OAuth2-单点-多点-三方登录

最新推荐文章于 2022-10-20 10:40:36 发布
最新推荐文章于 2022-10-20 10:40:36 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: 啊吧啊吧 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47520320/article/details/126852926
版权

什么是OAuth2

OAuth2 是一个工业级别的开发授权协议,可以使互联网用户授权第三方网站或应用访问他们在特定网站上的信息(如个人资料、照片等),而不必向第三方网站或应用提供密码。在此之前我们使用用户名和密码的方式登录到应用,在OAuth授权协议提出了一个 “授权服务器”,经过用户授权后授权服务器向第三方应用发放一个访问令牌,这样就可以在不向第三方应用提供账号和密码的情况下,通过令牌在特定时间内访问用户存放在特定资源服务器上的资源。

OAuth2解决了什么问题

任何身份认证,本质上都是基于对请求方的不信任所产生的,我可能不信任某个站点,但是我信任微信,微博...,实质上身份认证解决了身份可信任问题.

拿QQ登录B站来讲:
	在OAuth2协议中简单说可以有三方,1:我自己(用户),2:QQ(服务提供方),3:B站(客户端)
	在没有登录微信的情况下,我给B站授权,因为QQ微信服务方不信任我,所以我需要先登录QQ,这样才能给我提供一些可信凭据,而QQ也不能信任每一个站点,所以对于B站而言,需要在微信上申请一个自己的第三方应用,也就是我们的id和scrit

OAuth 有四种角色

资源所有者(resource owner) 我们(普通用户)

资源服务器(resource server) QQ的后台服务器(获取账号,昵称,头像等)。

客户端(client) B站

授权服务器(Authorization Server) 认证QQ & 授权用的。

协议角色和流程

在这里插入图片描述

A: Client(client_id)向Resource Owne发送一个授权请求
B: Resource Owne同意授权之后就会获得一个Resource Owne的一个资源授权许可(code)
C: Client拿到授权许可(code)之后,会向Authorization Server发送一个验证,
D: 如果验证有效会给它颁发一个Token给Client
E: Client拿到这个Token之后,去Resource Server后的获取账号信息
F: Resource Server就会返回受保护的资源

拿id换code,再拿code换token

注意:非常重要的B这一步,在C中拿什么东西让Authorization Server去验证呢? 不知道,只有当确定了B这一步之后,才能确定C是拿密码,code还是Token去验证

OAuth四种授权方式

1, 授权码模式(Authorization Code Grant)

​ 这种模式是四种模式中最安全的一种模式。一般用于Web服务器端应用或第三方的原生App调用资源服务的时候。

在这里插入图片描述

授权流程:
(1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会附加客户端的身份信息

(2)浏览器出现向授权服务器授权页面,之后将用户同意授权。

(3)授权服务器将授权码(AuthorizationCode)转经浏览器发送给client(通过redirect_uri)。

(4)客户端拿着授权码向授权服务器索要访问access_token

(5)授权服务器返回令牌(access_token)
参数列表如下:
参数解释说明
client_id客户端接入标识。
response_type授权码模式固定为code。
scope客户端权限。
redirect_uri跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)。
refresh_token
  • 因为Token会过期所以又提出一个refresh_token

在这里插入图片描述

2, 简化模式(Implicit Grant)

​ 简化模式 implicit 不支持refresh token 这种没有获取code的步骤。请求就给token、 没get到这个的优势

在这里插入图片描述

在这里插入图片描述

简化授权流程

 (1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会附加客户端的身份信息。

 (2)浏览器出现向授权服务器授权页面,之后将用户同意授权。

(3)授权服务器将授权码将令牌(access_token)以Hash的形式存放在重定向uri的fargment中发送给浏览器。

fragment 主要是用来标识 URI 所标识资源里的某个资源,在 URI 的末尾通过 (#)作为 fragment 的开头, 其中 # 不属于 fragment 的值。

简化流程


(A) 客户端通过指示资源所有者的授权端点的用户代理。 客户端包括其客户端标识符、请求的作用域、本地状态和授权服务器将向其发送一旦授予(或拒绝)访问权限,用户代理就会返回。

(B) 授权服务器对资源所有者进行身份验证(通过用户代理),并确定资源所有者是否授予或拒绝客户端的访问请求。

(C) 假设资源所有者授予访问权限,则授权服务器使用前面提供的重定向 URI。 重定向 URI 包括URI 片段中的访问令牌。

(D)用户代理遵循重定向指令,通过使对 Web 托管的客户机资源的请求(不包括每个 [RFC2616] 的片段)。 用户代理保留本地碎片信息。

(F) 用户代理执行 Web 托管提供的脚本本地客户机资源,用于提取访问令牌。

(G) 用户代理将访问令牌传递给客户端。
简化模式参数
参数解释说明
client_id客户端接入标识。
response_type简化模式固定为token。
scope客户端权限。
redirect_uri跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)。
3, 密码模式(Resource Owner Password Credentials)

​ 因此密码模式一般用于我们自己开发的,第一方原生App或第一方单页面应用。

在这里插入图片描述

授权流程
(A)资源拥有者将用户名、密码发送给客户端

(B)客户端拿着资源拥有者的用户名、密码向授权服务器请求令牌(access_token)

 (C) 授权服务器将令牌(access_token)

注意:**

发送给client 这种模式十分简单,但是却意味着直接将用户敏感信息泄漏给了client,因此这就说明这种模式只能用于client是 我们自己开发的情况下。
4, 客户端模式(Client Credentials)

​ 客户端模式 client credentials 不支持refresh token 这种是被信任的内部client使用。一般内部平台间使用

在这里插入图片描述

授权流程
(A)客户端向授权服务器发送自己的身份信息,并请求令牌(access_token)

(B) 确认客户端身份无误后,将令牌(access_token)发送给client
参数列表如下**:
参数说明
client_id客户端准入标识。
client_secret客户端秘钥。
grant_type授权类型,填写client_credentials表示客户端模式
可参考文档地址

单点登录

简介:

​ 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO 并不能算是一种架构,只能说是一个解决方案。SSO核心意义就一句话:==一处登录,处处登录;一处注销,处处注销。==就是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,即用户只需要记住一组用户名和密码就可以登录所有有权限的系统。

简图:

在这里插入图片描述

应用场景:

​ 单点登录在大型网站使用非常频繁,例如阿里巴巴网站,在网站的背后是成白上千的子系统,用户的一次操作可能涉及到几十个子系统的协作,如果每个子系统都需要用
户验证,不仅用户会疯掉,各系统也会为这种重复授权搞疯。

需要解决的两点:

​ 解决如何产生和存储信任,系统如何验证这个信任的有效性(1.存储信任 2.验证信任)

  1. 通过页面重定向的方式
通过父应用和子应用来回重定向进行通信实现信息安全传递。父应用提供一个GET方式登录接口,用户通过子应用重定向连接方式访问这个接口。如果用户还没有登录则返回登录页面,
如果用户登录了则生成加密的Token并且重定向到子应用提供验证Token的接口,通过解密校验后,登录当前用户
优点:较Cookie方式安全些
缺点:不方便

在这里插入图片描述

  1. 使用独立登录系统

    把授权的逻辑与用户信息的相关逻辑独立成一个应用(用户中心),用户中心不处理业务逻辑,只是处理用户信息的管理以及授权给第三方应用。第三方应用需要登录的时候把请求转发给用户中心
进行处理,处理完毕后返回凭证,第三方验证凭证,通过后就登录用户

    在这里插入图片描述

多点登录

简介:

​ 传统的多点登录系统中,每个站点都实现了本站专用的帐号数据库和登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。

多点登录限制(禁止用户多点在线):

​ 一个端同一个账号只能登录一个实例,例如一个账号在网站端登录后,后一个人使用这个账号在网站端登录,前一个人会被挤下去并会收到通知“你已在别处登录…”

简图:

在这里插入图片描述

三方登录(qq登录有道云)

  • 有道云url
https://note.youdao.com/
signIn/index.html?&callback=https://note.youdao.com/web&from=web
  • 重定向到qq
https://graph.qq.com/oauth2.0/show?which=Login&display=pc&client_id=100255473&response_type=code&redirect_uri=https%3A%2F%2Fnote.youdao.com%2Flogin%2Facc%2Fcallback&state=QSOLTL6LTS0quhLgu0Lwz0ZZZZZZQMqy0

解析:

client_id=100255473   
			------->利用client_id去获取临时凭证code
response_type=code    
			------->response_type:授权类型-->code去获取token,
redirect_uri=https%3A%2F%2Fnote.youdao.com%2Flogin%2Facc%2Fcallback
			------>使得一个路由地址A与另一个路由地址B联系起来,执行A的时候会跳转执行B。
state=QSOLTL6LTS0quhLgu0Lwz0ZZZZZZQMqy
		--->state生成随机算一个字符串,然后保存在当前用户的session,回调时检查state参数		 		 ----->和当前用户session里面的值是否一致.攻击者无法猜对方的state值是多少.就无法拼出用于攻		   ----->击的url
		------>忽略 state 参数,会导致出现 CSRF 漏洞。
  • 流程

在这里插入图片描述

小菜鸡℡
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2.0 多点登录单点登录【SpringCloud系列12】
BASK2311的博客
03-27 1435
管理后台业务登录多次调用 oauth/token 登录接口,会发现每次反回的token都是一样的,即时在不同的电脑上,使用相同的账号进行登录,反回的token还是一至的。token 的缓存策略是使用的 Redis ,而我的需求是每次登录都要生成不一样的token所以可以自定义生成 token的策略。我要实现的功能是 电脑A浏览器中用户登录管理后台后,可以正常访问资源接口,当在电脑B登录同一个账号后,电脑A中的token失效。也就是所谓的单点登录功能,同一个用户生成的token 互斥。
OAuth2.0实现单点登录
最新发布
GSON的博客
06-11 3156
在一开始的时候,应用服务器(客户端通过访问自己的应用服务器来进而访问其他服务)和验证服务器之间会共享一个 secret,这个东西没有其他人知道,而验证服务器在用户验证完成之后,会返回一个授权码,应用服务器最后将授权码和 secret 一起交给验证服务器进行验证,并且 Token 也是在服务端之间传递,不会直接给到客户端。首先用户访问页面时,会重定向到认证服务器,接着认证服务器给用户一个认证页面,等待用户授权,用户填写信息完成授权后,认证服务器返回 Token。
(十二)java b2b2c多用户商城系统-SSO单点登录OAuth2.0 登出流程
weixin_33946020的博客
02-15 117
上一篇我根据框架中OAuth2.0的使用总结,画了一个根据用户名+密码实现OAuth2.0的登录认证的流程图,今天我们看一下logout的流程: /** * 用户注销 * @param accessToken * @return */ @RequestMapping(value = "...
单点登录多点登录
热门推荐
u011010220的博客
11-02 1万+
SSO(单点登录)的概念:在一个多系统共存的环境下,用户在一处登录后,就不用再其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。 SSO(单点登录)的应用场景:单点登录在大型网站使用非常频繁,例如阿里巴巴网站,在网站的背后是成白上千的子系统,用户的一次操作可能涉及到几十个子系统的协作,如果每个子系统都需要用 户验证,不仅用户会疯掉,各系统也会为这种重复授权搞疯。 需要解决的两点:解决如何产生和存储信任,系统如何验证这个信任的有效性(1.存储信任 2.验证信任) 解决方案: 1.以Cooki
单点登录 VS 多点登录
weixin_30618985的博客
12-01 1632
2018-12-01 14:58:22 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 概述:    很早期的公司,一家公司可能只有一个Server,慢慢的Server开始变多了。每个Server都要进行注册登录,退出的时候又要一个个退出。用户体验...
spring oauth2.0 多种用户登录
死歌末日的博客
05-07 1687
近期遇到一个问题,在spring oauth2.0默认的密码登录校验中,只能访问单个数据库表,但针对不同的表用户,需要访问不同的表,所以需要传一个新参去判断用户访问不同的表来校验账号密码 本文主要是是讨论oauth2.0支持多表用户登录 我使用的Spring Boot为2.2.5.RELEAS,SpringCloud为Hoxton.SR2 对于多个表用户,需要传递不同的参数来区分是访问哪个表,所以在请求参数中增加了loginType来区分不同的用户 在ResourceServerConfig中配置中
bitnami-docker-oauth2-proxy:用于OAuth2代理的Bitnami Docker映像
04-04
什么是OAuth2代理? 反向代理和静态文件服务器,使用提供程序(Google,GitHub和其他提供商)提供身份验证,以通过电子邮件,域或组验证帐户。 TL; DR $ docker run --name oauth2-proxy bitnami/oauth2-proxy:...
node-oauth2-server:完整,合规且经过良好测试的模块,用于在node.js中使用express实现OAuth2 ServerProvider
04-21
oauth2-服务器 完整,合规且经过良好测试的模块,用于在实现OAuth2服务器。 注意:经过一段时间的中断后,该项目现在可以正常维护。 依赖关系已更新,错误修复将在v3(当前版本)中发布。 对于使用受支持的节点...
oauth2-server-redis:OAuth2-Server的Redis存储后端
04-24
oauth2-server-redis Redis存储后端 特征 在Redis中存储以下内容: 访问令牌 刷新令牌 授权码 使用HMSET将所有数据存储为键(令牌或代码为哈希) 遵守TTL设置,以便条目在正确的时间过期 要求 Node.js 10以上 ...
yii2-league-oauth2-server:Yii 2.0 实现 PHP 联盟 OAuth2 服务器接口
05-30
OAuth2是一种授权协议,它允许第三方应用在用户授权的情况下访问受保护的资源。在Yii 2.0中实现OAuth2服务器接口,可以帮助开发者为他们的API提供安全的认证和授权机制。 首先,我们需要安装`league/oauth2-server`...
oauth2-server:符合规范,默认情况下安全PHP OAuth 2.0 Server
02-05
league/oauth2-server是用PHP编写的授权服务器的符合标准的实现,这使得与OAuth 2.0的配合变得很简单。 您可以轻松地配置OAuth 2.0服务器以使用访问令牌保护您的API,或者允许客户端请求新的访问令牌并刷新它们。 ...
spring security 4 多点登录
01-23
最近看了spring security 4的开发文档,登录权限拦截封装的相当好!!! 附件为简单的多点登录demo,给开发前后台的朋友们做参考,其中authentication-provider为框架自带的user-service,后续会在整个自定义user-service和AccessDecisionManager、SecurityMetadataSource的demo。 demo放在web服务器根目录(不带项目名)。 后台登录路径为http://localhost:8080/loginAdmin.html 后台登录后首页为http://localhost:8080/admin/home.html 账号密码为 admin:123456 前台登录路劲为http://localhost:8080/loginUser.html 后台登录后首页为http://localhost:8080/user/home.html 账号密码为 user:123456 希望对大家有帮助。
多点登录和消息漫游设计实现
02-27
多点登录”是指多个端同时登录一个帐号,同时收发消息,关键点是: (1) 需要在服务端存储同一个用户多个端的状态与登陆点; (2) 发出消息时,要对发送方的多端与接收端的多端,都进行消息投递; “消息漫游”是指一个用户在任何端,都可以拉取到历史消息,关键点是: (1) 所有消息存储在云端; (2) 每个端本地存储last_msg_id,在登录时可以到云端同步历史消息; (3) 云端存储所有消息成本较高,一般会对历史消息时间(或者条数)进行限制;
Oauth2-SSO:使用Oauth2实现的SSO单点登录登出,模拟微信QQ授权码模式授权资源访问
03-23
cjs-oauth2-sso-demo OAuth2 SSO 译文: 原作者没有实现单点退出功能,再次基础上实现了单点退出: 原理就是每一个sso客户端退出时候,添加Redis保存当前退出的用户名。每个系统实现切面aspect注解添加到控制器上面,每个请求根据当前系统的用户名去纠正Redis里面有没有存入相同的用户名,存入的话说明当前用户在别的系统退出了,那么清除当前访问项目的局部会话cookie。 将JWT方式的令牌改成Oauth2系统自己实现的令牌方式,同时将令牌存入Redis,同时将oauth_client_details数据库存储加入Redis缓存。 demo使用时,添加DNS域名解析(Windows):C:\ Windows \ System32 \ drivers \ etc \ hosts 127.0.0.1 myorder.com 127.0.0.1 mymember.c
理解单点登录多点登录原理以及重点
weixin_43921491的博客
09-16 6241
多点登录的概念:同一账号可以在不同终端同时登录,同时收发信息。多点登录限制(禁止用户多点在线):一个端同一个账号只能登录一个实例,例如一个账号在网站端登录后,后一个人使用这个账号在网站端登录,前一个人会被挤下去并会收到通知“你已在别处登录....”待补充...
使用springSecurity及OAuth2实现多模式登录
weixin_39538035的博客
10-20 3000
springSecurity和springOAuth2实现账号密码、及短信验证码登录验证
多点自动登录
Didyouforget的博客
06-08 369
想要实现在一个平台登录成功后,打开另一个平台网站时呈现自动登录状态。例如:在淘宝登录后,打开阿里巴巴,支付宝等会自动登录。最好建立一个独立的数据表存储多平台的登录账户信息。登录端访问独立数据表账户登录成功后, PHP 页面:                if($login == true) { $token = '62aa4dcfa7100ef909185289f6600308'; ...
微信多点登录,消息漫游,假如让你来实现?
shenjian58的博客
12-17 649
有朋友问:微信如何实现手机端、PC端同时登录,同时收消息?微信能不能实现,换一个手机,仍能拉取到历史消息?这是多点登录和消息漫游的问题。什么是多点登录?以微信为例,可以P...
spring security oauth2 sso logout 单点登录退出
liu_xue_xue的专栏
10-28 7236
需要客户端先退出,然后再退出认证服务中心
OAuth2单点登录与SpringSecurity实现解析
"该资源是关于SpringSecurity结合OAuth2实现单点登录(SSO)的讲解。主要内容涵盖了OAuth2.0的发展历史、角色定义、协议流程、授权模式以及在实际系统中的设计,同时提及了SSO的实现分析。" 在讲解OAuth2.0时,我们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值