OAuth2.0授权方式以及误区

已于 2022-08-07 23:37:46 修改
阅读量334 收藏 2
点赞数 3
分类专栏: # Spring Security与OAuth2 文章标签: OAuth2.0 jwt
于 2022-08-07 23:36:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/poizxc2014/article/details/126219134
版权

👩‍💻博客主页:大家好我是poizxc2014的博客主页

✨欢迎关注🖱点赞🎀收藏⭐留言✒
📖个人主页:poizxc2014的博客_CSDN博客-数据库,mysql,java领域博主

💻首发时间:🎞2022年08月07日🎠
🔥💖🔮😘🔏🀄🎧如果觉得博主的文章还不错的话,👍请三连支持一下博主哦🤞

最后的话,在很多方面还做的不好的地方,欢迎大佬指正,一起学习哦,冲冲冲

目录

🔥误区一:JWT 和 OAuth2 区别与关系

🔥1. JWT是一种认证协议

🔥2. OAuth2是一种授权框架

🔥3. JWT 与 OAuth2 的联系

🔥OAuth2.0中四种授权方式

🔥授权码模式(authorization code)

🔥简化模式(implicit)

🔥密码模式(resource owner password credentials)

🔥客户端模式(client credentials)

🔥误区一:JWT 和 OAuth2 区别与关系

JWT 和 OAuth2 是两个完全不同的东西,两者在使用场景和底层原理有很大的差异,OAuth2 是一种授权框架,JWT是一种认证协议。

🔥1. JWT是一种认证协议

JWT提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。 令牌(Token)本身包含了一系列声明,应用程序可以根据这些声明限制用户对资源的访问。

详见:JWT基础--什么是 JWT?_poizxc2014的博客-CSDN博客

🔥2. OAuth2是一种授权框架

OAuth2是一种授权框架,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。

🔥3. JWT 与 OAuth2 的联系

既然 JWT 和 OAuth2 没有可比性,为什么还要把这两个放在一起说呢?实际中确实会有很多人拿JWT和OAuth2作比较。很多情况下,在讨论OAuth2的实现时,会把JSON Web Token作为一种认证机制使用。这也是为什么他们会经常一起出现。

JWT 和 OAuth2 最大的不同是应用场景不同。

OAuth2 用在使用第三方账号登录的情况(比如使用 weibo, qq, github 登录某个 app)。

JWT 用在前后端分离,需要简单的对后台API进行保护时使用,前后端分离无 session,,频繁传用户密码不安全。

OAuth2 是一个相对复杂的协议,有4种授权模式, 其中的 access code 模式在实现时可以使用 JWT 生成 code,也可以不用。所以,它们之间没有必然的联系,OAuth2 有 client 和 scope 的概念,JWT 没有。如果只是拿来用于颁布 token 的话,二者没区别。常用的 bearer 算法 oauth、jwt 都可以用,只是应用场景不同。

🔥OAuth2.0中四种授权方式

按照上图的场景来说明四种模式

🔥授权码模式(authorization code)

流程

说明:【A服务客户端】需要用到【B服务资源服务】中的资源

  • 第一步:【A服务客户端】将用户自动导航到【B服务认证服务】,这一步用户需要提供一个回调地址,以备 【B服务认证服务】返回授权码使用。
  • 第二步:用户点击授权按钮表示让【A服务客户端】使用【B服务资源服务】,这一步需要用户登录B服务,也 就是说用户要事先具有B服务的使用权限。
  • 第三步:【B服务认证服务】生成授权码,授权码将通过第一步提供的回调地址,返回给【A服务客户端】。 注意这个授权码并非通行【B服务资源服务】的通行凭证。
  • 第四步:【A服务认证服务】携带上一步得到的授权码向【B服务认证服务】发送请求,获取通行凭证token。
  • 第五步:【B服务认证服务】给【A服务认证服务】返回令牌token和更新令牌refresh token。

使用场景

授权码模式是OAuth2中最安全最完善的一种模式,应用场景最广泛,可以实现服务之间的调用,常见的微 信,QQ等第三方登录也可采用这种方式实现。

🔥简化模式(implicit)

流程

说明:简化模式中没有【A服务认证服务】这一部分,全部有【A服务客户端】与B服务交互,整个过程不再有 授权码,token直接暴露在浏览器。

  • 第一步:【A服务客户端】将用户自动导航到【B服务认证服务】,这一步用户需要提供一个回调地址,以备 【B服务认证服务】返回token使用,还会携带一个【A服务客户端】的状态标识state。
  • 第二步:用户点击授权按钮表示让【A服务客户端】使用【B服务资源服务】,这一步需要用户登录B服务,也 就是说用户要事先具有B服务的使用权限。
  • 第三步:【B服务认证服务】生成通行令牌token,token将通过第一步提供的回调地址,返回给【A服务客户 端】。

使用场景

适用于A服务没有服务器的情况。比如:纯手机小程序,JavaScript语言实现的网页插件等

🔥密码模式(resource owner password credentials)

流程

  • 第一步:直接告诉【A服务客户端】自己的【B服务认证服务】的用户名和密码
  • 第二步:【A服务客户端】携带【B服务认证服务】的用户名和密码向【B服务认证服务】发起请求获取 token。
  • 第三步:【B服务认证服务】给【A服务客户端】颁发token。

使用场景

此种模式虽然简单,但是用户将B服务的用户名和密码暴露给了A服务,需要两个服务信任度非常高才能使 用

🔥客户端模式(client credentials)

流程

说明:这种模式其实已经不太属于OAuth2的范畴了。A服务完全脱离用户,以自己的身份去向B服务索取 token。换言之,用户无需具备B服务的使用权也可以。完全是A服务与B服务内部的交互,与用户无关了。

  • 第一步:A服务向B服务索取token。
  • 第二步:B服务返回token给A服务。

使用场景

A服务本身需要B服务资源,与用户无关。

poizxc2014
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth 2.0授权协议详解
10-25
主要介绍了OAuth 2.0授权协议详解,本文对OAuth协议做了详解讲解,对OAuth协议的各个方面做了分解,读完本文你就会知道到底啥是OAuth了,需要的朋友可以参考下
SpringSecurity OAuth2四种模式说明
Leon_Jinhai_Sun的博客
11-18 581
OAuth2.0中四种授权方式 授权模式(authorization code) 流程 说明:【A服务客户端】需要用到【B服务资源服务】中的资源 第一步:【A服务客户端】将用户自动导航到【B服务认证服务】,这一步用户需要提供一个回调地址,以备 【B服务认证服务】返回授权码使用。 第二步:用户点击授权按钮表示让【A服务客户端】使用【B服务资源服务】,这一步需要用户登录B服务,也 就是说用户要事先具有B服务的使用权限。 第三步:【B服务认证服务】生成授权码,授权码将通过第一步提供的回调地址,返回给
Spring Security OAuth2.0(一)-----前言-授权模式及代码实例
qq_42264638的博客
04-21 2622
Spring Security OAuth2.0(一)-----前言-授权模式及代码实例
Spring Security安全配置模式
oneslide
04-21 556
环境配置 想利用Spring Security的功能,必须在进行少量的配置: 即继承一个对象AbstractSecurityWebApplicationInitializer public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer{ //空...
Spring Security OAuth2密码模式(四)
FAIRYTAIL的博客
08-28 2869
之前已经使用客户端模式进行认证授权的演示记录,但到目前为止还没有使用到用户相关的信息,之前项目都是在用户登录的时候判断用户名和密码是否正确,都校验通过后查询用户拥有的角色及菜单,并将用户权限信息放入session,那使用oauth2后怎么结合用户的角色权限保护资源呢?本篇记录一下密码模式的使用姿势。
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
OAuth2.0授权模式.doc
07-27
OAuth2.0授权模式.doc OAuth2.0授权模式的文档,希望可以帮助学习者
OAuth20:一个简单的OAuth 2.0授权服务器和客户端实现
05-31
这个项目的想法是编写一个简单的 OAuth 2.0 授权服务器。 不要期望太多。 它正在逐步发展。 代码看起来不太好。 很多东西都是硬编码的。 它更像是一个简单的概念证明应用程序。规格本项目使用以下 RFC 文档作为其...
基于Django2.1.2的OAuth2.0授权登录
04-15
基于Django2.1.2的OAuth2.0授权登录 大学生课程设计 基于Django2.1.2的OAuth2.0授权登录的课程设计 自己大二写的课程设计
微信oauth2.0授权
10-11
通过点击viewbutton获取用户openid,实现方式oauth2.0认证
SpringSecurityOauth2实现前后端分离的token服务,app登录
一点光辉的博客
02-09 6344
图解认证服务器和资源服务器 用户通过认证服务器获取到token之后,在通过token访问服务器的资源(接口) 认证服务器 授权模式 第一步:在@configuration配置类中 @Configuration //加上这个注解就实现了一个认证服务器 @EnableAuthorizationServer public class AuthorizationServerConfig ...
Spring Security OAuth2四种授权模式总结(七)
FAIRYTAIL的博客
02-17 1655
OAuth2的四种授权模式测试
OAuth2四种模式
m0_46267097的博客
07-16 1185
OAuth2四种模式一、隐式授权模式(Implicit Grant)流程图步骤优缺点及适用场景二、授权授权模式(Authorization code Grant)流程图步骤优缺点及适用场景三、密码模式(Resource Owner Password Credentials Grant)流程图步骤优缺点及适用场景四、客户端凭证模式(Client Credentials Grant)流程图步骤优缺点及适用场景 一、隐式授权模式(Implicit Grant) 流程图 步骤 第一步:用户访问页面时,重定向到
实战讲解Spring Oauth2.0密码模式授权模式(内存inMemory+持久化jdbc配置)
天然玩家的博客
10-27 5191
(1)Oauth2.0认证需要配置:认证拦截、认证服务、资源服务以及用户服务,其中,认证拦截是拦截认证相关的URI,如$/oauth/**$系列的URI,$/login/**$系列的URI;认证服务是认证服务器相关的配置信息,如认证方式、token有效期等;资源服务是需要使用oauth2.0进行授权访问的服务;用户服务是自定义的用户校验,可以自定义校验逻辑,如从MySQL查询账户; (2)认证服务的授权方式有四种:密码模式授权模式、客户端模式简化模式,本文实现前两种,即密码模式授权模式
springboot oauth2 授权模式与密码模式探索
feinifi的博客
08-20 5867
oauth2支持授权方式有四种:授权模式(authorization_code)、密码模式(password)、隐藏模式(implicit)、客户端模式(client_credentials)。其中,比较常见的就是授权模式和密码模式。 需要说明的是,授权模式的过程大致如下: 1、封装参数,访问授权服务器登录与授权接口 接口:http://localhost:8080/oauth/authorize 参数:response_type client_id scope r...
Spring Security OAuth2 四种认证模式(含流程图)
诺浅的专栏
11-16 7866
什么是OAuth2 OAuth2 其实是一个关于授权的网络标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 PS:如果不能理解就想想你用微信/QQ登录CSDN的时候,你并不需要告诉CSDN你的QQ密码就能登录,是怎么实现的?其实采用OAuth2就可以实现 什么是Spring Security OAuth2 上面说了OAuth2是一个标准,而Spring Security基于这个标准进行了实现,这个实现就是Spring
SpringSecurityOauth2(四种模式
justlpf的专栏
04-14 1572
说明:客户端直接通过客户端认证(比如client_id和client_secret)从认证服务器获取访问令牌。说明:客户端直接向用户获取账号密码(不安全),之后向授权服务器获取token。说明:正宗的oauth模式,先获取授权码,在通过授权码获取token。.0是目前流行的授权机制,用于授权第三方应用,获取数据。说明 :和授权模式相比取消了授权过程,直接获取token。​​后,授权中心会要求资源所有者进行身份验证。​​,回调路径会,回调路径携带着令牌。当请求到达授权中心​​。
SpringBoot集成oauth2(客户端模式
qq1016499728博客
12-04 5633
客户端模式: 咱们的服务直接请求验证服务器拿到token,拿token访问资源服务器。跟用户没屁关系 依赖 Springboot 版本为2.3.3.RELEASE <!--Security + oauth2 + jwt --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security<
springboot oauth2.0 授权模式
最新发布
05-11
SpringBoot OAuth2.0 授权模式是一种常见的授权方式,通常用于安全访问受保护的 API。在此模式下,客户端必须向授权服务器发送一个授权请求,授权服务器返回一个授权码,客户端使用该授权码向资源服务器请求访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值