OAUTH2.0 需要授权码Authentication Code存在的真正原因

最新推荐文章于 2023-04-22 23:26:47 发布
最新推荐文章于 2023-04-22 23:26:47 发布
阅读量6.7k 收藏 10
点赞数 5
分类专栏: 后端 认证 文章标签: Oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/perry_x/article/details/100582929
版权

OAUTH2.0 有几种认证方式,最安全的是授权码模式 (Authentication code)

附:引用 OAUTH2.0 流程图:

图中用户/用户浏览器为资源的owner, 要访问的服务器(图中的中间部分)是OAuth Client, 图中右边为OAuth Server.

原因:

在上图的步骤4中, OAuth Server请求用户输入用户名和密码,

然后用户在浏览器输入用户名直接发给OAuth Server,这时候OAuth Server必须返回一个东西给用户浏览器 (不经过OAuth Client)。

当非授权码模式下,OAuth Server会直接返回access token给用户浏览器(这是OAuth2.0的另一种模式),但是很不安全,因为这种模式下access token已经泄露给浏览器端了, 容易被黑客截获。

如果我们用了授权码模式,OAuth Server会返回一个授权码给用户浏览器,并且让用户重定向到OAuth Client (上图中间的服务器), 这时, OAuth Client收到授权码,了解用户需要认证操作,就把授权码+Client id/Client secret一起发给OAuth Server获取access token (步骤7,8,9)。

之后OAuth Client就通过access token获得了用户的认证,不需要把token暴露给前端浏览器,保护了token.

 

授权码模式优点:

- 用户输入的用户名/密码不经过OAuth Client,保护了用户密码 

- access token不经过用户浏览器, 保护了access token 

 

PS:那为什么授权码可以给用户暴露?

原因1: 授权码Authentication code只能用一次,而且会很快超时失效, 使得被截获后难以运用

原因2: 就算丢失了授权码,Oauth Server也需要client id/client secret共同完成认证,单独一个Authentication code得不到access token的。 (所以原则上来说client secret是需要保密的,不能让人同时获取client secret+client id+authentication code,否则攻击者也可以模拟oauth请求来获得access token)

 

 

PerryXu_BIT
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
OAuth2.o的授权模式为什么要用code获取token?
Authing的博客
11-17 1664
OAuth2.0 zhua难题持续更新。
Day973.授权许可类型中,为什么一定要有授权? -OAuth 2.0
阿昌爱Java
06-05 757
从为什么需要授权这个问题开始讲起,并通过授权授权许可流程整体的通信过程串了一遍,提到了授权这种方式解决的问题,也提到了授权流程的通信方式。总结来说,以下两点。授权许可流程有两种通信方式。一种是前端通信,因为它通过浏览器促成了授权的交互流程,比如京东商家开放平台的授权服务生成授权发送到浏览器,第三方软件小兔从浏览器获取授权。正因为获取授权的时候小兔软件和授权服务并没有发生直接的联系,也叫做间接通信。另外一种是后端通信,在小兔软件获取到授权之后,在后端服务直接。
oauth2.0 授权模式的一些思考
博客
02-21 330
如果没有code,在用户授权完成后,授权服务携带access_token调用三方服务的后端接口,将access_token 交给第三方服务的后端,不能通过重定向的方式进行(access_token 不能暴露在浏览器中,避免泄漏)。这样的话,用户点击完授权后,不能跳转回第三方软件,一直在授权页面 体验不好,当然 第三方服务拿到token后,可以自己重定向回自己的页面。相对来说比较麻烦。
OAuth2授权存在的意义
王子箫の博客
05-16 660
OAuth2授权存在的意义 OAuth2的实际应用中,最常见的就是“授权模式” 微博是这种模式,微信也是这种模式。 总结来说,就是简单的二步: 1.获取code 2.根据code,去获取access_token 以微博为例:微博开放平台-授权机制 假设我们开发一个网站(称为client;相对应的,微博就是server了),网站允许用户以微博账号登录,且需要读取用户的微博信息(账号、评论等等)。 显然,这过程中需要用户授权。 第一步: https://api.weibo.com/oauth2/
OAuth2认证和授权:AuthorizationCode认证
weixin_30487701的博客
02-03 297
前面的OAuth2认证,里面的授权服务器都是用的identityserver4搭建的 ids4没有之前一般都是Owin搭建授权服务器,博客园有很多 ids4出来后,一般都是用ids4来做认证和授权了, 所以这里简单说下AuthorizationCode认证,但授权服务器依然是ids4 下篇接受ids4的认证和授权 ConfigureServices配置: #region OA...
《开放平台鉴权方式详解:OAuth 2.0、API Key、HTTP Basic Authentication
weixin_42233867的博客
04-22 3932
当今开放平台已经成为了很多应用程序的核心,如何在保证用户数据安全的前提下,为第三方应用程序提供必要的数据访问权限,是开放平台鉴权方式设计的关键问题之一。本文将从OAuth 2.0API Key和三个方面来介绍开放平台主要鉴权方式。
完整Oauth 2.0实现实例
03-06
- 用户在授权页面确认授权后,授权服务器将重定向到客户端指定的URI,并附带授权(Authorization Code)。 - 客户端收到授权后,向授权服务器请求访问令牌,提交授权、客户端ID、客户端秘密和重定向URI。 -...
oauth-two:Clojure中的OAuth 2.0客户端
01-28
1. **授权流程**:OAuth 2.0定义了四种授权类型,分别是授权(Authorization Code)、隐式(Implicit)、密(Resource Owner Password Credentials)和客户端凭据(Client Credentials)。`oauth-two`支持授权...
java版OAuth2.0实例后台Oracle数据表结构SQL
12-02
这个文件可能是所有OAuth2.0相关表结构的综合,除了上述的`OAUTH_CLIENT_DETAILS`,`OAUTH_ACCESS_TOKEN`和`OAUTH_REFRESH_TOKEN`之外,可能还包括其他相关表,如`OAUTH_AUTHORIZATION_CODE`(用于存储授权模式的...
spring oauth2.0
04-24
Spring OAuth2.0 是一个广泛使用的安全框架,用于在分布式系统中实现授权Authentication)和访问控制(Authorization)。OAuth2.0 是一个开放标准,它允许用户让第三方应用在不暴露用户密的情况下,通过用户的...
oAuth 2.0测试
刘海龙的专栏
02-15 1万+
测试过程展示了oAuth 2.0关键流程、交互方式和关键参数。 下一步工作体现了oAuth 2.0框架的开发思路。
浅浅学习一下消息认证MAC(Message Authentication Code
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
02-09 2286
浅浅学习一下消息认证MAC(Message Authentication Code
Authenticator 备份密钥/导出
cherrycmd的专栏
02-18 6129
Google Authenticator 备份密钥
http基本认证Authentication OAuth JWT
focus on security
06-29 1176
Authentication: http是一种无状态的协议, 浏览器和web server可以通过cookie来识别身份。 应用程序一般不会使用cookie识别身份,通常是把 "用户名+密"用BASE64编放在请求头的Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authentication)。 1.client发送http request到web server 。 2.request中没有包含Authorization头, web server返回一个4.
oauth 认证
qq_36528073的博客
06-03 479
需求 在微服务架构中,我们有很多业务模块,每个模块都需要有用户认证,权限校验。有时候也会接入来自第三方厂商的应用。要求是只登录一次,即可在各个服务的授权范围内进行操作。看到这个需求,立马就想到了这不就是单点登录吗?于是基于这样的需求,作者使用spring-cloud-oauth2去简单的实现了下用户认证和单点登录。 相关介绍 OAuth2 OAuth2是一个关于授权的网络标准,他定制了设计思路和执行流程。OAuth2一共有四种授权模式:授权模式(authorization code)、简化模式(impli
谷歌身份验证器(Google Authenticator)的使用详情
weixin_43486863的博客
11-08 3万+
谷歌身份验证器(Google Authenticator) 前言 Google Authenticator,是谷歌推出的一款动态口令工具,解决大家的google账户遭到恶意攻击的问题;许多安全性比较高的网站都会采用这种工具来验证登录或者交易;这个动态口令就是Google身份验证器每隔30s会动态生成一个6位数的数字。它的作用是:对你的账号进行“二步验证”保护,或者说做一个双重身份验证,来达到提升安...
简单梳理一下Oauth2
js0808088的博客
11-12 3937
先贴一个Spring-security的官方文档地址: 学习一门技术,最好的方法就是去看他的官方文档。 简介: OAuth2(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密提供给第三方移动应用或分享他们数据的所有内容。 简而言之,Oauth2就是经过一次验证,将客户端及个人信息保存在服务器上,当在第三方应用上需要认证或者授权时,无需再次登录认证。 这是一个简单的流程图,便于大家快速了解Oauth2的认证流程: 接下来,我会按照下面几个模块,
4种认证(authentication)或授权(authorization)方式
热门推荐
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
学中的MAC(message authentication code)
mutourend的博客
09-06 8539
在密学中,MAC(message authentication code)为消息认证,主要作用有: 1) 进行消息认证,证明消息的真实性,如消息确实来源于所声称的sender; 2)保护消息数据的完整性,拥有密钥的receiver(或verifier)可发现对消息内容的任何篡改。 对于第2点“保护消息数据的完整性”,可通过hash技术来实现。 MAC与Hash/数字签名技术的对比为: 对...
oauth2.0和shiro
最新发布
08-24
它通过授权模式(authorization-code)来实现单点登录(SSO),其中使用了Shiro和Spring Security OAuth 2.0的集成。 在OAuth 2.0中,当用户请求访问某个受保护的资源时,首先会被重定向到授权服务器。用户需要在...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值