oauth2开放认证协议原理及案例分析

最新推荐文章于 2023-02-15 14:15:25 发布
最新推荐文章于 2023-02-15 14:15:25 发布
阅读量1.3k 收藏
点赞数
分类专栏: oauth 文章标签: authorization token access credentials redirect basic

之前翻译过一篇
OAuth认证协议原理分析及使用方法
,虽然 OAuth2还没有正式发布,但是国内外的OAuth2的采用情况几乎要完全替代掉OAuth1.1了。像淘宝、腾讯、人人网、百度开放平台就已经采用Oauth2,新浪微博也发来邮件说是要很快上马OAuth2,彻底替换掉OAuth1.1。目前OAuth2到了
v20草稿阶段
,最新的版本是 2011年7月25号发布的,协议变化还是很快的,所以看到国内的一些已经实现的实例,再比照官方的 oauth2,会有些出入的。

为何要 OAuth2来替换OAuth1.1?

  • 一、OAuth2大大简化了认证流程,OAuth1版本,我都感觉有些流程设计不是为安全性而存在,有些东西很难想一个理由,他们为何要弄得如此复杂。复杂可能是增加安全性的一个要素,但是也极大增加了开发者的开发难度。
  • 二、增加了对多种不同方式的认证,原来的认证只能直接或间接通过浏览器,现在有专门的标准来给客户端程序、移动应用、浏览器应用提供认证的方法。

OAuth2的四种角色

  • resource owner资源所有者:比如twitter用户,他在twitter的数据就是资源,他自己就是这些资源的所有者。
  • resource server资源服务器:保存资源的服务器,别人要访问受限制的资源就要出示 Access Token(访问另牌)。
  • client客户端:一个经过授权后,可以代表资源所有者访问资源服务器上受限制资源的一方。比如 开发者开发的应用。
  • authorization server授权服务器:对 资源所有者进行认证,认证通过后,向 客户端发放 Access Token(访问另牌)。

OAuth2取得Access Token的四种方式

  • 一、Authorization Code授权码方式:这种是推荐使用的,也是最安全的,也是替换OAuth1.1的一种授权方式。
    流程:
    1、引导用户访问授权服务器,比如地址:
    ?
    1
    2
    3
    GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
         &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
    Host: server.example.com

    ,其中response_type 值固定为 code,client_id就是客户端申请开发者的时候取得的 appkey,state是一个可选参数,可以用于保存客户端在引导用户转向前的一些状态,当回到 redirect_uri的时候会原封不动的传回来,redirect_uri是当用户确认授权应用访问的时候跳转回来的地址。
    2,用户同意授权后跳转回来的的地址如:

    ?
    1
    2
    3
    HTTP/1.1 302 Found
    Location: https: //client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
               &state=xyz

    &state=xyz ,其中 code就是 Authorization Code,state就是上面所说的可选参数。
    3,使用取得的 Authorization Code去换取Access Token:

    ?
    1
    2
    3
    4
    5
    6
    7
    POST /token HTTP/1.1
    Host: server.example.com
    Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
    Content-Type: application/x-www-form-urlencoded;charset=UTF-8
     
    =authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
    &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

    其中 Authorization是由Client id(app key)及Client password(app secret)组合成的 http basic 验证字符串,grant_type必须为 authorization_code,code是上一步取得的 Authorization Code,redirect_uri是完成后跳转回来的网址。
    如果Client不能发送 Authorization信息,则可以使用下面的方式,/token这个地址必须是 https连接的,不然就有泄露 client secret的可能性:

    ?
    1
    2
    3
    4
    5
    6
    POST /token HTTP/1.1
    Host: server.example.com
    Content-Type: application/x-www-form-urlencoded;charset=UTF-8
     
    grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
    &client_id=s6BhdRkqt3&client_secret=7Fjfp0ZBr1KtDRbnfVdmIw

    成功的话返回的信息为:

    ?
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    HTTP/1.1 200 OK
    Content-Type: application/json;charset=UTF-8
    Cache-Control: no-store
    Pragma: no-cache
     
    {
       "access_token" : "2YotnFZFEjr1zCsicMWpAA" ,
       "token_type" : "example" ,
       "expires_in" :3600,
       "refresh_token" : "tGzv3JOkF0XG5Qx2TlKWIA" ,
       "example_parameter" : "example_value"
    }
  • 二、Implicit Grant隐式授权:相比授权码授权,隐式授权少了第一步的取Authorization Code的过程,而且不会返回 refresh_token。主要用于无服务器端的应用,比如 浏览器插件。隐式授权不包含Client授权,它的授权依赖于 资源所有者及注册应用时候所填写的redirection URI(跳转地址)。因为Access token是附着在 redirect_uri 上面被返回的,所以这个 Access token就可能会暴露给 资源所有者或者设置内的其它方(对资源所有者来说,可以看到redirect_uri,对其它方来说,可以通过监测浏览器的地址变化来得到 Access token)。
    流程
    一、引导用户访问一个专门的授权页面,如
    ?
    1
    2
    3
    GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz
         &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
    Host: server.example.com

    这里的 response_type为 token,client_id为appkey。可以看到这里取Access token的过程中并没有像 第一种方式那样传入 client_secret。因为如果你传入 client_secret,其实就是相当于告诉用户,你应用的app secret了。
    二、在成功授权后,跳转回到 redirect_uri所定义的网址

    ?
    1
    2
    3
    HTTP/1.1 302 Found
    Location: http: //example.com/rd#access_token=2YotnFZFEjr1zCsicMWpAA
               &state=xyz&token_type=example&expires_in=3600

    ,这样应用就可以通过取地址中的 fragment部分来取得 access token。

  • 三、Resource Owner Password Credentials资源所有者密码证书授权:这种验证主要用于资源所有者对Client有极高的信任度的情况,比如操作系统或高权限程序。只有在不能使用其它授权方式的情况下才使用这种方式。
    流程:
    一、提交信息到取 token页面
    ?
    1
    2
    3
    4
    5
    6
    POST /token HTTP/1.1
    Host: server.example.com
    Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
    Content-Type: application/x-www-form-urlencoded;charset=UTF-8
     
    grant_type=password&username=johndoe&password=A3ddj3w

    这里的 Authorization是 client_id为username,client_secret为password的http basic验证码。grant_type必须为 password,username为用户名,password为用户密码。
    取得的结果如下:

    ?
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    HTTP/1.1 200 OK
    Content-Type: application/json;charset=UTF-8
    Cache-Control: no-store
    Pragma: no-cache
     
    {
       "access_token" : "2YotnFZFEjr1zCsicMWpAA" ,
       "token_type" : "example" ,
       "expires_in" :3600,
       "refresh_token" : "tGzv3JOkF0XG5Qx2TlKWIA" ,
       "example_parameter" : "example_value"
    }

    Q:为何要这种这么不安全的方式?
    A:取代原来原始的 username,password的授权方式,而且不需要 client保存用户的密码,client只要保存access token就可以。主要用于客户端程序。

  • 四、Client Credentials客户端证书授权:这种情况下 Client使用自己的 client证书(如 client_id及client_secret组成的 http basic验证码)来获取 access token,只能用于信任的client。
    流程:
    一、提交参数取 access token
    ?
    1
    2
    3
    4
    5
    6
    POST /token HTTP/1.1
    Host: server.example.com
    Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
    Content-Type: application/x-www-form-urlencoded;charset=UTF-8
     
    grant_type=client_credentials

    其中 Authorization是client_id及client_secret组成的 http basic验证串。grant_type必须为client_credentials,
    返回如下:

    ?
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    HTTP/1.1 200 OK
    Content-Type: application/json;charset=UTF-8
    Cache-Control: no-store
    Pragma: no-cache
     
    {
       "access_token" : "2YotnFZFEjr1zCsicMWpAA" ,
       "token_type" : "example" ,
       "expires_in" :3600,
       "example_parameter" : "example_value"
    }

国内一些oauth2案例分析

标准的 oauth2中,使用 access token来向资源服务器发出请求,取得资源。这里的资源服务器需要使用 https协议,否则access token极可能被其它方获取。比如

?
1
2
3
GET /resource/1 HTTP/1.1
Host: example.com
Authorization: Bearer 7Fjfp0ZBr1KtDRbnfVdmIw


bearer是指 token类型
,后面的字符串就是access token。还有一种
mac类型的 token(目前v20版本的草稿里还没有文档)
,如:

?
1
2
3
4
5
GET /resource/1 HTTP/1.1
Host: example.com
Authorization: MAC id= "h480djs93hd8" ,
                    nonce= "274312:dj83hs9s" ,
                    mac= "kDZvddkndxvhGRXZhvuDjEWhGeE="

,因为 https速度相较http慢,而且并非所有服务器或客户都支持https,所以国内一些网站采用一种http也可访问资源的方式。


淘宝开放平台的方式
:应用通过用户授权获取的AccessToken的值即等同于Sessionkey,应用凭借AccessToken调用taobao API即可。查看淘宝SDK,可以看到 其使用应用的app_secret作用密码钥来进行签名,参数里面包含了 这个Sessionkey,这样淘宝在收到这个请求的时候,根据 app_id来判断是哪个应用,根本sessionkey的值来判断是哪个用户,如果不传这个 sessionkey就用 app_id查得app_id所属的淘宝用户就行了。也就是说 sessionkey必须配合 这个 client自己的授权资料appkey appsrecet来访问资源。


百度开放平台方式

人人网方式
、还有腾讯也类似:在返回 access token的同时返回 sessionKey及sessionSecret。如:

?
1
2
3
4
5
6
7
8
{
     "access_token" : "1.a6b7dbd428f731035f771b8d15063f61.86400.1292922000-2346678-124328" ,
     "expires_in" : 86400,
     "refresh_token" : "2.385d55f8615fdfd9edb7c4b5ebdc3e39.604800.1293440400-2346678-124328" ,
     "scope" : "basic email" ,
     "session_key" : "9XNNXe66zOlSassjSKD5gry9BiN61IUEi8IpJmjBwvU07RXP0J3c4GnhZR3GKhMHa1A=" ,
     "session_secret" : "27e1be4fdcaa83d7f61c489994ff6ed6" ,
}

在调用资源API的时候,如下:

?
1
2
GET /rest/2.0/passport/users/getInfo?session_key=9XNNXe66zOlSassjSKD5gry9BiN61IUEi8IpJmjBwvU07RXP0J3c4GnhZR3GKhMHa1A%3D&timestamp=2011-06-21+17%3A18%3A09&format=json&uid=67411167&sign=d24dd357a95a2579c410b3a92495f009 HTTP/1.1
Host: api.example.com

这里参数里面的 session_key,传给服务器后,用户查询 session_secret,sign使用session_secret作为密钥来加密的。可以看到这里调用的时候没有使用 client_id或client_secret信息,所以对于任何获取

?
1
2
"session_key" : "9XNNXe66zOlSassjSKD5gry9BiN61IUEi8IpJmjBwvU07RXP0J3c4GnhZR3GKhMHa1A=" ,
"session_secret" : "27e1be4fdcaa83d7f61c489994ff6ed6" ,

的一方都可以调用到API。降低系统耦合度。


luckarecs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0认证原理
weixin_47073925的博客
06-01 7692
OAuth2.0认证原理 一.OAuth是什么? OAuth的英文全称是Open Authorization,它是一种开放授权协议OAuth目前共有2个版本,2007年12月的1.0版(之后有一个修正版1.0a)和2010年4月的2.0版,1.0版本存在严重安全漏洞,而2.0版解决了该问题,下面简单谈一下我对OAuth2.0的理解。 二.OAuth2.0有什么用? 引用一下OAuth2.0中文文档中的介绍: 1.需要第三方应用存储资源所有者的凭据,以供将来使用,通常是
OAuth 2.0 原理介绍
邢雪源的专栏
08-20 3630
最近在做对用户的认证及REST API的访问权限控制,需要用OAuth来实现第三方应用对我们API的访问控制。OAuth开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。OAuth在全世界得到广泛应用,目前版本是2.0版。本文对OAuth 2.0的应用场景、设计思路和运行流程做一个简明通俗的解释。
OAuth2.0协议原理与实现
03-08
OAuth2.0协议原理与实现
OAuth2.0 原理
热门推荐
weixin_44763552的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程六、OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
理解Oauth2的原理
m0_46190243的博客
07-13 334
一.OAuth是什么?     OAuth的英文全称是Open Authorization,一种开放授权协议 二.OAuth2.0有什么用?     第三方应用请求访问受保护资源时,资源服务器在获准资源用户授权后,会向第三方应用颁发一个访问令牌(AccessToken)。该访问令牌包含资源用户的授权访问范围、授权有效期等关键属性。第三方应用在后续资源访问过程中需要一直持有该令牌,直到用户主动结束该次授权或者令牌自动过期。 三.OAuth2.0有哪几种授权模式?    授权码模式(Authorization
OAuth 2.0协议原理
罗布泊coding
06-14 3683
一.基本原理 OAuthOAuth开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 OAuth 2.0 主要有4类角色: • resource owner:资源所有者,指终端的“用户”(即授权登录中资料信息的拥有者) • resource server:资源服务器,...
详解Springboot Oauth2 Server搭建Oauth2认证服务
08-25
主要介绍了Springboot Oauth2 Server 搭建Oauth2认证服务,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security OAuth2认证授权示例详解
08-25
主要介绍了Spring Security OAuth2认证授权示例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
oauth2.md 描述了oauth2基本原理
04-19
描述了oauth2的原理(不含代码,如需demo请联系[email protected]),简单介绍了oauth2四种验证方式
OAuth认证协议原理及使用方法
03-27
OAuth认证协议原理及使用方法 OAuth认证协议原理及使用方法
OAuth2.0认证流程原理
单炒饭
04-15 1万+
导读 大家也许都有过这样的体验,我们登录一些不是特别常用的软件或网站的时候可以使用QQ、微信或者微博等账号进行授权登陆。例如我们登陆豆瓣网的时候,如果不想单独注册豆瓣网账号的话,就可以选择用微博或者微信账号进行授权登录。这样的场景还有很多,例如登录微博、头条等网站,也都可以选择QQ或者微信登录的方式。 那么这样的第三方登陆方式到底是怎么实现的呢?难道是腾讯把我们QQ或者微信的账户信息卖给了...
OAuth 2.0的认证原理
keehom的博客
06-17 820
使用 OAuth 2.0 认证的的好处是显然易见的。你只需要用同一个账号密码,就能在各个网站进行访问,而免去了在每个网站都进行注册的繁琐过程。本文将介绍 OAuth 2.0 的原理,并基于 Spring Security 和 GitHub 账号,来演示 OAuth 2.0 的认证的过程。什么是 OAuth 2.0OAuth 2.0 的规范可以参考 :RFC 6749OAuth 是一个开放标准,...
SpringSecurity Oauth2.0原理篇(一)
qq_38226564的博客
02-15 1306
Spring Security、SpringBoot、 token认证
Oauth2.0认证原理
weixin_30580943的博客
01-25 400
Oauth2.0 认证协议 Oauth2.0 应用场景: 微信联合登录 授权管理 互联网开放平台互相调用保证安全 微信提供api 给toov5调用 然后就可以获取一些微信的信息 比如微信头像 开放平台有 支付宝 微信 百度等等 不同的开放平台 对接的oauth2.0协议流程都是相同,无非接口地址不同 Oauth2.0原理 (ap...
简单介绍 Oauth2.0 原理
weixin_41044151的博客
06-01 555
有两家互联网企业 A 和 B,其中 B 是一家提供相片云存储的公司。用户可以把相片上传到 B 网站上长期保存,然后可以在不同的设备上查看。某一天,A 和 B 谈成了一项合作:希望用户在使用 A 的客户端时,也可以观看他在 B 的相片。这个技术上要怎么实现呢? 选项一:由 B 提供一个接口: GET /photos?account= 参数: account : B 账号 返回: 指定账号下的所有相片 有了这个接口,A 的客户端只需在界面上显示一个输入框,让用户输入他的 B 账号,然后调用这个接口来获取相片就可
OAuth2社交登陆案例
weixin_40964170的博客
07-22 809
1、介绍 QQ、微博、github 等网站的用户量非常大,别的网站为了 简化自我网站的登陆与注册逻辑,引入社交登陆功能; 步骤: 1)、用户点击 QQ 按钮 2)、引导跳转到 QQ 授权页 3)、用户主动点击授权,跳回之前网页。 2、微博演示 1、进入微博开放平台 2、登陆微博,进入微连接,选择网站接入 3、选择立即接入 4、创建自己的应用 ...
理解OAuth 2.0
05-13 1856
理解OAuth 2.0 作者: 阮一峰 日期: 2014年5月12日 OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAu
基于OAuth的统一认证原理解析和实例分析
程序人生
02-06 5623
理解OAuth 2.0 在我们去了解OAuth原理分析其实例之前我们先来理解一下Oauth的概念和基本知识: OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAuth的适用场合,让我举
springboot swagger oauth2 token鉴权实现代码及原理
最新发布
06-13
下面是Spring Boot集成Swagger和OAuth2的代码实现和原理解释: 1. 添加Swagger依赖 在pom.xml中添加Swagger依赖: ```xml <groupId>io.springfox <artifactId>springfox-swagger2 <version>2.9.2 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值