OAuth 2.0理解

已于 2022-06-09 09:29:06 修改
阅读量431 收藏 2
点赞数
分类专栏: spring 文章标签: oauth
于 2022-06-09 09:28:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinxiaoqiang2011/article/details/125197044
版权

OAuth 2.0

文章目录

通俗理解

OAuth 的核心就是向第三方应用颁发令牌

四种认证流程

  • 授权码(authorization-code)
  • 隐藏式(implicit)
  • 密码式(password):
  • 客户端凭证(client credentials)

注意:不管哪一种授权方式,第三方应用申请令牌之前,都必须先到系统备案,说明自己的身份,然后会拿到两个身份识别码:客户端 ID(client ID)和客户端密钥(client secret)。这是为了防止令牌被滥用,没有备案过的第三方应用,是不会拿到令牌的。

授权码

授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。

这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。

  1. 第一步,A 网站提供一个链接,用户点击后就会跳转到 B 网站,授权用户数据给 A 网站使用。下面就是 A 网站跳转 B 网站的一个示意链接
  2. 用户跳转后,B 网站会要求用户登录,然后询问是否同意给予 A 网站授权。用户表示同意,这时 B 网站就会跳回redirect_uri参数指定的网址。跳转时,会传回一个授权码
  3. A 网站拿到授权码以后,就可以在后端,向 B 网站请求令牌
  4. B 网站收到请求以后,就会颁发令牌。具体做法是向redirect_uri指定的网址,发送一段 JSON 数据给A
  5. A使用JSON 数据中的令牌,向B申请资源

隐藏式

有些 Web 应用是纯前端应用,没有后端

这时就不能用上面的方式了,必须将令牌储存在前端。RFC 6749 就规定了第二种方式,允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)“隐藏式”(implicit)。

  1. A 网站提供一个链接,要求用户跳转到 B 网站,授权用户数据给 A 网站使用。
  2. 用户跳转到 B 网站,登录后同意给予 A 网站授权。这时,B 网站就会跳回redirect_uri参数指定的跳转网址,并且把令牌作为 URL 参数,传给 A 网站
  3. A 网站使用令牌

密码式

如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)。

  1. A 网站要求用户提供 B 网站的用户名和密码。拿到以后,A 就直接向 B 请求令牌。
  2. B 网站验证身份通过后,直接给出令牌。注意,这时不需要跳转,而是把令牌放在 JSON 数据里面,作为 HTTP 回应,A 因此拿到令牌

这种方式需要用户给出自己的用户名/密码,显然风险很大,因此只适用于其他授权方式都无法采用的情况,而且必须是用户高度信任的应用。

客户端凭证

适用于没有前端的命令行应用,即在命令行下请求令牌。

  1. A 应用在命令行向 B 发出请求。
  2. B 网站验证通过以后,直接返回令牌。

这种方式给出的令牌,是针对第三方应用的,而不是针对用户的,即有可能多个用户共享同一个令牌。

更新令牌

具体方法是,B 网站颁发令牌的时候,一次性颁发两个令牌,一个用于获取数据,另一个用于获取新的令牌(refresh token 字段)。令牌到期前,用户使用 refresh token 发一个请求,去更新令牌。

URL 中,grant_type参数为refresh_token表示要求更新令牌,client_id参数和client_secret参数用于确认身份,refresh_token参数就是用于更新令牌的令牌。

B 网站验证通过以后,就会颁发新的令牌

秦杨
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth 2.0中文译本
01-28
OAuth 2.0很可能是下一代的“用户验证和授权”标准,目前在国内还没有很靠谱的技术资料。为了弘扬“开放精神”,让业内的人更容易理解“开放平台”相关技术,进而长远地促进国内开放平台领域的发展,笔者特意将OAuth 2.0协议翻译成中文。
加密与授权 Oauth2.0
ys.hubery
01-05 4692
加密算法 对称加密 加密和解密使用同样规则(简称"密钥"),这被称为"对称加密算法" 非对称加密 授权机制 OAuth OAuth2.0 授权码(authorization-code 隐藏式(implicit) 密码式(password) 客户端凭证(client credentials) ...
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring Security结构总览,认证流程和授权,中间涉及到哪些组件,这些组件分 别处理什么,如何自定义这些组件满足个性需求。 OAuth2.0认证的四种模式?它们的大体流程是什么? Spring cloud Security OAuth2包括哪些组件?职责? 分布式系统认证需要解决的问题? 掌握学习方法,掌握思考方式。
OAuth 2.0 入门指南:掌握授权码模式》这篇文章的demo示例源码
最新发布
12-27
此上传包含了《OAuth 2.0 入门指南:掌握授权码模式》文章中提到的完整演示示例源码。这个示例源码旨在提供一个实际的、可操作的示范,让读者可以直观地理解和学习 OAuth 2.0 授权码模式的实现细节。 源码包括了设置授权服务器、配置客户端应用,以及实现授权码获取和使用的所有必要步骤。 此资源对于希望深入学习 OAuth 2.0 授权流程的初学者和开发者来说是一份极具价值的实践参考资料。 《OAuth 2.0 入门指南:掌握授权码模式》文章链接:https://blog.csdn.net/Flemming323/article/details/135140789?spm=1001.2014.3001.5502
OWIN实现OAuth 2.0 之客户端模式(Client Credential)
12-26
把自己的理解加上吧。 认证服务生成token时可以加一个节点machineKey,这样资源服务也需要加一个machineKey才能识别该token。那么我不加这个machineKey就不能生成token?不能访问资源服务吗?当然不是,machineKey节点是可选的,即便是不加machineKey也会产生token,也能够被资源服务识别。但是会存在一个安全问题:比方说Token1是加了配置节点生成的,Token2是不加machineKey生成的;测试证明,我们使用Token1访问资源服务2是能够访问的,而Token2访问资源服务1则不能访问。换句话说,如果你的项目使用OWIN实现OAuth 2.0 之客户端模式,但是没有配置machineKey,也没有在认证服务中自定义认证。那么我就可以利用OWIN实现OAuth 2.0 之客户端模式的基本原理生成一个token,你会发现我这个token居然能够访问你们公司的资源服务。所以如果我们使用OWIN实现OAuth 2.0 之客户端模式,尽量保证两点: (1)增加machineKey配置,这个可以理解为token的秘钥。 (2)在认证服务中添加自定义的认证。 3、认证服务和资源服务需要启动或者直接建立成站点启动,才可以被客户端访问到。
oauth2.0 密码方式认证分析
qq_39584267的博客
08-19 3115
oauth2.0 密码方式认证分析
Paypal开发者中心获取“ClientId”和“ClientSecret”参数
龚清林的博客
09-03 1万+
正式环境设置 1、登录到 paypal开发者中心 网址:https://developer.paypal.com/developer/ 点击右上角登录按钮登录 2、左侧栏 - 我的应用程序和凭证 - 点击“创建新应用” 新注册的paypal账号,需要进行邮箱验证,验证通过后,需要等待一段时间(或重新登录),才会出现相关设置项位置 验证邮箱通过后,点击创建新应用 3、按提示填写,保存创建应用 4、点击刚创建的应用进入应用详情页 5、应用详情页获得网站开发人员所需要的“ClientId”和“Client
一口气说出 OAuth2.0 的四种授权方式
架构师小秘圈
07-13 522
上周我的自研开源项目开始破土动工了,《开源项目迈出第一步,10 选 1?页面模板成了第一个绊脚石 》 ,密谋很久才付诸行动,做这个的初衷就是不想让自己太安稳,技术这条路不进步就等于后退,...
Google授权登录获取客户端IDclient_id)和客户端密钥(client_secret)及配置
热门推荐
龚清林的博客
05-07 2万+
1、获取客户端IDclient_id)和客户端密钥(client_secret) 需要去这里https://console.developers.google.com/apis/credentials创建 应用凭据 2、创建好应用凭据之后,可以去https://console.developers.google.com/apis/library把对应的API服务启用(获取授权信息,如果只是获取默认授权信息就不需要操作),这里是Web端(对应的是社交>G+和Google People API) 3、
Master OAuth 2.0
03-25
OAuth 2.0工作机制的举例描述,非常适合你理解和掌握。
spring security oauth2 client_idclient_secret错误信息自定义
dechengtju的博客
08-03 1万+
在我们开发系统时,返回给前端的信息均具有统一的格式,但在使用spring security oauth2时,遇到client_idclient_secret错误时,返回信息为如下格式: { "timestamp": "2020-08-03T20:41:54.776+0800", "status": 401, "error": "Unauthorized", "message": "Unauthorized", "path": "/uaa/oauth/token"
oauth2 clientid作用_Oauth 2.0 授权机制
weixin_39785400的博客
11-26 3987
在了解 Oauth 2.0 之前,我们先看一下令牌和密码到底有什么关系,其实令牌(token)与密码(password)的作用是一样的,都可以进入系统,但是有三点差异:令牌是短期的,到期会自动失效,且用户自己无法修改;密码一般长期有效,用户不修改,就不会发生变化。令牌可以被数据的所有者撤销,会立即失效。令牌有权限范围(scope)对于网络服务来说,只读令牌就比读写令牌更安全。密码一般是完整权限。上...
有赞云 ~ client_id, client_secret, kdt_id
lyfGeek的博客
01-07 1015
有赞云 ~ client_id, client_secret, kdt_id
SpringSecurityOauth 简介
暴走猿人的博客
04-18 1033
TODO
java加密生成tokenid,spring oauth2 的 clientIdsecret 验证为什么封装成 UsernamePasswordAuthenticationToken?...
weixin_34964950的博客
03-10 1859
spring cloud oauth2 走 /oauth2/token 接口获取 token 时首先验证 clientIdclientSecret 这时候进入 BasicAuthenticationFilter.doFilterInternal 中把 request 中的 clientIdclientSecret 封装成 UsernamePasswordAuthenticationTo...
从0开始做外卖侠优惠券系统之2.1—将clientIdclientSecret填入配置文件
qq_41240287的博客
03-18 727
从0开始做外卖侠优惠券系统之2.1—将clientIdclientSecret填入配置文件 在上一篇文章中,我们提到过一个clientId和一个clientSecret,两个东西都是写在方法里的,也就是说,以后每写一个方法都需要写这些重复的代码,所以为了提高代码的可读性。我们需要将这些写进配置文件。 1.在application.propertise文件中加入clientIdclientSecret # 多多客配置信息 pddClientId = pddClientSecret = 2.在控制器中
OAuth 2
xbcai1的博客
05-30 419
OAuth 2,授权框架
OAuth2的定义和运行流程
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-07 1008
开放授权(Open Authorization OAuth) 是一种资源提供商用于授权第三方应用代表资源所有者获取有限访问权限的授权机制。由于在整个授权过程中,第三方应用都无法触及用户的密码就可以获取部分资源的使用权限,所以OAuth是开放安全的。OAuth第一个版本诞生于2007年12月,由于OAuth1.0复杂的签名逻辑以及单一的授权流程存在较大缺陷,随后推出了OAuth2.0OAuth2.0放弃了OAuth1.0中让开发者感到痛苦的数字签名和加密方案,后面我们要讲的都是指OAuth2.01。....
oauth2.0的面试题
09-11
OAuth 2.0是一种授权协议,用于授权第三方应用访问用户资源。以下是一些OAuth 2.0的面试题: 1. 什么是OAuth 2.0?它解决了什么问题? 2. OAuth 2.0OAuth 1.0有什么区别? 3. OAuth 2.0中的角色有哪些? 4. 请简要描述OAuth 2.0的工作流程。 5. OAuth 2.0中的授权类型有哪些?请分别描述它们。 6. OAuth 2.0中的令牌类型有哪些?请分别描述它们。 7. OAuth 2.0如何保护用户的敏感信息安全? 8. OAuth 2.0中的刷新令牌是什么?它的作用是什么? 9. CSRF(跨站请求伪造)攻击与OAuth 2.0有何关联? 10. 在实现OAuth 2.0时,你会如何保护客户端凭据的安全性? 这些问题可以帮助评估面试者对OAuth 2.0理解程度和实际应用能力。当然,根据面试者的经验和职位要求,可能会有更深入或具体的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值