OAuth 2.0授权框架中文版 [7] - 访问受保护资源

最新推荐文章于 2022-09-22 10:32:42 发布
最新推荐文章于 2022-09-22 10:32:42 发布
阅读量205 收藏
点赞数
分类专栏: oauth 文章标签: oauth2 openid 安全
原文链接:https://tools.ietf.org/html/rfc6749
版权

OAuth 2.0授权框架中文版 [7] - 访问受保护资源

7. 访问受保护资源 - Accessing Protected Resources

客户端通过向资源服务器出示访问令牌来访问受保护资源。资源服务器必须检验该访问令牌,确保其未过期,且授权的scope可以访问当前请求的资源。资源服务器如何校验访问令牌超出了本规范要讨论的范围,但一般是通过与授权服务器之间进行交互协作来实现。

The client accesses protected resources by presenting the access
token to the resource server. The resource server MUST validate the
access token and ensure that it has not expired and that its scope
covers the requested resource. The methods used by the resource
server to validate the access token (as well as any error responses)
are beyond the scope of this specification but generally involve an
interaction or coordination between the resource server and the
authorization server.

客户端如何使用访问令牌与资源服务器进行认证,取决于授权服务器签发的访问令牌的类型。一般来说,会使用[RFC2617]中提及的HTTP的"Authorization"请求头,配合所使用的访问令牌类型的相关规范文档中定义的认证方案来协调实现,如[RFC6750]。

The method in which the client utilizes the access token to
authenticate with the resource server depends on the type of access
token issued by the authorization server. Typically, it involves
using the HTTP “Authorization” request header field [RFC2617] with an
authentication scheme defined by the specification of the access
token type used, such as [RFC6750].

7.1 访问令牌类型 - Access Token Types

访问令牌的类型能告知客户端如何成功使用访问令牌访问受保护资源,如果客户端不清楚访问令牌的类型,则不得使用该访问令牌。

The access token type provides the client with the information
required to successfully utilize the access token to make a protected
resource request (along with type-specific attributes). The client
MUST NOT use an access token if it does not understand the token
type.

比如,[RFC6750]中定义的bearer令牌类型,通过简单的将访问令牌包含到如下请求中进行使用:

GET /resource/1 HTTP/1.1
Host: example.com
Authorization: Bearer mF_9.B5f-4.1JqM

For example, the “bearer” token type defined in [RFC6750] is utilized
by simply including the access token string in the request:

 GET /resource/1 HTTP/1.1
 Host: example.com
 Authorization: Bearer mF_9.B5f-4.1JqM

当使用[OAuth-HTTP-MAC]中定义的mac令牌类型时,通过对HTTP请求中的主要组件进行签名(消息认证码),来与访问令牌配合使用:

GET /resource/1 HTTP/1.1
Host: example.com
Authorization: MAC id="h480djs93hd8",
                    nonce="274312:dj83hs9s",
                    mac="kDZvddkndxvhGRXZhvuDjEWhGeE="

while the “mac” token type defined in [OAuth-HTTP-MAC] is utilized by
issuing a Message Authentication Code (MAC) key together with the
access token that is used to sign certain components of the HTTP
requests:

 GET /resource/1 HTTP/1.1
 Host: example.com
 Authorization: MAC id="h480djs93hd8",
                    nonce="274312:dj83hs9s",
                    mac="kDZvddkndxvhGRXZhvuDjEWhGeE="

如上的仅作为示例,开发者在实际使用前,请参考[RFC6750]and[OAuth-HTTP-MAC]规范。

The above examples are provided for illustration purposes only.
Developers are advised to consult the [RFC6750] and [OAuth-HTTP-MAC]
specifications before use.

所有访问令牌类型的声明,都必须说明与access_token配合使用的额外的参数(如果有)。它同时也定义当访问受保护资源时,应该采用何种HTTP认证方式来携带访问令牌。

Each access token type definition specifies the additional attributes
(if any) sent to the client together with the “access_token” response
parameter. It also defines the HTTP authentication method used to
include the access token when making a protected resource request.

7.2 错误响应 - Error Response

如果资源访问失败,资源服务器应该告知客户端错误原因。这类错误的细节信息不在本规范的讨论范围内,但本文档在11.4章节还是为OAuth令牌认证方案的错误值建立了一个共享的注册表。

If a resource access request fails, the resource server SHOULD inform
the client of the error. While the specifics of such error responses
are beyond the scope of this specification, this document establishes
a common registry in Section 11.4 for error values to be shared among
OAuth token authentication schemes.

如果新的认证方案主要是为OAuth令牌认证方案设计的,那么应该定义一种向客户端提供错误状态码的机制,在该机制中,错误码应注册在本规范建立的共享注册表中。

New authentication schemes designed primarily for OAuth token
authentication SHOULD define a mechanism for providing an error
status code to the client, in which the error values allowed are
registered in the error registry established by this specification.

这类方案可以将有效的错误状态码设置为已注册项的子集。如果使用命名参数来返回错误码,参数名应该为error。

Such schemes MAY limit the set of valid error codes to a subset of
the registered values. If the error code is returned using a named
parameter, the parameter name SHOULD be “error”.

如果认证方案有能力作为OAuth令牌认证方案,但主要不是为此设计的,也可以用同样的方式将自己的错误码绑定到注册表中。

Other schemes capable of being used for OAuth token authentication,
but not primarily designed for that purpose, MAY bind their error
values to the registry in the same manner.

新的认证方案也可以选择使用error_description和error_uri参数,以与本规范中error参数平行的方式返回错误信息。

New authentication schemes MAY choose to also specify the use of the
“error_description” and “error_uri” parameters to return error
information in a manner parallel to their usage in this
specification.

李浩好好学习
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Chapter15:权限管理之Oauth2资源授权
天然玩家的博客
08-30 310
说明: 项目地址在文章最后 本章代码所在分支为chapter15 代码规则:每章一个分支 后一章代码继承前一章代码 1 简介 2 授权服务器配置 package com.monkey.tutorial.modules.oauth2.server; import com.monkey.tutorial.modules.authentication.mycustom.MyAuthenticationManager; import com.monkey.tutorial.modules.authentica
RFC 6749-OAuth 2.0授权框架(中文版).pdf
08-02
开放平台标准协议简介之RFC 6749-OAuth 2.0授权框架; The OAuth 2.0 authorization framework enables a third-party application to obtain limited access to an HTTP service, either on behalf of a resource ...
为接入oauth2.0,保护资源服务需要做哪些工作
u013905744的专栏
12-16 235
保护资源最终指的还是Web API,比如说,访问头像的API、访问昵称的API。对应到我们的打单软件中,保护资源就是订单查询API、批量查询API等。 首先要做的是检查令牌的合法性,之后确定权限范围。提供一个统一的网关层来处理校验。 文章目录1. 检查令牌的合法性2. 确定权限范围权限维度1:不同的权限对应不同的操作权限维度2:不同的权限对应不同的数据权限维度3:不同的用户对应不同的数据3. 提供一个统一的网关层来集中处理校验 1. 检查令牌的合法性 保护资源来调用授权服务提供的检验令牌的服务 方案有
(三)spring security:OAuth2 SSO “授权码“获得 JWT令牌,访问保护资源,源码分析流程
yanfei_1986的博客
11-02 711
一、 二、 三、
spring cloud以客户端授权模式访问oauth2保护资源
路过君的博客
06-04 641
1. 依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId> </dependency> 2. 配置 application.yml security: oauth2: client: client-id: client-id
springsecurity oauth2_你确定懂OAuth 2.0的三方软件和保护资源服务?
weixin_39585617的博客
10-29 98
点击上方“JavaEdge”,关注公众号设为“星标”,好文章不错过!本文旨在阐明 OAuth2.0 体系中第三方软件和保护资源服务的职责。1 开发三方软件若基于公众号开放平台构建一个xx文章排版软件的轻应用,需要先到公众号开放平台申请注册成为开发者,再创建个应用就可以开始开发了。1.1 开发的关键节点1.1.1 注册信息xx软件必须先有身份,才能参与 OAuth 2.0 流程。即x...
适用于Gin-Gonic的OAuth 2.0授权服务器和授权中间件-Golang开发
05-26
oauth中间件Gin-Gonic的OAuth 2.0授权服务器和授权中间件该库提供基于Gin-Gonic的OAuth 2.0授权服务器和可在资源服务器中使用的授权中间件dev oauth中间件Gin-Gonic的OAuth 2.0授权服务器和授权中间件该库提供了基于...
OAuth2.0协议中文版.pdf
03-27
OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
OAuth 2.0授权框架.pdf
06-29
OAuth2.0授权框架,里面详细解释了授权转发的机制,广发研发和 产品可以看看,可以从种获取很多意想不到的结果,支付宝和微信等三方都有用过该授权框架进行接口的对接。
PHP-OAuth2:OAuth 2.0协议的轻量级PHP包装器(基于OAuth 2.0授权协议draft-ietf-oauth-v2-15)
02-20
OAuth 2.0的轻量级PHP包装器 如何使用? <?php require ( 'Client.php' ); require ( 'GrantType/IGrantType.php' ); require ( 'GrantType/AuthorizationCode.php' ); const CLIENT_ID = 'your client id' ; ...
系统API访问保护资源的机制(原创)
计算机编程痴迷者的乐园
11-24 1588
系统API访问保护资源的机制(原创) 余超 yuchao86@gmail.com 如下是我参加新浪OpenAPI小组对于一个接口安全交互的流程,供大家参考, 系统API访问机制包括接口注册、安全校验、访问有效性检验的流程 如果接口没有以上措施,此类接口均存在严重安全漏洞,一旦暴露在公网上,匿名用户只要扫描到接口API链接,即可调用该接口获取数据, 即使在内部也容易造成无意的数据泄露。为
Spring中的一个错误:使用Resources时报错(The annotation @Resources is disallowed for this location)...
weixin_30437847的博客
03-27 262
在学习Spring的过程中遇到一个错误:在使用注解@resources的时候提示:The annotation @Resources is disallowed for this location 后来来在学问Java网友的时候解决了。 原来的代码是这样的: 1 package com.show.biz; 2 3 import javax.annotation.Resourc...
资源保护无法修复服务器,Spring Security OAuth2保护资源实际上未保护...筛选器无法正常工作?...
weixin_33542015的博客
08-12 227
授权服务器@Configuration@EnableAuthorizationServerpublic class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {@AutowiredAuthenticationManager authenticationManager;@Primary@BeanInM...
初识OAuth2.0
孬蛋的博客
08-07 254
OAuth 即 Open standard for Authorization(开放式授权标准),允许用户授权第三方访问自身存储在其他服务端上的信息,而无需向第三方提供相应的账户密码.OAuth作为一个公开的网络授权协议标准.它为客户端提供了一种资源拥有者访问资源得方法. 客户端在访问资源之前, 需要先得到资源拥有者的授权,通过授权换取一个访问令牌, 随后客户端向资源服务器出示令牌来获取所需资源.主要解决什么问题?...
OAuth 2.0授权框架中文版 [4.3] - 资源所有者密码凭证模式
李浩好好学习
10-30 298
OAuth 2.0授权框架中文版 [4.3] - 资源所有者密码凭证模式4.3 资源所有者密码凭证模式 - Resource Owner Password Credentials Grant4.3.1 授权请求及响应 - Authorization Request and Response4.3.2 访问令牌请求 - Access Token Request4.3.3 访问令牌响应 - Access Token Response 4.3 资源所有者密码凭证模式 - Resource Owner Passwo
详解OAuth 2.0授权协议(Bearer token)
u012324798的博客
04-20 1万+
OAuth 2.0授权协议1 认证(Authentication)2 授权(Authorization)3 OAuth 2.0与认证机制的联系4 详解OAuth 2.0授权协议4.1 授权码流程4.2 如何使用refresh_token换发新的access_token?4.3 access token的具体用法(Bearer token)4.4 客户机应用如何把access token传递给资源服...
常见登录鉴权方案
油墨香^-^的博客
09-22 660
HTTP 提供一个用于权限控制和认证的通用框架。最常用的HTTP认证方案是HTTP Basic AuthenticationJSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。有时候,我们登录某个网站,但我们又不想注册该网站的账号,这时我们可以使用第三方账号登录,比如 github、微博、微信、QQ等。
Bearer Token的相关定义与使用方法
热门推荐
陈琪琪的技术博客
09-05 5万+
原文地址:http://www.haomou.net/2014/08/13/2014_bare_token/来龙去脉诸如Ember,Angular,Backbone之类的前端框架类库正随着更加精细的Web应用而日益壮大。正因如此,服务器端的组建也正正在从传统的任务中解脱,转而变的更像API。API使得传统的前端和后端的概念解耦。开发者可以脱离前端,独立的开发后端,在测试上获得更大的便利。这种途径也使
OAuth 2.0 MAC Tokens
u014133299的博客
10-31 1408
OAuth 20 MAC Tokens 摘要 简介 1 例子 2 符号约定 颁发MAC证书 MAC key identifier MAK key 发起请求 1 Authorization请求头 2 请求MAC 21 规范化的请求字符串 22 hmac-sha-1 23 hmac-sha-256 验证请求 1 timestamp有效性验证 2 WWW-Authenticate响应头字段 使用OAuth
前后端分离oauth2.0 - springsecurity + spring-authorization-server 密码模式
最新发布
07-11
OAuth 2.0是一种授权框架,用于授权和认证流程的规范化,而Spring Security是一个在Java中实现安全控制的框架,提供了大量的安全特性。Spring Authorization Server是Spring Security中用于实现授权服务器的模块,它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值