Basic Auth 和 OAuth的区别

最新推荐文章于 2024-08-23 20:41:02 发布
最新推荐文章于 2024-08-23 20:41:02 发布
阅读量1w 收藏 10
点赞数 3
分类专栏: encrypt 文章标签: OAuth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15028299/article/details/89028774
版权

开放平台有两种认证方式,一种是Basic Auth,一种是OAuth。

关于OAuth1,OAuth2的异同  移步->> https://blog.csdn.net/qq_15028299/article/details/89028851


1、Basic Auth(HTTP Auth)
Basic Auth简单点说明就是每次请求API时都提供用户的username和password。【base64encode(username+":"+password)】
。这种方式优点和缺点都很明显。
优点:
u 使用非常简单,
u 开发和调试工作简单,
u 没有复杂的页面跳转逻辑和交互过程;
u 更利于发起方控制;
缺点:
u 安全性低,每次都需要传递用户名和密码,用户名和密码很大程度上存在被监听盗取的可能;
u 同时应用本地还需要保存用户名和密码,在应用本身的安全性来说,也存在很大问题;
开放平台服务商出于自身安全性的考虑(第三方可以得到该服务商用户的账号密码,对于服务商来说是一种安全隐患),未来也会限制此认证方式(Twitter就计划在6月份停止Basic Auth的支持)
u 用户如果更改了用户名和密码,还需要重新进行密码校验的过程。
2、OAuth
OAuth为用户资源的授权提供了一个安全、开放的标准,将会是以后开发平台普遍遵守的,目前Twitter、Sina微博、豆瓣、Google等都提供对它的支持。它分为几个交互过程:
1)应用用APP KEY和APP SECRET换取OAuth_token;
2)应用将用户引导到服务商的页面对该OAuth_token进行授权(可能需要输入用户名和密码);
3)服务商的页面跳转回应用,应用再根据参数去服务商获得Access Token;
4)使用这个Access Token就可以访问API了。
上述过程如下图所示:
OAuth认证过程
OAuth的优点:
u 安全性高,用户的账户和密码只需要提供一次,而且是在服务商的页面上提供,防止了Basic Auth反复传输密码带来的安全隐患
u Access Token访问权限仅限于应用,被窃取不会影响用户在该服务商的其他服务;
u Access Token即使被监听丢失了随时可以撤销,不像密码丢失可能就被别人篡改了;
u 用户修改了密码也不会影响该应用的正常使用。
OAuth和Basic Auth两种方式的区别, OAuth是一种比较通用的,安全的认证方式,不需要用户名密码,只需要用户授权;basic auth是一种基于用户名密码的认证,每次访问都需带上用户的用户名密码。

Ian-sheng
关注
专栏目录
springCloud微服务系列——OAuth2+Basic验证
guduyishuai的博客
08-30 4157
目录 一、简介 二、知识点 @Order httpSecurity与authorizeRequests设置的区别 三、解决方案 一、简介     我们希望微服务通过OAuth2+jwt的模式进行验证,但是有些资源我们并不想通过OAuth2+jwt进行验证,比如访问swagger和actuator端点,这些资源我们希望进行Basic验证。 二、知识点 @Order     ...
SSO: Basic-Auth & OAuth2 & SAML & OpeanID
IT Panda 的技术博客
09-22 930
SSO = Single Sign On 为什么要有SSO? 我们可以从有SSO和没有SSO比较开始: 如果没有SSO的话,那所有的APP都需要维护一套完整的认证+授权(authentication and authorization) App team 不开心,因为他们不得不维护所有用户信息,还要维护模块去做验证和授权 User 不开心,因为用户得不得在每个App内管理一对儿用户名和密码,还总...
BasicAuthOAuth
03-18 911
参考资料 百度百科BasicAuth 维基百科OAuth BasicAuth基本授权 BasicAuth又叫HttpAuth,它非常简单。例如你访问一个页面时,会弹出用户名密码框 它的优点是:简单,只要维护好用户名密码的安全性即可 访问使用BasicAuth的页面时,可以很简单的填写用户名和密码。许多开源HTTP请求库都提供BasicAuth的接口。 下面以Python中的reques...
Nginx: 配置项之access模块、auth_basic模块、auth_request模块
最新发布
Wang的专栏
08-23 1151
curl curl http://192.168.184.20:8080/auth.html -I 返回。curl http://192.168.184.20:8080/auth.html 返回结果如下。3 )生成密码文件工具。
HTTP Basic Authentication(二)—— BasicAuth,OAuth and XAuth 三种认证方式的区别
weixin_30475039的博客
08-29 602
新浪微博于2011年6月1日全面停止BasicAuth认证,转向xAuth。说说他们的区别,并以新浪腾讯微博为例。 BasicAuth BasicAuth required the developer of an application to store the username and password of the user, and transmit these along w...
Auth方法
wang1144的专栏
09-13 1725
认证 开放平台有两种认证方式,一种是Basic Auth,一种是OAuth。 1、Basic Auth(HTTP AuthBasic Auth简单点说明就是每次请求API时都提供用户的username和password。 。这种方式优点和缺点都很明显。 优点: u 使用非常简单, u 开发和调试工作简单, u 没有复杂的页面跳转逻辑和交互过程;
BasicAuth认证(gin框架提供)与Go
热门推荐
陈戏猿
07-11 1万+
BasicAuth认证与Go Basic Auth是一种开放平台认证方式,简单的说就是需要你输入用户名和密码才能继续访问。Bath Auth是其中一种认证方式,另一种是OAuthBasic Auth认证处理简单几乎没有什么优点了,最大的缺点就是安全性低。不用说,OAuth认证方式克服了Basic Auth认证的所有缺点,并且也是目前广泛应用的。 gin框架提供了Bath Auth认证中间...
接口鉴权authoauth、session、cookie、sign
weixin_47049882的博客
03-18 2056
# 大多数互联网公司用token与sign # auth 鉴权 # oauth鉴权涉及很多系统,需要第三方系统授予操作权限,一般第三方比较多,例:支付宝、QQ、微信、微博等等 # cookies描述:cookies是服务器根据每个用户生成的它类似于我们的临时身份证,cookis只是编码身份的一种,还有token和签名 # session参数:很多接口需要一些公共的参数, # 比如cookies, fw值系统中(都用公共的参数cookies值)通过登录生成,添加地址,文件上传接口 # 建立三个接口,登录接.
express的中间件basicAuth详解
09-04
Express的`basicAuth`中间件使得在Express应用中集成这一过程变得简单。下面我们将详细讲解如何使用`basicAuth`以及如何自定义验证逻辑。 1. **安装express-basic-auth**: 在使用`basicAuth`之前,你需要先安装...
Basic Auth认证, Session/Cookie认证,JWT Token认证使用场景和优缺点分析
qq_33101689的博客
08-21 3636
Session/Cookie认证, Basic Auth认证, Token认证使用场景和优缺点分析 一. 为什么要授权认证 二. 传统Session/Cookie认证 三. Basic Auth 四. jwt token认证 四. 总结 一. 为什
BasicAuth2.java
03-16
java.io.IOException: Server returned HTTP response code: 403 for URL 处理过程记录 BASIC AUTH2 POST接口,解决403问题
Nginx配置Basic Auth登录认证的实现方法
09-30
本文将详细介绍如何使用Nginx配置Basic Auth登录认证,这是一种简单有效的权限验证机制。 Basic Auth(基本身份验证)是一种基于HTTP协议的身份验证方式,它将用户名和密码以Base64编码的形式发送到服务器。Nginx...
用户认证(Authentication)进化之路:由Basic AuthOauth2再到jwt
刘悦的技术博客
05-11 2372
虽然基本认证非常容易实现,但该方案创建在以下的假设的基础上,即:客户端和服务器主机之间的连接是安全可信的。所以,如果有人对头部以及载荷的内容解码之后进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密的时候用的密钥的话,得出来的签名也一定会是不一样的。它自身(在 payload 中)就包含了所有与用户相关的验证消息,如用户可访问路由、访问有效期等信息,服务器无需再去连接数据库验证信息的有效性,并且 payload 支持为你的应用而定制化。
关于 OAuth 你又了解哪些?
ApacheAPISIX的博客
02-10 951
OAuth 并非身份验证,这里的 AuthAuthorization,OAuth 是发生在用户做了身份验证后的事情,系统授权用户能做什么操作 OAuth 的背景 OAuth,O 是 Open,Auth 是授权,也就是开放授权的意思。OAuth 始于 2006 年,其设计初衷正是委托授权,就是让最终用户也就是资源拥有者,将他们在受保护资源服务器上的部分权限(例如查询当天订单)委托给第三方应用,使得第三方应用能够代表最终用户执行操作(查询当天订单)。 OAuth 1.0 协议于 2010 年 4 月作为
oauth2 密码模式和授权模式
weixin_44401399的博客
11-23 2818
https://blog.csdn.net/feinifi/article/details/108123831 笔记部分 oauth2实验 pom <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 当用.
常见的认证方式
Shoulen的博客
07-08 1884
介绍常用的认证方式 Basic、Digest、OAuth、Bearer,包括 OAuth常用模式、JWT Token 等
.Net 6.0 Basic Authorization 中间件处理
peixiaofei0721的专栏
03-16 430
第一步:创建BasicAuthenticationMiddleware中间件。第二步:启动项中加入中间件。
OAuth 2.0在WEB鉴权授权中的应用
walkWayer的博客
05-23 788
OAuth2.0框架,提供了不同安全等级、不同使用场景的认证授权方式,可以根据不同的业务场景,灵活应用同时,市面上,也有很多开源组织针对OAuth2.0框架进行了开发,可以很方便的把OAuth2.0框架引入到自主产品中,提升自主产品的安全性。
C# 采用Basic Auth传递Post或者GET 数据
weixin_44252983的博客
07-14 691
记录一下C# 采用Basic Auth传递Post或者GET 数据相关的知识,希望对你有一定的参考价值
OAuth2 与basic-auth的 比较 ,以表格形式 ,图文并茂 ,原理描述
06-11
好的,以下是 OAuth2 与 Basic-Auth 的比较表格及原理描述: | 特性 | OAuth2 | Basic-Auth | | --- | --- | --- | | 认证方式 | 令牌(Token) | 用户名和密码 | | 安全性 | 高 | 低 | | 应用场景 | 多用户、多应用情况下使用 | 单用户、单应用情况下使用 | | 用户体验 | 用户只需输入一次用户名和密码,之后就能一直使用 | 用户需要在每次请求时都输入用户名和密码 | | 授权方式 | 通过授权服务器向客户端发放访问令牌 | 直接使用用户名和密码进行认证 | OAuth2 的原理描述: OAuth2 是一种基于令牌(Token)的授权协议,它允许用户授权第三方应用访问其资源,而无需将用户名和密码提供给第三方应用。OAuth2 协议的流程如下: 1. 用户向第三方应用发起请求,要求访问其资源; 2. 第三方应用向用户请求授权; 3. 用户同意授权; 4. 第三方应用向授权服务器请求访问令牌; 5. 授权服务器对第三方应用进行身份验证,并且确认用户已经授权; 6. 授权服务器向第三方应用发放访问令牌; 7. 第三方应用使用访问令牌向资源服务器请求访问资源。 Basic-Auth 的原理描述: Basic-Auth 是一种基于用户名和密码的认证方式,它在每次请求时都需要用户输入用户名和密码。Basic-Auth 的流程如下: 1. 用户向服务器发起请求,要求访问其资源; 2. 服务器向用户请求用户名和密码; 3. 用户输入用户名和密码; 4. 服务器对用户名和密码进行验证; 5. 验证通过后,服务器向用户提供访问资源的权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值