OAuth 2 中的 Scope 与 Role 深度解析

最新推荐文章于 2024-03-12 11:24:26 发布
最新推荐文章于 2024-03-12 11:24:26 发布
阅读量866 收藏 2
点赞数
文章标签: 微服务 spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pointer_v/article/details/132221314
版权

名词

  • OAuth 2:除非有“标准”、“协议”等特别说明,例如:OAuth 2 标准或 OAuth 2 协议,否则本文中的 OAuth 2 均指代的是 Spring Security OAuth2Spring Authorization Server 等 OAuth 2 协议的具体实现组件或框架。
  • Spring Security 生态:在本文中为了表述方便,“Spring Security 生态”指代的是 Spring SecuritySpring Security OAuth2Spring Authorization ServerSpring Security OAuth2 Client 等一系列 Spring 生态安全相关组件或框架。

概述

OAuth 全称是 Open Authentication。大家都知道 OAuth 是一个开放标准,但是除此以外似乎找不到一个非常准确的而且容易理解的 OAuth 定义。在网络中能够搜索到的 OAuth 的定义,基本都是来源于网络各文章作者自己对 OAuth 的理解。

为此,特别选择了一个笔者本人认为相对来说更容易理解的一个定义,具体如下:

开放授权( OAuth )是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth 允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非所有内容。

OAuth 主要有 OAuth 1.0 和 OAuth 2.0 两个版本,并且二者完全不同,且不兼容。OAuth 2.0 是目前广泛使用的版本,我们多数谈论 OAuth 时,一般都是指的 OAuth 2.0 版本。随着Spring Authorization Server 逐步普及, OAuth 2.1 版本也逐步地进入了大众的视野。

这里为什么要提及 OAuth 的定义?请注意定义中的关键词“第三方应用”,这个词对于理解后续内容有着至关重要的作用。

笔者认为使用 OAuth 2 最大的难点,是对 OAuth 2 中各种术语以及概念的理解——这里所说的“理解”,指的不仅仅是对概念字面意思的理解,而是对其真正“含义”的理解。能否真正理解这些术语以及概念的“含义”,会直接影响使用 OAuth 2 的系统设计及实现,甚至影响整个系统的安全保障能力。

OAuth 2 中最为特殊的概念就是 Scope。单独来看 Scope其实并不难理解,但因为 Spring Security生态组件中不仅有 Scope 概念还提供了Role概念。在此基础之上,如果再加上 RBAC 权限模型,那么就会让 OAuth 2 的相关概念变得难以理解。

OAuth 2 中 ScopeRole 关系和区别到底是什么?在实际设计过程中,如何应用和处理 ScopeRole关系?就成为使用 OAuth2 的关键技术难点之一。

本篇文章,旨在根据笔者个人经验和理解,结合 Dante Cloud 实际应用,深入解析 OAuth 2 中 ScopeRole 的概念及应用方法。

OAuth 2 与 Spring Security 关系

OAuth 2 是一种协议,所以实现的方式、组件、产品多种多样。文中的 OAuth 2,指代的是 Spring Security OAuth2Spring Authorization Security 等 Spring 生态中的 OAuth 2 实现。后续部分内容中,也会沿用这种表述方式仅是为了方便,请各位读者注意语境的切换。

OAuth 是一个授权协议,OAuth 框架能让“**第三方应用”**以优先的权限访问 HTTP 服务。作为一个授权框架,OAuth 关注是如何让一个系统组件获取对另一个系统组件的访问权限。

OAuth 不是身份认证协议,虽然可以使用它构建具有身份认证功能系统,并且 OAuth 自身在多个地方也使用了身份认证(最典型的就是资源拥有者和客户端软件软件要想授权服务器进行身份认证),但这种内嵌身份认证的行为并不会将 OAuth 自身转变成身份认证协议。

正因为 OAuth 不是身份认证协议,所以身份认证和鉴权功能要基于其它组件来实现。使用 Spring Security OAuth2Spring Authorization Server实现 OAuth 2 授权服务器,首选的身份认证和鉴权组件就是 Spring Security

这一点对于理解基于 Spring Security生态组件以及微服务架构的设计、实现也非常重要。

小结一下:

  • OAuth 2 是一个授权协议,不具备认证、鉴权能力。注意:这里的授权与 RBAC 中为用户角色分配权限的那种“授权”不同。
  • Spring Security OAuth2Spring Authorization Server 实现的基于 OAuth 2 协议的授权服务器只负责“授权”,用户的身份认证和鉴权等均由 Spring Security 负责实现。

那么,Spring Security OAuth2Spring Authorization Server是如何与 Spring Security关联起来的?最终形成一套既包含授权功能,又包含认证和鉴权功能的完整的系统的呢?暂且,我们先抛开代码层面整合的“物理”实现关系,只从整合实现的“逻辑”实现关系思考,关键的因素就是:包含权限信息的 ”用户身份“(全文

码匠君
关注
Spring Security OAuth2详解
qq_33814479的博客
10-12 6831
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
ASP NET MVC使用Oauth2 0实现身份验证
qq_43678418的博客
11-15 813
ASP NET MVC使用Oauth2 0实现身份验证
OAuth2.0scope和RBAC的role有什么关系
码农小胖哥
11-16 3287
使用了OAuth2.0授权协议之后我们在API的访问控制时又多了一个scope的概念。它和角色访问控制的作用类似,有点让人有点模糊不清。今天我们来理清楚这两个概念。scopescope是 ...
OAuth2.0学习(1-13)oauth2.0 的概念:资源、权限(角色)和scope
weixin_34166472的博客
06-21 1344
mkk 关于资源的解释 : https://andaily.com/blog/?cat=19 resource用于将系统提供的各类资源进行分组管理, 每一个resource对应一个resource-id, 而一个client details至少要有一个resource-id (对应OauthClientDetails.resourceIds oauth_client_details.resourc...
OAuth2.0】Spring Security OAuth2.0篇之初识
weixin_30875157的博客
05-29 168
不吐不快      因为项目需求开始接触OAuth2.0授权协议。断断续续接触了有两周左右的时间。不得不吐槽的,依然是自己的学习习惯问题,总是着急想了解一切,习惯性地钻牛角尖去理解小的细节,而不是从宏观上去掌握,或者说先用起来(少年,一辈子辣么长,你这么着急合适吗?)。好在前人们已经做好了很好的demo,我自己照着抄一抄也就理解了大概如何用,依旧手残党,依旧敲不出好代...
spring security oauth2 的 scope 概念
最新发布
qq_41045651的博客
03-12 952
通常,如果你想实现用户登录和认证功能,你会请求"openid" scope。如果你的应用程序需要用户的许可来执行一些操作,比如发布消息到他们的社交媒体账户,你可以请求"write" scope以获取修改用户资源的权限。例如,如果你正在开发一个应用程序,需要从用户的个人资料读取信息,比如用户名、年龄等,你可以请求"read" scope来获取这些信息。自定义scope:除了上述内置的scope之外,你还可以定义自己的scope,根据你的应用程序的特定需求,例如"photos"、"documents"等。
安全守护神:Spring Security全方位深度解析
[安全守护神:Spring Security全方位深度解析](https://opengraph.githubassets.com/933c3452d28da27bc7f9b867ddf7e4302947a76df11197f953291fa6ec888deb/rnavagamuwa/spring-security-abac) # 1. Spring Security...
spring - secruity
casepk的专栏
02-02 1037
下面只介绍了Servlet应用程序的,响应式的未写。由于是翻译的参考文档,有些地方应该词不达意。 1、介绍 Spring Security是一个强大且高度可定制的认证和访问控制框架。它是基于Spring的应用程序的事实上的安全标准。 主要特性: 支持全面和可扩展的身份验证和授权; 防止各种攻击,如会话固定攻击,点击劫持,跨网站请求伪造等; 集成Servlet API; 与Spring...
2022年面试,整理全网初、、高级常见 Java 面试题
q66562636的博客
07-01 2308
面试题答案见微信小程序 “Java 精选面试题”,3000 + 道面试题。内容持续更新包含基础、集合、并发、JVM、SpringSpring MVC、Spring Boot、Spring Cloud、Dubbo、MySQL、Redis、MyBaits、Zookeeper、Linux、数据结构与算法、项目管理工具、消息队列、设计模式、Nginx、常见 BUG 问题、网络编程等。————————————————面向对象编程有哪些特征?一、抽象和封装类和对象体现了抽象和封装抽象就是解释类与对象之间关系的词。类
2021年面试,整理全网初、、高级常见Java面试题
qq3164069700的博客
02-22 1007
面试题答案私信【面试】即可获取,500+道面试题。内容包含基础、集合、并发、JVM、SpringSpring MVC、Spring Boot、Spring Cloud、Dubbo、MySQL、Redis、MyBaits、Zookeeper、Linux、数据结构与算法、项目管理工具、消息队列、设计模式、Nginx、常见 BUG 问题、网络编程等。 ———————————————— 面向对象编程有哪些特征? 一、抽象和封装 类和对象体现了抽象和封装 抽象就是解释类与对象之间关系的词。类与对象之间的
深入理解OAuth 2.0
weixin_45203607的博客
03-02 758
介绍 2012年10月,OAuth 2.0协议正式发布为RFC 6749。现在百度开放平台,腾讯开放平台等大部分的开放平台都是使用的OAuth 2.0协议作为支撑。 OAuth是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 在OAuth 2.0的认证和授权的过程主要包括以下角色定义: Resource owner: 资源所有者(通常指用户或者提供资源服务的平台) Resource server:资源服务器(
Spring Security OAuth2之scopes配置详解
OceanSky的专栏
07-30 1万+
1.先看下官方文档的说明 地址:https://projects.spring.io/spring-security-oauth/docs/oauth2.html scope: The scope to which the client is limited. If scope is undefined or empty (the default) the client is not limit...
OAuth 2.0的理解
随笔记
02-21 1593
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAuth的适用场合,让我举一个假设的例子。 有一个"云冲印"的网站,可以将用户储存在Google...
OAuth2在分布式微服务架构下基于角色的权限设计(RBAC)
土味儿
05-21 3745
在前两节的基础上,对权限控制作进一步分析的分析与设计。 RBAC(Role-Base Access Control,基于角色的访问控制) 本篇内容基于个人理解,不当之处,欢迎批评指正。 前两篇内容: 【图文详解】搭建 Spring Authorization Server + Resource + Client 完整Demo 【oauth2 客户端模式】Spring Authorization Server + Resource + Client 资源服务间的相互访问 1、OAuth2用户访问的基.
OAuth2.0详解(授权模式篇)
热门推荐
breakloop
08-23 2万+
OAuth2.0有五种授权模式。(1)授权码模式(Authorization Code) (2)授权码简化模式(Implicit) (3)Pwd模式(Resource Owner Password Credentials) (4)Client模式(Client Credentials) (5)扩展模式(Extension)注:文的client,可理解为浏览器或APP。但不论哪种模式,都是为
微信oauth2.0报错,Scope参数错误或没有Scope权限
alex_fung的博客
03-29 5908
上图: 一般是因为没有设置微信后台参数,设置方式如下: 登陆微信后台-->开发-->接口权限-->网页授权获取用户基本信息-->修改-->填写信任域名即可
Spring Security OAuth2# Scope
来啊 快活啊
09-08 1万+
怎么传递scopehttp://localhost:8080/oauth/token?grant_type=password&scope=ROLE_CLIENT_ADMIN+Hidelo&client_id=business&client_secret=business&username=user&password=password 解析的逻辑如下: DefaultOAuth2Request
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 1万+
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
oauth2密码登陆的一个大坑——scope
qq_42697271的博客
07-02 3020
笔者最近在给自己的分布式项目添加授权登陆模块的时候碰到了一个问题,就是调用密码登陆服务(/oauth/token)的时候报400的错误,起初以为是入参字段写错了或少写了,后面才发现并不是这样,而是scope这个入参数的隐藏属性导致的,下面记录下笔者碰到的问题、解决思路、和解决办法 文章目录一、碰到的问题二、解决思路三、解决办法四、总结 一、碰到的问题 2021-07-02 10:51:02.821 [http-nio-8877-exec-1] ERROR c.m.u.service.impl.Logi.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码匠君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值