2.为什么需要 OAuth2

最新推荐文章于 2024-06-21 14:28:40 发布
最新推荐文章于 2024-06-21 14:28:40 发布
阅读量1k 收藏 1
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pyycsd/article/details/104049008
版权

为什么需要 OAuth2?

应用场景

我们假设有一个“云笔记”产品,并提供了“云笔记服务”和“云相册服务”,此时用户需要在不同的设备 (Android、iPhone、TV、Watch)上去访问这些“资源”(笔记、图片)

那么用户如何才能访问属于自己的那部分资源呢?此时传统的做法就是提供自己的账号和密码给我们的“云笔记”,登录成功后就可以获取资源了。但是这样做法会有以下几个问题:

  • “云笔记服务”和“云相册服务”会分别部署,难道我们要分别登录吗?
  • 如何让第三方应用程序需要接入我们的“云笔记”,难道需要用户提供账号和密码给第三方应用程序,让它记录后再访问我们的资源?
  • 用户如何限制第三方应用程序在我们“云笔记”的授权范围和使用期限?难道把所有资源都永久暴露给它吗?
  • 如果用户修改了密码收回了权限,那么所有第三方应用程序会全部失效。
  • 只要有个一个接入的第三方应用程序遭到破解,那么用户的密码就会泄漏,后果....

为了解决上面的问题, OAuth应运而生。

名词解释

  • Third-party application:第三方应用程序,本文中又称 "client" ,比如打开知乎,使用第三方登录,选择qq登录,这时候知乎就是客户端。
  • HTTP service:HTTP服务提供商,本文中简称 "服务提供商" ,即上例的qq。
  • Resource Owner:资源所有者,本文中又称"用户"(user),即登录用户。
  • User Agent:用户代理,本文中就是指浏览器。
  • Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。
  • Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器

交互过程

OAuth 在“客户端”与“服务提供商”之间,设置一个授权层(Authorization layer)。“客户端”不能直接登录“服务提供商”,只能登录授权层,以此将用户与客户端区分开来。“客户端” 登录授权层所用的令牌(token),与用户的密不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。“客户端”登录授权层以后,“服务提供商” 根据令牌的权限范围和有效期,想“客户端” 开发用户存储的资源。


11464886-9470765d46ad1523.png
Lambda程序员
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Oauth2.0(一):为什么需要 Oauth2.0 协议?
blowing00的专栏
02-28 722
假设有两家互联网企业 A 和 B,其中 B 是一家提供相片云存储的公司。即 B 的用户可以把相片上传到 B 网站上长期保存,然后可以在不同的设备上查看。某一天,A 和 B 谈成了一项合作:希望 B 用户在使用 A 的客户端时,也可以观看他在 B 的相片。假设你是技术负责人,需要出一个实现方案,怎么做? 要不让 B 提供一个接口: http://xxx.xxx.co...
springboot+oltu.oauth2搭建oauth2环境
10-08
springboot和apache的开源项目org.apache.oltu.oauth2组合搭建的oauth2环境,一般的oauth配置下就可以用了,但是我这个项目,是用原理上讲如何搭建oauth2,哪个controller转发到哪个controller,为什么这样,都有...
引入OAuth2的主要目的
Leon_Jinhai_Sun的博客
12-21 324
将来P2P项目考虑到灵活性和可扩展性,也会支持通过第三方授权登录(例如: QQ,微信等),提高客户体验 P2P项目采用前后端分离开发架构,前端有PC端(H5)、有移动端(APP)、还有管理端,包括各个微服务,他们彼此之间都是第三方,这些接入端都需要统一做认证管理 在整个基于OAuth2的认证机制中,获取令牌是最关键的一步,OAuth2一共提供了四种授权(获取令牌)方式:授权码模式(Authorization Code)、 隐式授权模式(Implicit)、 密码模式(Resource Ow..
什么是OAuth2分布式授权协议?
最新发布
2401_83062316的博客
06-21 992
你可能也已经注意到,虽然说OAuth2协议解决的是授权问题,但它也应用到了认证的概念,因为只有验证了用户的身份凭证,我们才能完成对他的授权。以目前主流的微服架构而言,当我们发起HTTP请求时,关注的是如何通过HTTP协议透明而高效的传递令牌,授权码模式下通过回调地址进行授权管理的方式就不是很实用,密码模式反而更加简洁高效。授权码模式的特点在于当用户同意授权后,授权服务器不是马上返回最终的令牌,而是一个授权码,需要客户端携带授权码去换令牌,这就需要客户端自身具备与授权服务器进行直接交互的后台服务。
oauth2基本概念
qq_31211493的博客
03-21 1万+
1.什么是oauth2 OAuth2.0介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点:简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使
OAuth2的使用场景
u33445687的博客
07-29 1255
一、OAuth解决什么问题 1.OAutho2提出的背景 照片拥有者想要在云冲印服务上打印照片,云冲印服务需要访问云存储服务上的资源 2.图例 资源拥有者:照片拥有着 客户应用:云冲印 受保护的资源:照片 3.方式一:用户名密码复制 适用于同一公司内部的多个系统,不适用于不受信的第三方应用 4.方式二:通用开发者Key 适用于合作商或者授信的不同业务部门之间 5、方式三:颁发令牌 接近OAuth2方式,需要考虑如何管理令牌、颁发令牌、吊销令牌,需要统一的协议,因此就有了OAuth2协议 二、现代微
有没有必要在项目里使用Oauth2,不为了技术而技术,你可能并不需要 OAuth2
技术博客
07-10 3116
OAuth2 是一个关于 授权 (Authorization)的网络标准,在网上已经有大量的资料来解释,本文不再详细解释原理和规范的详情。关于 Authorization 和 Authentication 的区别之后会写另外一篇文章来分析。在此仅列两个比较优质的解释 OAuth2 原理的文章: 理解OAuth 2.0 —— 阮一峰 [认证授权] 1.OAuth2授权 —— blackheart 尽管如此,这里还是描述一下 OAuth2 的使用场景,以便约定和明确一下角色方便后面叙述。 角色 A (tw
oauth2.md 描述了oauth2基本原理
04-19
描述了oauth2的原理(不含代码,如需demo请联系3546766954@qq.com),简单介绍了oauth2四种验证方式
10.OAuth2授权的使用
01-01
在Spring Cloud Security中,使用OAuth2授权需要创建oauth2-server模块作为授权服务器,然后添加UserService实现UserDetailsService接口,用于加载用户信息。OAuth2授权的使用可以实现单点登录、令牌中继、令牌交换...
11.Oauth2授权之JWT集成
01-01
首先,我们需要在pom.xml中添加相关依赖项,包括spring-boot-starter-oauth2、spring-cloud-starter-security和spring-boot-starter-data-redis等。 然后,我们需要在application.yml中添加相关配置,包括Redis的...
oauth2.rar
01-07
oauth2oauth2oauth2
OAuth2的一点理解
Code In Life
09-06 2794
OAuth2的一点理解
1.OAuth 2实战 --- OAuth 2.0是什么,为什么要关心它
enlyhua的专栏
02-10 1352
OAuth 是一个安全协议,用于保护全球范围内大量且不断在增长的web api,它用于连接不同的网站,还支持原生应用和移动应用于云服务之间的连接。 它是各个领域标准协议中的安全层。 1.OAuth 2.0是什么 OAuth 2.0 是一个授权协议,它允许应用软件代表(而不是充当)资源拥有者去访问资源拥有者的资源。应用向资源拥有者请求授权,然后得到令牌(token),并用它来访问资源。 ...
Oauth2是什么&怎么用
finalheart的博客
11-24 1万+
Oauth2这个是为了方便安全的用户(第三方)登录用的。 一开始听见oauth2这个词肯定是很懵的。这是啥,鉴权用的?认证用的?授权用的?跟shiro(java)是一个东西吗? 其实oauth就是一个流程。我们根据这个流程的要求写代码、 oauth有一个授权服务器。是作为用户的认证用的。对于服务端来说只需实现一个oauth的授权服务器。对于用户来说(调用授权认证的研发)只需根据流程发请求...
使用OAuth2的SSO分析
热门推荐
xiejx618的专栏
04-01 6万+
参考:https://github.com/spring-guides/tut-spring-security-and-angular-js/blob/master/oauth2-vanilla/README.adoc 1.浏览器向UI服务器点击触发要求安全认证 2.跳转到授权服务器获取授权许可码 3.从授权服务器带授权许可码跳回来 4.UI服务器向授权服务器获取AccessToken
(十)使用oauth2
axe的专栏
04-26 1537
如果第三方应用和本开放平台对接时需要获取用户隐私数据(如商品、订单),为为了安全与隐私,第三方应用需要取得用户的授权,即获取访问用户数据的授权令牌 AccessToken 。这种情况下,第三方应用需要引导用户完成帐号“登录授权”的流程。 easyopen从1.2.0版本开始支持oauth2认证。接入方式很简单: 新建一个Oauth2ManagerImpl类,实现Oauth2Manager接口...
使用OAuth2有什么优点和缺点
越努力越幸运。
01-18 584
使用OAuth2有以下几个优点:然而,使用OAuth2也存在一些缺点:
对不起,我来晚了,为什么要学习OAuth 2.0?
新栋BOOK
07-05 474
我从2014年加入京东,便开始接触开放平台相关的技术,主要包括网关、授权两块的内容。在刚开始的几年时间里面,我一直都认为网关是开放平台的核心,起到 “中流砥柱” 的作用,毕竟网关要承载整...
OAuth2的使用场景与理解(图解防止忘记)
键上艺术家
09-29 2235
三方登录:当你自己开发的系统需要引入微信、qq、支付宝、钉钉等第三方登录的时候 开放平台:当你自己开发的系统需要开放一些接口,用来给第三方应用去查询使用相关的信息 sso单点登录:当你自己开发的系统是在微服务环境下使用sso相关的场景
spring cloud2021.0.1 oauth2
12-08
Spring Cloud 2021.0.1是Spring Cloud...综上所述,Spring Cloud 2021.0.1中的OAuth2模块为微服务架构提供了强大的安全认证和资源授权功能。它使得服务之间的通信更加可靠和安全,为微服务架构的开发和部署提供了便利。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值