The OAuth 2.0 Authorization Protocol (第二章)

最新推荐文章于 2024-08-09 11:03:09 发布
最新推荐文章于 2024-08-09 11:03:09 发布
阅读量572 收藏
点赞数
文章标签: authorization 服务器 web服务 浏览器 web html

2. ClientRegistration 客户注册


  发起协议之前,客户端注册授权服务器。在客户端注册透过何种途径与授

服务器超出此范围规范,但通常涉及与最终用户互动HTML登记表。

客户端注册不需要客户端和授权服务器之间的直接互动 。当支持授权服务器时,注册可以依靠其他手段 建立信任和获取所需的客户端属性(例如:重定向的URI,客户端类型)。例如,可以注册使用自发行或第三方发行的主张来实现,或 授权服务器执行客户端发现使用信任的渠道。

2.1   客户端类型

 

OAuth的定义了两种客户端类型,在授权服务器下根据自己的能力验证安全性(即保持他们的客户端凭据的保密的能力):

保密性:

客户能够保持其凭据机密性(如客户端一个安全的服务器与实施限制访问的客户端凭据),或使用其他手段保证客户端身份验证安全的能力。

公开性:

客户无法维持其保密凭据(如客户资源所有者的设备上执行如安装本地应用程序或基于Web浏览器应用程序),无法通过任何其他手段确保客户端身份验证安全。

 

客户类型的制定是基于授权服务器安全认证的定义和它可接受的风险级别的客户端凭据。

此规范已经围绕以下客户端设计

配置文件:

Web应用程序

Web应用程序是一个网络服务器上运行的机密的客户端。资源所有者通过一个HTML用户界面呈现在资源所有者的设备上的用户代理来访问客户端。客户端凭据,以及任何分发给客户端的访问令牌被存储在Web服务器上,并没有暴露或由资源的所有者访问。

用户代理为基础的应用

用户代理为基础的应用是一个公共的客户端,客户端代码是从Web服务器下载,并在资源所有者的设备(如Web浏览器)上的用户代理执行。“协议”的相关数据和凭证能方便(而且往往可见)资源的所有者访问。 由于这些应用程序驻留在用户代理上,他们可以在请求权限时无缝使用用户代理能力。

本机应用程序
       本机应用程序是在公共的客户端上安装和资源所有者的设备上执行的。 “协议”的相关数据和凭据可被资源的所有者访问。据推测,任何包含在应用程序内的客户端身份验证凭据可以被提取。另一方面,动态分发的凭据,例如访问令牌或刷新令牌可以得到一个可接受的水平保护。在最低限度,隔离这些凭据与该应用程序可能交互的敌对服务器之外。在某些平台,这些凭据可能被保护,使之与驻留在同一设备上的其它应用程序隔离。

2.2 客户端标识符

 授权服务器分发给登记客户端一个客户标识符 —— 一个唯一的字符串代表由客户提供的登记信息。客户端标识符是不是公开的秘密,它暴露给资源所有者,绝不能单独适用于客户端身份验证。

2.3 客户端身份验证
如果客户端类型是保密的,客户端和授权服务器建立适合授权服务器的安全

需求的一个客户端验证方法。授权服务器可以接受任何形式的客户端认证,

满足其安全要求。

保密客户通常使用授权服务器发出(或建立)一套用于授权的客户凭证(如

密码,公钥/私钥对)的客户端凭据。

授权服务器不应该对客户端的类型做假设,或者接受没有与客户或者开发者建立信任所提供的类型信息。授权服务器可能用公共客户建立一个客户授权方法。但是,授权服务器决不能为了认证客户的目的而依靠公共客户端认证。

客户端不得使用多个验证方法在每个请求。

2.3.1 客户端的密码
   私有一个客户端密码的客户端可以使用HTTP基本验证计划。客户端标识符用作用户名,客户端的密码是用来作为密码。

例如(额外的换行符仅用于显示目的)​​:

     授权:基本czZCaGRSa3F0MzpnWDFmQmF0M2JW

 另外,授权服务器可能允许客户端凭证包括在请求体使用如下的参数:
 Client_id

       REQUIRED.  在登记过程中客户端标示符分发给客户端

  Client-secret

       REQUIRED.  客户 secret。客户端可以省略参数如果客户secret是空字符串。

客户端凭证包括在请求正文中使用两个客参数不被推荐,并应限于客户端无法直接利用HTTP基本身份验证计划(或其他基于密码的HTTP认证方案)。


例如,请求刷新一个访问令牌(第6章)使用正文参数(额外的换行符仅用于显示目的):

   

     POST /token HTTP/1.1

     Host:server.example.com

     Content-Type:application/x-www-form-urlencoded;charset=UTF-8

 

    grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA

    &client_id=s6BhdRkqt3&client_secret=7Fjfp0ZBr1KtDRbnfVdmIw

 

当将请求发送到令牌端点时,授权服务器必须要求使用传输层安全机制,这样请求使用此认证方法的导致明文凭据的传输。

由于这个客户端的身份验证方法包括密码,授权服务器必须保护任何终端利用它对抗端点蛮力攻击。

2.3.2   其他身份验证方法
 授权服务器可能支持任何合适的HTTP认证计划匹配其安全性要求。当

用其他的身份验证方法,授权服务器必须在客户端标识符(登

记备案)和身份验证方案之间定义一个映射。

2.4  未注册的客户端
本规范不排除使用未经注册的客户。 但是,这样的客户使用超出此范围

规范,并且需要额外的安全分析和审查其互操作性的影响。

lovexiaoe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
The Oauth2.0 Authorization Framework翻译part2
我的家
06-21 182
第一部分 2.客户端注册Client Registration 在开始使用协议之前,客户端向认证服务器注册。客户端注册的方法超过了本规格的范围,不过通常是终端用户与html注册表交互 客户端注册不需要客户端与认证服务器之间的直接交互。 Client registration does not require a direct interaction between the ...
The OAuth 2.0 Authorization Protocol (第一章,基础概念)
lovexiaoe的专栏
12-28 1227
OAuth2.0授权协议草案-IETF-OAuth - V2 – 22摘要:OAuth2.0授权协议允许第三方应用程序获取机会有限的HTTP服务,无论是以资源所有者的名义通过协调的批准资源所有者和HTTP服务互动,或通过允许第三方应用程序,以自己的名义获得的访问。 1简介在传统的客户端 - 服务器的身份验证模型中,客户端使用资源所有者服务器上凭据(credentials) 进行身份验证来申请访
The OAuth 2.0 Authorization Protocol (第10,11章)
lovexiaoe的专栏
12-31 712
10    安全注意事项 作为一个灵活和可扩展的框架,OAuth的安全考虑取决于许多因素。 以下各节各章节提供安全准备实现,重点在三个客户端配置文件,如2.1节所述:web application,user-agent-basedapplication 和 native application。 10.1   客户端认证 授权服务器web应用程序客户端建立客户端凭证达到客户端认证的目的。授
【最佳实践】OAuth标准和基于OAuth2.0实现Github 授权单点登录的保姆级教程
追寻上飞的博客
04-20 1043
OAuth)是一种授权标准,允许第三方应用程序通过授权访问用户的受保护资源,而无需获取用户的用户名和密码。OAuth标准旨在解决用户在使用第三方应用程序时需要提供自己的用户名和密码的安全性和隐私问题。OAuth2.0是一种用于授权的开放标准,旨在为客户端应用程序提供访问受保护资源的安全机制。它是OAuth 1.0的升级版,OAuth2.0的起源可以追溯到2006年,当时Twitter发布了一个名为Twitter OAuth的开放API,该API使用OAuth1.0作为其授权机制。
Spring Security 简单理解OAuth2.0
Life And Code
07-31 1929
文章目录1. 基本概念1.1 什么是认证1.2 什么是会话1.3 什么是授权1.4 授权的数据模型1.5 RBAC1.5.1 基于角色的访问控制1.5.2 基于资源的访问控制2. 基于Session的认证方式2.1 认证流程2.2 创建工程2.3 实现认证功能2.3.1 认证页面2.3.2 认证接口2.4 实现会话功能2.5 实现授权功能3. Spring Security快速上手3.1 Spring Security介绍3.2 创建工程3.3 认证3.3.1 认证页面3.3.2 安全配置3.3.3 Spr
OAuth 2.0 Framework介绍(1)
山不转的博客
11-01 310
参考:https://tools.ietf.org/html/rfc6749 第一章 参考rfc6749,重点内容摘录,略过基本介绍,直接进入主题。 1.ROLES OAuth定义四种角色: resource owner:资源所有者,允许第三方访问受保护资源的实体,大多数时候是终端用户(个人),也可能是某个服务或者其它。 resource server:托管受保护资源的服务,负责响应对受...
学徒浅析Android——基于Microsoft的OAUTH2.0认证(三)
lz8362的专栏
10-12 1368
第三章 MSAL API和Microsoft API的使用 本章围绕Microsoft Authentication Library的使用讲述如何调用Microsoft API。目录小节如下: 1.1 MSAL库常用API的介绍 1.2 scope的配置 1.3 GRAPH库的使用 1.4 手动请求Microsoft API 其他相关文章: 基于Microsoft的OAUTH2.0认证(一):基本概念梳理 基于Microsoft的OAUTH2.0认证(二):MSAL库的引用和定制 基于Mi
Spring Security OAuth2.0认证授权
weixin_45976114的博客
05-10 609
Spring Security OAuth2.0认证授权1.基本概念1.1.什么是认证1.2 什么是会话1.3 什么是授权1.4 授权的数据模型1.5 RBAC1.5.1 基于角色的访问控制1.5.2 基于资源的访问控制2 基于Session的认证方式2.1 认证流程2.2.创建工程2.2.1 创建maven工程2.2.2 Spring 容器配置2.2.3 servletContext配置2.2.4 加载 Spring容器2.3.实现认证功能2.3.1 认证页面2.3.2 认证接口2.4.实现会话功能2.5
OAuth 2.0 开放授权的那些事儿
weixin_34293246的博客
03-11 202
OAuth 2.0 协议是一种三方授权协议,目前大部分的第三方登录与开放授权都是基于该协议的标准或改进实现。OAuth 1.0 版本于 2007 年发布,2.0 版本则在 2011 年发布,其中 2.0 版本取消了所有 token 的加密过程,并简化了授权流程,但因强制使用 HTTPS 协议,被认为安全性高于之前的版本。 项目地址:htt...
The OAuth 2.0 Authorization Framework(rfc6749).pdf
12-12
The OAuth 2.0 Authorization Framework The OAuth 2.0 Authorization Framework
OWIN OAuth 2.0 Authorization Server
03-22
OAuth 2.0是目前广泛使用的授权框架,允许第三方应用安全地访问用户的资源,而无需获取用户的登录凭证。在这个"OWIN OAuth 2.0 Authorization Server"项目中,我们探讨的是如何构建一个基于OWIN的OAuth 2.0授权...
OWIN OAuth 2.0 Authorization Server Demo
11-03
这个"OWIN OAuth 2.0 Authorization Server Demo"是一个示例项目,旨在展示如何在OWIN环境中构建一个OAuth 2.0授权服务器。 首先,我们需要理解OAuth 2.0的基本概念。OAuth 2.0主要涉及四个角色:资源所有者...
webapi基于Owin中间件的oauth2.0身份认证
10-07
**OAuth2.0简介** OAuth2.0是一种授权框架,广泛应用于Web API的身份验证和授权。它允许第三方应用在用户授权的情况下,访问该用户的特定资源,而无需获取用户的用户名和密码。OAuth2.0的核心是将认证和授权分离,...
在终端上通过SSH登录到指定IP地址的服务器
pdc31czy的博客
08-08 201
进入后输入密码(密码在输入的时候是不显示的,注意大小写),这样就可以登入服务器。比如如果需要登入学校的服务器,一般需要连接学校的内网VPN才能登入。ip地址:12.345.67.890。假如失败了,有可能是网络问题。
挖矿木马攻破了服务器
最新发布
中年程序员一枚的博客
08-09 937
systemctl status 6058 # 6058为病毒的PID。然后干掉,或者权限屏蔽等都可以,只要不执行,就没有危险!过一分钟后,服务又开始狂刷cpu。最近被国外的挖矿木马攻破了服务器。#top 看看什么占用cpu高。第四步根据pid查到服务地址。#last指令查看登录ip。第三步杀死狂刷CPU的服务。
【实际案例】服务器宕机情况分析及处理建议
银河麒麟操作系统的博客
08-07 1089
现象描述:生产环境arm V7.6物理机在2024年 4月7号08:49分钟左右宕机(自动重启恢复),生成vmcore文件。处理建议:针对该问题建议应用方排查下相应java进程是否存在对大量小文件的目录进行遍历操作,以及根据实际需求看是否考虑关闭kernel.softlockup_panic。
市场解读│AI服务器市场爆发 磁性元件的下一个风口已至?
bigbit_LiLi的博客
08-09 897
面对AI服务器这一新兴市场的蓬勃发展,磁性元件企业应当敏锐地把握这一历史机遇,积极调整产品策略,加大研发投入,以满足AI服务器对高频、耐高温、低功耗以及小型化等高性能磁性元件的迫切需求。而这一切的背后,都离不开强大的计算支持——AI服务器。Big-Bit产业研究室据此预测,随着AI服务器市场的持续扩张,磁性元件行业的市场增量将极为可观,为相关企业带来广阔的发展空间和丰厚的利润回报。随着AI技术的不断成熟和应用场景的日益丰富,AI服务器市场正步入其发展的黄金时期,带给磁性元件行业企业前所未有的机遇与挑战。
OAuth 2.0入门指南
OAuth 2.0 主要分为两种授权模式:授权码(Authorization Code)和隐式(Implicit)授权,分别适用于不同类型的客户端应用。授权码模式通常用于Web应用,而隐式授权则适用于桌面应用、移动应用和各种物联网设备。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值