OAuth2的四种认证方式

于 2024-08-01 09:58:08 发布
阅读量477 收藏 9
点赞数 3
分类专栏: 企业开发 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66201040/article/details/140839108
版权

文章目录


  OAuth2是目前流行的认证协议,主要包含四种认证方式:客户端认证、密码认证、授权码认证、刷新令牌认证。

客户端认证grant_type=client_credential

&empsp; 以微信公众号为例,在发布文章时,要提交一个token,但是获取token则需要客户端认证,将客户端id(也就是公众号的id)和密钥传给微信服务器,获取一个有效期大概一小时的token。这个获取token的认证方式就是客户端认证。如下图所示:
在这里插入图片描述

授权码认证access_token

  授权码认证是每个业务接口都需要传递token,比如微信公众号发布文章,就用到了这种认证方式,授权码认证由来已久,以前的jsessionid,或者是phpsession,其实都可以算作是授权码认证。不过oauth2有特殊的地方,在于获取用户的资源时,可以获取用户的授权码,比如说微信公众号应用里获取用户的微信头像等信息,就可以获取用户给的授权码,然后用这个授权码获取用户的微信头像等信息。如图:
在这里插入图片描述

密码认证grant_type=password

  密码认证在微信公众号里没有对应的接口,但是我们日常用spring security开发的应用中经常用到,就是用户在服务器端密码登录,用的就是这个,然后spring security会返回用户的信息,比如以下就是一个密码认证的例子:
在这里插入图片描述

刷新token认证

  记住密码是不安全的,我的wegame没有勾选记住密码,却勾选了自动登录,这是怎么实现的呢?就是客户端记住了refresh_token。以微信公众号为例,也有这个接口:
在这里插入图片描述

其他认证

  OAuth2还支持其他认证,如果是spring security,只有多设置几种grant_type就可以了,比如说增加SMS(短信认证)类型,指纹认证、人脸认证,这些认证方式其实和密码认证差不多。短信认证可以看成是动态密码,指纹于人脸可以看做另一种形式的密码。

醒过来摸鱼
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OAuth 2.0 授权认证详解
GJ_ia的博客
01-13 2847
从上图中可以看出,造成 CSRF 攻击漏洞问题的关键点在于,OAuth2 的认证流程是分为好几步来完成的,在上一章节授权码模式流程中的流程图中的第 4步骤中,第三方应用在收到一个 GET 请求时,除了能知道当前用户的 cookie,以及 URL 中的。"云冲印"网站将李四的 Google 账号同张三的"云冲印"账号关联绑定起来,从此以后,李四就可以用自己的 Google 账号通过 OAuth 登录到张三在 “云冲印” 网站中的账号,堂而皇之的冒充张三的身份执行各种操作。这样的前后端分离,可以避免令牌泄漏。
OAuth2.0协议入门
Daniel462038751的专栏
10-20 1796
OAuth2.0 协议原理 OAuth 2.0 协议是一种三方授权协议,目前大部分的第三方登录与授权都是基于该协议的标准或改进实现。OAuth 1.0 的标准在 2007 年发布,2.0 的标准则在 2011 年发布,其中 2.0 的标准取消所有 Token 的加密过程,并简化了授权流程,但因强制使用 HTTPS 协议,被认为安全性高于 1.0 的标准。 一. 基础应用:第三方登录 ​ 对于 OAuth2.0 协议(以下简称 OAuth 协议)的第一次接触,我相信大部分开发者都是通过对接第三方登录
OAuth2系列】集成微信小程序登录到 Spring Security OAuth 2.0
最新发布
c18213590220的博客
07-21 2763
本文将详细介绍如何在 Spring Security OAuth 2.0 中扩展支持微信小程序登录,通过自定义授权方式实现无缝登录。
一篇文章带你搞定 OAuth 2.0 的四种方式
南淮北安的博客
09-10 1266
已经学习过:理解 OAuth 2.0 一篇文章就够了 知道了 OAuth2.0 是一种授权机制,主要用来颁发令牌(token) 文章目录一、RFC 6749二、第一种授权方式:授权码三、第二种授权方式:隐藏式四、第三种授权方式:密码式五、第四种授权方式:凭证式 一、RFC 6749 OAuth 2.0 的标准是 RFC 6749 文件。该文件先解释了 OAuth 是什么。 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。…资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端
基于OAuth2协议的SSO统一认证系统
weixin_38277138的博客
03-14 2058
基于OAuth2协议的SSO统一认证系统
授权机制(OAuth2、JWT、Security)- @by_TWJ
u010101252的博客
03-13 1007
授权机制(OAuth2、JWT、Security) / 认证
简单谈谈OAuth 2.0的四种认证方式
Armandhe的博客
06-06 4611
让我来康康oauth2有啥不一样
OAuth2四种认证模式概念理解
行走的过客
07-08 1万+
OAuth2中四种认证模式概念理解说明 这两天在写单点登录的软著材料,作为一个前端开发,之前关注的一直都是前端实现登录的逻辑,但是既然写软著,那只能作为一个整体来理解,而这一块大部分的实现还是在后端(个人观点),所以抽出两天时间看了下后端的代码,正好把相关的概念理解整理下: 这里只是概念上的理解,没有代码实践,后面有空最好还要调试代码,实践出真知嘛,要是有理解不对的地方欢迎指正。 文章目录整体流程...
OAuth2认证流程
qq_41860765的博客
03-05 1288
Spring Security支持OAuth2认证OAuth2提供授权码模式、密码模式、简化模式、客户端模式等四种授权模式,前边举的微信扫码登录的例子就是基于授权码模式,这四种模式中授权码模式和密码模式应用较多,本实例使用Spring Security演示授权码模式、密码模式,其余两种请自行查阅相关资料。答案是否定的,服务提供商会给批准接入的客户端一个身份,用于接入时的凭据,有客户端标识和客户端秘钥,在这里配置批准接入的客户端的详细信息。
oauth2认证的4种模式
weixin_52526235的博客
07-24 2436
oauth2认证的4种模式分别是授权码模式、简化模式、密码模式、客户端凭证模式。
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
OAuth2是一种授权框架,它允许第三方应用获取资源所有者的特定资源,同时保护了资源所有者的隐私信息。在Spring Cloud中,我们可以借助Spring Security OAuth2来实现这一功能。Spring Security OAuth2提供了授权...
spring cloud oauth2 zuul 单点登录 认证授权
01-08
OAuth2的核心概念包括四个主要角色:资源所有者(User)、客户端(Client)、授权服务器(Authorization Server)和资源服务器(Resource Server)。通过授权码流、密码流、刷新令牌等方式OAuth2可以实现安全的...
Spring Security OAuth2 四种认证模式(含流程图)
诺浅的专栏
11-16 8026
什么是OAuth2 OAuth2 其实是一个关于授权的网络标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 PS:如果不能理解就想想你用微信/QQ登录CSDN的时候,你并不需要告诉CSDN你的QQ密码就能登录,是怎么实现的?其实采用OAuth2就可以实现 什么是Spring Security OAuth2 上面说了OAuth2是一个标准,而Spring Security基于这个标准进行了实现,这个实现就是Spring
OAuth2.0 四种授权模式(图解)
热门推荐
流楚丶格念的博客
07-21 2万+
fragment主要是用来标识URI所标识资源里的某个资源,在URI的末尾通过(#)作为fragment的开头,其中#不属于fragment的值。(1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会附加客户端的身份信息。(1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会附加客户端的身份信息。(1)客户端向授权服务器发送自己的身份信息,并请求令牌(access_token)...
auth2解读
u012558511的博客
03-19 3133
auth2四种模式 第一种授权模式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。 通过https://b.com/oauth/authorize?response_type=code& client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read 然后跳转到 CALLBACK_URL?code=AUTHORIZATION_CODE 然后请求 /oauth/token?client_id=CLIENT_ID& cl
Oauth2 认证
fjd7474的博客
03-15 7761
1 简介 1.1 基本概念 认证:用户访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,常见的账号密码登录,验证码登录,指纹登陆 授权:用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限 单点登录 SSO:用户在一个系统中登录,其他任意受信任的系统都可以访问,例如在京东主页登陆了,京东其他页面就不需要再登录,这个功能就叫单点登录。 第三方账号登录:第三方系统对用户认证通过 1.2 认证解决方案 1.2.1 单点登录技术方案 分布式系统要实现单点登录,通常将认证系统独立抽
OAuth2 认证
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-11 878
随着微服务的兴起,OAuth2也火了起来,由于其自身的优势,俨然已成为微服务API服务接口安全防护的首选。例如有一个”云冲印”的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让”云冲印”读取自己储存在Google上的照片。1. 介绍OAuth2(Open Authorization,开放授权)是OAuth的升级版本。OAuth 是一个开放标准...
OAuth2认证
hnhroot的博客
07-27 794
OAuth2是基于Token的认证协议,可以访问第三方的用户资源数据,而不需要密码例如B站使用微信登录,登录的时候区微信获取用户数据,是不需要用户在B站中输入用户的微信账号密码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

醒过来摸鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值