互联网并发与安全系列教程(11) -OAuth2.0协议实现API设计

最新推荐文章于 2022-05-27 20:06:01 发布
最新推荐文章于 2022-05-27 20:06:01 发布
阅读量447 收藏
点赞数 2
分类专栏: # 互联网并发与安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20042935/article/details/103140334
版权

OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。

OAuth2.0

对于用户相关的OpenAPI(例如获取用户信息,动态同步,照片,日志,分享等),为了保护用户数据的安全和隐私,第三方网站访问用户数据前都需要显式的向用户征求授权。
QQ登录OAuth2.0采用OAuth2.0标准协议来进行用户身份验证和获取用户授权,相对于之前的OAuth1.0协议,其认证流程更简单和安全。

总体处理流程:

  • 第一步:用户同意授权,获取code
  • 第二步:通过code换取网页授权access_token
  • 第三步:刷新access_token(如果需要)
  • 第四步:拉取用户信息(需scope为 snsapi_userinfo)

微信授权获取信息简单实现

微信网页授权地址:

https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421140842

https://mp.weixin.qq.com/debug/cgi-bin/sandbox?t=sandbox/login

1.填写网页授权回调地址权限
在这里插入图片描述
2.生成网页授权地址
https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx5c43fde3c9733d9e&redirect_uri=http://meitedu.s1.natapp.cc&response_type=code&scope=snsapi_userinfo&state=STATE#wechat_redirect

3.跳转到回调地址获取授权码
http://meitedu.s1.natapp.cc/?code=061yIRgM13IOc41ZQveM1tODgM1yIRge&state=STATE

4.通过code换取网页授权access_token
https://api.weixin.qq.com/sns/oauth2/access_token?appid=wx5c43fde3c9733d9e&secret=b8b217126c33a5fb7074927d5e72a81a&code=061WfM4E0TABnc2Cv04E02Lb5E0WfM4b&grant_type=authorization_code

5.拉取用户信息(需scope为 snsapi_userinfo)
https://api.weixin.qq.com/sns/userinfo?access_token=11_ZsmU50peG5LkOxn6XiFwXl9PRmlAlrFvWZ9fgxd3OM-vbiAHt_uf7gqG9iA9MnfIqf375eI8rkxf6GyqdsAkWw&openid=okYSmtzp4wWCrDCncMfGSRECVSeM&lang=zh_CN

杨林伟
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信公众平台 获取access_token
小小布的程序世界
06-29 7326
前言:access_token是微信公众平台接口的重要参数,很多接口都需要这个参数。微信公众平台文档地址:微信公众平台技术文档一、access_token说明access_token是公众号的全局唯一接口调用凭据,公众号调用各接口时都需使用access_token。开发者需要进行妥善保存。access_token的存储至少要保留512个字符空间。access_token的有效期目前为2个小时,需定时
微信网页第三方登录原理
weixin_30800987的博客
07-10 5753
微信开放平台和公众平台的区别 1.公众平台面向的时普通的用户,比如自媒体和媒体,企业官方微信公众账号运营人员使用,当然你所在的团队或者公司有实力去开发一些内容,也可以调用公众平台里面的接口,比如自定义菜单,自动回复,查询功能。目前大多数微信通过认证之后,都在做这个事情。 mp.weixin.qq.com 2.开放平台面向的开发者和第三方独立软件开发商。我觉得开发平台最大的开放就是微信登录。当...
jfinal-oauth2.0-server:jfinal-oauth2.0-服务器
05-24
jfinal-oauth2.0-server jfinal-oauth2.0-server 基于,, 参考 实现了4.节描述的内容。 实现OAuth 2.0定义了四种授权方式 授权码模式(authorization code): 先获取下次请求token的code,然后在带着code去请求token; 简化模式(implicit):直接请求token; 密码模式(resource owner password credentials): 先完成授权,然后再获取token; 客户端模式(client credentials): 类似密码保护模式; demo
jfinal-oauth2.0-server:jfinal-oauth2.0-server,参考http
04-29
jfinal-oauth2.0-server 基于, 参考实现了4.节描述的内容。 实现OAuth 2.0定义了四种授权方式 授权码模式(authorization code): 先获取下次请求token的code,然后在带着code去请求token; 简化模式(implicit):直接请求token; 密码模式(resource owner password credentials): 先完成授权,然后再获取token; 客户端模式(client credentials): 类似密码保护模式; ​ demo #自定义clientcredentials implements OAuthClientCredentials public class PasswordClientCredentials implements OAuthClientCredentials { @Overrid
react-google-oauth2.0:使用OAuth 2.0响应前端登录并集成Rest API后端
03-17
ReactGoogle OAuth 2.0 轻松将Google OAuth 2.0单一登录添加到React应用,并让您的服务器处理您的访问和刷新令牌。 该库可直接与配合使用,并以最少的设置立即提供Google OAuth 2.0集成。 文件: : 安装 npm install react-google-oauth2 快速开始 import * as React from " react " ; import * as ReactDOM from " react-dom " ; import { GoogleButton, IAuthorizationOptions, isLoggedIn, createOAuthHeaders, logOutOAuthUser, GoogleAuth, } from " react-google-oa
Spring+Spring Security+OAuth2实现REST API权限控制
u013970971的博客
11-14 2719
转载:大道至简 » Spring+Spring Security+OAuth2实现REST API权限控制 Spring集成Spring Security、OAuth2实现资源访问授权认证。后端主要做的是认证服务器和资源服务。客户端主要是用前端的js请求。因为只是要做一个demo,所以这里的用户信息和授权token都是保存在内存中,后面会根据项目需要将用户信息保存到数据库,授权信息保
Spring Boot Security 整合 OAuth2 设计安全API接口服务
竹林幽深
08-28 353
版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/u010562966/article/details/88812533 简介 OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。本文重点讲解Spring Boot项目对OAut...
微信开发中两种access_token的区别和以及获取用户的信息方法介绍
热门推荐
qq_42112846的博客
03-24 3万+
access_token是公众号的全局唯一接口调用凭据,公众号调用各接口时都需要使用access_token。 微信开发需要用到的access_token,其实是分为两个种类的,一种是普通的access_token,另一种是网页授权access_token。 普通的access_token,是微信开发者调用微信所提供的各种借口的一个凭证,有效时间为7200秒,也就是两个小时,而且一个公众号每天...
微信开放平台————获取access_token(2)
奇点
02-23 4098
  第4步 收到code+state 扫码确认登录之后,就会回调到重定向的地址(获得code和state) http://xdclasstest2.ngrok.xiaomiqiu.cn/api/v1/wechat/user/callback?code=061vNjP70F1KQE1poXO70Q7bP70vNjPE&state=xdclass.net     5.通过c...
微信OAuth2.0 登录流程以及安全性分析
正在努力工作的搬砖人
04-09 1万+
本文详细阐述的微信OAuth2授权流程详细说明,以及OAuth2.0是如何保证鉴权安全
API接口设计 OAuth2.0认证
08-13
NULL 博文链接:https://hudeyong926.iteye.com/blog/2287954
RFC 6749-OAuth 2.0授权框架(中文版).pdf
08-02
开放平台标准协议简介之RFC 6749-OAuth 2.0授权框架; The OAuth 2.0 authorization framework enables a third-party application to obtain limited access to an HTTP service, either on behalf of a resource ...
express-rest-api-oauth2.0
05-31
express-rest-api-oauth2.0 Oauth2.0 的 REST API 服务器
spring boot 开发—第八篇整合OAuth2保证api接口安全
liuweilong07的专栏
05-25 8788
1、 OAuth 概念 OAuth 是一个开放标准,允许用户让第三方应用访问用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而不需要将用户名和密码提供给第三方应用。OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站在特定的时段内访问特定的资源。这样,OAuth用户可以授权第三方网站访问他们存储在另外服务提...
Spring Cloud OAuth2实现Resource Server中API鉴权
分享技术,传播知识!
01-22 1555
Spring Cloud OAuth2实现Resource Server中API鉴权1、在上文的AuthenticationServer项目中增加UserDetailsController用于获取当前用户信息2、为上文的AuthenticationServer项目启动类增加@EnableResourceServer注解3、创建Resource Server工程4、修改spring配置5、创建需要鉴权访问API接口(Resource)6、实现ResourceServer6.1 自定义路径拦截处理类实现Fil
还不了解Oauth2协议?这篇文章从入门到入土让你了解Oauth2以及Spring Security OAuth2 的使用
落雪
05-27 1199
SpringSecurityOAuth2学习和实战 1.OAuth2概述 1.1 什么是OAuth2 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及到用户密钥等信
【微信】未关注公众号授权获取基本信息(头像昵称等)
ZT的专栏
07-19 2万+
引导用户点击设计好的链接,形如:https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx9a3d0c9c3170978c&redirect_uri=http%3a%2f%2fwx.dizaozhe.cc%2fwechatconfig%2fdesc&response_type=code&scope=snsapi_userinfo&stat
【微信开发】NodeJS解决微信网页授权获取用户信息
吴纯玲的博客
08-30 2037
目录 前言 1.开发前准备工作 2.后台开发工作 3.前端开发工作 4.调试工作 前言 先回顾一下微信开发中涉及的各种概念以及微信网页授权的流程图 【微信开发】常见的openid/unionid/session_key/access_token究竟是个啥? 官方API文档:微信网页开发-网页授权 1.开发前准备工作 开发前的准备工作很简单,登录微信公众号后台 ...
互联网并发安全系列教程(14) - 基于Nginx实现API网关
阿甘兄
11-19 851
引言 随着互联网的快速发展,当前以步入移动互联、物联网时代。用户访问系统入口也变得多种方式,由原来单一的PC客户端,变化到PC客户端、各种浏览器、手机移动端及智能终端等。同时系统之间大部分都不是单独运行,经常会涉及与其他系统对接、共享数据的需求。所以系统需要升级框架满足日新月异需求变化,支持业务发展,并将框架升级为微服务架构, API网关核心组件是为了满足这些需求产生的。 很多互联网平台已基于网关...
springsecurity 和 springsecurity-oauth2.0区别
最新发布
11-09
根据提供的引用内容,可以得知Spring Security是一个基于Spring框架的安全框架,用于保护Web应用...因此,Spring Security主要用于Web应用程序的安全保护,而Spring Security OAuth2则是用于支持OAuth2协议安全框架。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值