目录
1.什么是oauth2.0
OAuth2.0是目前使用非常广泛的授权机制,用于授权第三方应用获取用户的数据
用户可以通过选择其他登录方式来使用csdn,这里就使用到了第三方认证
2. OAuth2中的角色
1. 资源所有者 能够授予对受保护资源的访问权限的实体,如果资源的所有者为个人,也被成为最终用户
2. 资源服务器 存储有受保护资源的服务器, 能够接受并验证访问令牌,并响应受保护资源的访问请求
3. 客户 需要被授权,然后再访问受保护资源的实体。客户这个术语,并不是特指应用程序,服务器,计算机 等。
4. 授权服务器 验证资源所有者并获取授权成功后,向客户发出访问令牌
客户 ---> csdn
资源所有者 ---> 自己
授权服务器 ---> 第三方应用,列如QQ weixin
资源服务器 ---> 第三方应用存储信息的服务器
3. OAuth2授权方式
由于互联网有多种场景,OAuth2定义了四种获取令牌的方式,可以选择合适与自己的方式
- 授权码(authorization-code)
- 隐藏式(implicit)
- 密码式(password):
- 客户端凭证(client credentials)
本文只讲述了 授权码方式
3.1 授权码
第三方应用先申请一个授权码,然后再用该码获取令牌。 最常见的用法,安全性高,适合web应用。 授权码通过前端传送,令牌则是储存在后端,而且所有与资 源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。
3.2 OAuth2流程演示示例
项目结构
- client 客户
- authorization-server 认证服务
- resource-owner 资源所有者
- resource-server 资源服务器
流程:
- 客户向资源所有者申请授权码
- 资源所有者下发授权码
- 客户拿到授权码后向认证服务器申请令牌
- 认证服务器接到申请下方令牌
- 客户获取令牌后向资源服务器请求数据
这里仅是个人理解,有误的地方还望大佬指点