取成AccessToken。请求的参数见上图,这个比第一步多了一个参数就是RequestToken

    F. OAUTH服务提供商同意使用者的请求,并向其颁发AccessToken与对应的密钥,并返回给使用者;

    G. 使用者以后就可以使用上步返回的AccessToken访问用户授权的资源。

lingedeng
关注
专栏目录
SpringBoot集成OAuth2身份验证机制
AI天才研究院
08-01 2846
随着互联网技术的飞速发展、应用场景的多样化以及对安全性的需求越来越高,越来越多的人开始关注并实践“OAuth2”(开放授权)协议。在本文中,我将会通过对 Spring Boot 的集成 OAuth2 身份验证机制,来实现身份认证功能的支持。OAuth2 是一种授权框架协议,它为用户资源提供一个安全的访问通道,让用户可以分享他/她的账号信息给第三方应用或者网站,而不用暴露自己的密码等敏感信息。
Oauth2.0登录鉴权验证
02-24
Oauth2.0,第三方登录鉴权验证教程。
记一次OAuth2.0用户鉴权
Karka_的博客
12-25 1131
我们平时登录不同的平台,总会有使用到Token的场景,比如用github账户登录掘金,这个时候我们肯定不会把自己的github账号密码给掘金, OAuth 就是这样一套机制,用于各种免密授权登录场景,在便利的同时保证安全性,其实就是向平台申请token授权。笔者最近在用spotify API二次开发自己的应用,所以也碰到用户鉴权登录的场景,踩坑蛮多,也学到很多,所以整理下来,希望能帮助到大家🤗。
小白也能看懂的OAuth2讲解
最新发布
wendao76的专栏
09-30 2707
OAuth 2是一个重要的授权框架,它通过颁发令牌的方式实现了第三方应用对用户资源的访问控制,提高了系统的安全性和用户隐私保护。然而,使用OAuth 2也需要注意其对接流程的复杂性、安全漏洞的风险以及兼容性问题。在实际应用中,应根据具体场景选择合适的授权模式,并加强令牌管理和授权控制,以确保系统的安全性和稳定性。在OAuth2中,访问令牌(access token)具有时效性,即它们会在一段时间后过期。
鉴权 OAuth 2.0的实现(Spring_Security_Oauth2)
qq_25156781的博客
01-28 3146
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
OAuth鉴权——douban示例
lingedeng的专栏
09-16 3056
<!-- p {margin-bottom:0.21cm} --> 本文以访问的douban网oauth鉴权为例,说明与上篇“OAuth鉴权——原理”步骤相对应的具体内容。 操作前准备 在douban网进行注册,申请访问doubanAPI权限并获得该客户
oauth2.0鉴权
02-18
oauth2.0认证!支付宝、微信相关sdk是采用它进行鉴权
oauth2认证、鉴权框架知识点汇总
03-15
2. **角色**:OAuth2涉及四个主要角色——资源所有者(Resource Owner)、客户端(Client)、资源服务器(Resource Server)和授权服务器(Authorization Server)。资源所有者是拥有受保护资源的实体,客户端是请求...
Spring Security OAuth2 完全解析 (流程/原理/实战定制) —— Client / ResourceServer 篇
虚幻私塾
01-12 4441
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 一、前言 本文假设读者对 Spring Security 本身原理有一定程度的了解,假设对 OAuth2 规范流程、Jwt 有基础了解,以此来对 SpringSecurity 整合 OAuth2 有个快速全面的认识。 (关于总体流程,若对SS实在不熟悉可以简单理解为:Filte
oauth2.0例子
06-12
在这个"oauth2.0例子"中,我们有两个项目——tonr 和 sparklr,它们展示了OAuth 2.0在实际中的应用,特别是用于实现鉴权和单点登录(Single Sign-On, SSO)功能。 首先,让我们深入了解OAuth 2.0的基本概念。OAuth ...
SaaS开放平台安全鉴权方式: Oauth鉴权机制及接入说明
行者无疆
10-09 2845
SaaS开放平台鉴权,通常使用Oauth鉴权方式,微信开放平台、淘宝开放平台等都采用了这种鉴权方式。下面介绍一下Oauth鉴权原理以及如何接入。 1. Oauth是什么 Oauth(开放授权,Open Authorization)是一个开放标准。 允许第三方应用在用户授权的前提下访问户在服务商(平台)那里存储的各种信息。 而这种授权无需将用户提供用户名和密码提供给该第三方网站。 OAu...
OAUTH认证授权原理
实践出真知
07-07 1186
1、OAUTH简介         OAuth(Open Authorization,开放授权)是为用户资源的授权定义了一个安全、开放及简单的标准,第三方无需知道用户的账号及密码,就可获取到用户的授权信息,并且这是安全的。 2、OAUTH原理                 分了四个步骤,下面是四步的讲解:   第一步:用户访问第三方网站,比如:就是你需要使用QQ进行登录的网站;
《开放平台鉴权方式详解:OAuth 2.0、API Key、HTTP Basic Authentication》
weixin_42233867的博客
04-22 4868
当今开放平台已经成为了很多应用程序的核心,如何在保证用户数据安全的前提下,为第三方应用程序提供必要的数据访问权限,是开放平台鉴权方式设计的关键问题之一。本文将从OAuth 2.0API Key和三个方面来介绍开放平台主要鉴权方式。
SpringSecurityOauth实现鉴权-动态权限
weixin_62421895的博客
08-11 495
在BaseController,每个Controller都会继承这个的,在里面写给getUser()的方法,只要用户带了token来访问,我们可以直接获取当前登录用户的信息了。为什么需要这个呢,如果不配置这个,对于前端,后端来说都很难去理解鉴权失败返回的内容,还不能统一解读,废话不多说,先看看不配置和配置了的返回情况。(2)我们规定一下,鉴权失败的接口返回接口之后,变成下面这种了,是不是更利于我们处理和提示用户。(1)未自定义前,没有携带token去访问受保护的API接口时,返回的结果是这样的。...
Spring Security请求oauth/token接口报401 Unauthorized
qiujing0907的博客
01-04 9072
我出现报错的原因就是这个passwordEncoder的实例类发生了变动,因为pom中依赖版本升级,导致这个密码编码器在高版本中发生了改变,由原来的明文编码器变为了hash编码器。返回的,请求并没有到达路径对应接口就返回了,我并没有了解过spring security中过滤器具体有哪些,所以不太好打断点,这导致我浪费很多的时间。不废话,原因是走了下边过滤器的这段代码(注意,这是我的项目,走的该Filter,自己的项目还需要结合实际情况来)。密码编码器比对参数中的凭证,与抽象类中获取的凭证信息是否一样。
Spring Gateway + Oauth2 + Jwt网关统一鉴权
oPeiJie1的博客
04-19 2758
*** @Description 自定义鉴权过滤器工厂:设置访问白名单;重新封装鉴权认证通过的请求头;*///1. 编写实现类继承AbstractGatewayFilterFactory抽象类@Component。
spring security+Oauth2密码模式认证时,报401,Unauthorized的问题排查
热门推荐
jll126的博客
10-22 1万+
第一种情况: 进行 /auth/token的post请求时,没有进行httpbasic认证。 什么是http Basic认证? http协议的一种认证方式,将客户端id和客户端密码按照“客户端ID:客户端密码”的格式拼接,并用base64编码,放在 header中请求服务端。例子如下: Authorization:Basic ASDLKFALDSFAJSLDFKLASD= ASDLKFALDSFAJSLDFKLASD= 就是 客户端ID:客户端密码 的64编码 springsecurity中的...
OAuth2.0 实现单点登录(四种授权方式)
qq_52066082的博客
03-30 3490
OAuth2.0 实现单点登录(四种授权方式)
钉钉OAuth2.0鉴权
08-29
钉钉OAuth2.0是一种基于HTTP的身份验证协议,用于第三方应用获取用户的授权以便访问钉钉企业内部资源。通过OAuth2.0,用户可以在不暴露其密码的情况下,允许应用获得特定的API权限,比如读取联系人、发送消息等。 以下是钉钉OAuth2.0的基本步骤: 1. **应用注册**:首先,你需要在钉钉开放平台注册并创建一个应用,获取到应用的AppKey和AppSecret。 2. **用户授权**:当用户点击你的应用需要访问钉钉数据时,会跳转到钉钉的授权页面,输入用户名和密码,然后授权给你的应用特定的权限。 3. **获取授权码**:用户授权后,会在回调URL中返回一个授权码,你可以用这个授权码向钉钉服务器发起请求。 4. **换取Access Token**:使用`Authorization Code Grant`,将授权码、AppKey、AppSecret以及redirect_uri提交到指定的API端点,换取access_token和refresh_token。 5. **刷新Token**:如果access_token即将过期,可以使用refresh_token换取新的access_token。 6. **使用Token**:有了access_token,你的应用就可以调用钉钉的API接口了,但通常都有有效时间限制,需妥善管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值