为什么OAuth2里面在获取access token之前一定要先获取code,然后再用code去获取access token

最新推荐文章于 2024-06-07 16:52:20 发布
最新推荐文章于 2024-06-07 16:52:20 发布
阅读量2.5k 收藏 5
点赞数
分类专栏: php 文章标签: php
原文链接:https://www.cnblogs.com/askfb/p/11027366.html
版权

为什么OAuth2里面在获取access token之前一定要先获取code,然后再用code去获取access token

为什么OAuth2里面在获取access token之前一定要先获取code,然后再用code去获取access token
oauth2在获取access_token之前,一定要先获取code,主要是因为安全原因:

code需要设置过期时间,一般设置的过期时间非常短,如10分钟等,用户需要在短时间内通过code换取access_token,避免code被第三方拦截。当然,即便这种情况会发生,但因为code的过期时间非常短,也在一定程度上进行了保护,但这肯定不是完全安全的
授权成功后,code是会直接显示在浏览器上的,如果不通过code换取access_token,而是直接返回access_token,那access_token会被暴露出来,而code换取access_token是直接通过oauth服务器进行换取的,不依赖浏览器,access_token不会暴露出去。
前提是,你先在oauth服务器上进行了注册,得到了client_id和app_secret,请求时,不仅需要发送code,还需要发送client_id,oauth服务器会对client_id进行判断,是否已经进行了注册

当然,OAuth2还是允许直接返回access_token,而不经过code换取,查看 RFC6749,可以看到,oauth2一共有四种模式:

第一种:

首先用户在客户端上点击要用哪个系统的OAuth2来认证,此时客户端附上回调地址
用户在OAuth2服务器上选择是否授权用户给予授权,OAuth2服务器重定向到第一步给定的回调地址,同时附上 Authorization Code,
回调地址所在服务器带上 Authorization Code和client_id,向OAuth2服务器申请 access_token 和 refresh_token,可通过这两个token去换取资源
OAuth2服务器返回 access_token 和 refresh_token
第二种:

用户在客户端上点击要哪个系统的OAuth2来认证,此时客户端附上回调地址
用户在OAuth2服务器上选择是否授权
用户给于授权,OAuth2服务器重定向到第一步给定的回调地址,并且附上 access_token 和 refresh_token
第三种: 用户直接输入用户名和密码,这种情况针对自家的APP或者100%信任的APP可以这么干

第四种: 客户端自带认证,用户向客户端认证就可以

嘻嘻哈哈111111
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Oauth2协议中如何对accessToken进行校验
飘渺Jam的博客
07-04 3785
大家好,我是飘渺。今天我们来聊聊oauth2.0的accesstoken校验逻辑。概述本文来自球友Never Sett* 的提问看完这个问题,我感觉读者对于accesstoken的校验逻辑不太清楚,所以特意写了这篇文章解释一下。首我们要知道Oauth2是一个授权协议,客户端访问某个被保护的资源之前需要通过认证服务器获取accesstoken,而后通过在请求头上带上a......
OAUTH2.0 需要授权码Authentication Code存在的真正原因
perry_x的专栏
09-06 6711
OAUTH2.0 有几种认证方式,最安全的是授权码模式 (Authentication code) 附:引用 OAUTH2.0 流程图: 图中用户/用户浏览器为资源的owner, 要访问的服务器(图中的中间部分)是OAuth Client, 图中右边为OAuth Server. 原因: 在上图的步骤4中, OAuth Server请求用户输入用户名和密码, 然后用户在浏览器输入用户名...
Oauth2的授权码模式中codetoken的关系
Speak999的博客
11-20 273
注意,第二步的token,是在你的浏览器里实现的,跳转内容,也会在浏览器的地址输入框中体现。这时候有人要问了,CODE如果泄露了怎么办,一般来说CODE只能兑换一次token,如果你获取CODE后,无法授权。会重新授权,那么之前token就无效了。答:浏览器第一次登录时,需要去授权中心认证,将用户ID和密码发送给内部门户系统,授权中心,授权中心会向会向后端发起请求1,请求1中request对象中携带sessionId,会重定向到去获取code,后端向授权网站发起请求获取token令牌,。
OAuth认证流程、Access Token以及Refresh Token简介
最新发布
C18298182575的博客
06-07 722
为 Refresh Token 是保存在客户端的服务器上的,当前的 Access Token 失效或者过期时,Refresh Token 就会去获取一个新的 Token,Refresh Token 也是一个对客户端不透明的字符串。很多的网站、APP 都弱化了甚至没有搭建属于自己的账号体系,而是使用其它社会化的第三方登陆的方式,比如在登陆某个网站的时候选择通过 github 或者微信、微博等方式登陆,这样不仅免去了用户注册账号的麻烦,还可以获取用户的好友关系来增强自身的社交功能。
【笔记】浅谈OAuth2 accessToken和OIDC idToken的理解和使用场景
热门推荐
LeoSong121的博客
04-02 1万+
前言 OAuth2 官网:https://oauth.net/2/ OIDC:Open ID Connect 官网:http://openid.net/connect/ What is OpenID Connect? OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User bas
手把手OAuth2授权码模式(Authorization Code
xuejianxinokok的专栏
04-30 6148
手把手入门OAuth2授权码模式(Authorization Code) 1.简单介绍 OAuth2 授权码模式模式基本上是用用户凭证获取token 后来获取资源的访问权限。其交互步骤如下图: 交互过程如下: 用户在客户端程序上操作某些功能希望从资源服务器获取数据 客户端程序重定向浏览器请求到授权服务器要求授权,在重定向之前客户端程序会给授权服务器传递一个参数作为回调地址 授权服务器请求用户同意,这个步骤一般需要用户登录,如果已经登录则可能弹出一个交互页面请求用户同意授权 用户决定同意授权 授权服务器
oauth2登录认证用户Principal,获取token
qq_40289611的博客
11-06 1219
oauth2登录获取token,认证用户Principal,endpoints的映射pathMapping("/oauth/token","/ogin")
oauth2获取access_token1
08-08
OAuth2 获取 access_token 的几种方式 在 OAuth2 协议中,获取 access_token 是一个非常重要的步骤。 access_token 是客户端访问资源服务器的唯一凭证,用于身份验证和授权。下面将详细介绍 OAuth2 获取 access_...
OAuth2获取token报错invalid stream header
12-14
在整合springcloud gateway、eureka、security、OAuth2的时候,采用授权码模式,用授权码去访问/oauth/token获取token时,遇到invalid stream header异常。 解决方法: 检查需要创建的OAuth2的几张表:oauth_access_...
使用java代码获取新浪微博应用的access token代码实例
08-26
在本文中,我们将深入探讨如何使用Java代码获取新浪微博应用的Access TokenAccess TokenOAuth授权框架下用于访问受保护资源的密钥,它允许应用程序代表用户执行特定操作,如发布微博、读取用户信息等。在Java中...
shopify-token:轻松获取Shopify API的OAuth 2.0访问令牌
04-27
它提供了一些方便的方法,可在实现。 无需对服务器端体系结构进行任何假设,从而使该模块可以轻松适应任何设置。安装npm install --save shopify-token原料药该模块导出一个类,该类的构造函数带有一个options对象...
微信登录For ASP OAuth2.0接口 获取 OpenId Access_Token 头像昵称
12-12
本主题将深入探讨如何在ASP(Active Server Pages)环境中利用OAuth2.0接口实现微信登录,并获取用户的OpenId、Access_Token以及个人资料如头像、昵称和性别等信息。 首OAuth2.0是授权框架,它允许第三方应用在...
Oauth2系列2:授权码模式
weigeshikebi的博客
05-22 9005
Oauth2系列2:授权码模式
spring security oauth2 跳过授权步骤属性autoApprove
cauchy6317的博客
12-13 8362
   
Spring Boot+OAuth2,如何自定义返回的 Token 信息?
江南一点雨的专栏
04-28 1万+
在本系列前面的文章中,正常情况下,OAuth2 返回的 access_token 信息一共包含五项: 分别是: access_token token_type refresh_token expires_in scope 具体如下: { "access_token": "b9c9e345-90c9-49f5-80ab-6ce5ed5a07c9", "token_type": "...
【全栈开发指南】OAuth2授权获取token调试接口的方式
全栈程序猿的专栏
07-07 8061
在我们实际应用接口的调用调试过程中,需要用到token或者刷新token,GitEgg支持OAuth2.0协议进行认证授权,这里介绍说明如何通过Postman获取token和refresh_token并进行接口调试。
Spring Security OAuth2根据授权码获取Token源码
weixin_45795312的博客
07-06 2312
OAuth2根据授权码获取Token
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权
你今天真好看呀
11-10 4272
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类中的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类中的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
Spring Security Oauth2.0认证授权
IT_Carter的博客
11-02 3068
Spring Security Oauth2.0认证授权 Spring Security:安全框架 OAuth2.0:用于分布式认证授权 JWT:与OAuth2.0相关的令牌 1、基本概念 1.1什么是认证 输入账号和密码登录微信的过程就是认证 判断用户身份合法的过程 系统为什么要认证 保护系统隐私数据和资源 1.2什么是会话 为了避免用户的每次操作都进行认证可将用户的信息保存在会话中 保持当前用户登录状态所提供 的机制 输入支付密码,是二次认证 会话的2种方式 1:基于se
spring security oauth2 怎么用codeaccess_token
06-10
使用Spring Security OAuth2进行code换取access_token的步骤如下: 1.客户端向认证服务器发出授权请求,包括客户端ID、访问范围、重定向URI和response_type=code参数。 2.认证服务器对用户进行认证,如果用户认证通过,认证服务器将生成授权码(code)。 3.认证服务器将授权码(code)发送给客户端重定向URI中。 4.客户端收到授权码(code)后,使用code和client_secret向认证服务器请求access_token。 5.认证服务器验证code和client_secret,如果验证通过,将生成access_token。 6.客户端收到access_token后,即可使用该token访问受保护的资源。 示例代码如下: ``` RestTemplate restTemplate = new RestTemplate(); MultiValueMap<String, String> params= new LinkedMultiValueMap<>(); params.add("grant_type", "authorization_code"); params.add("code", code); params.add("redirect_uri", redirectUri); params.add("client_id", clientId); params.add("client_secret", clientSecret); HttpHeaders headers = new HttpHeaders(); headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED); HttpEntity<MultiValueMap<String, String>> requestEntity = new HttpEntity<>(params, headers); ResponseEntity<String> responseEntity = restTemplate.postForEntity(tokenUrl, requestEntity, String.class); ``` 其中,code是授权码,redirectUri是客户端重定向URI,clientId和clientSecret是客户端ID和密钥,tokenUrl是认证服务器的地址。授权服务器将返回一个JSON格式的字符串,其中包含access_token等信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值