OAuth2.0授权协议与客户端授权码模式详解

最新推荐文章于 2024-09-22 19:29:03 发布
最新推荐文章于 2024-09-22 19:29:03 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: 核心知识点 Spring Security 文章标签: 系统安全 web安全 安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31960623/article/details/120721914
版权
OAuth2.0是互联网开放平台广泛使用的授权协议,确保用户信息安全。本文介绍了OAuth2.0的角色定义和四种授权模式:授权码模式、简化模式、密码模式和客户端模式,以及它们各自适用的场景。授权码模式适用于有服务器应用,简化模式适合纯静态页面,密码模式用于内部系统,客户端模式则在内部API调用中使用。理解这些模式有助于在不同系统间安全地实现资源访问。
摘要由CSDN通过智能技术生成

本文来重点讲解下OAuth2.0授权协议与客户端授权码模式

文章目录

什么是OAuth协议

2012年10月,OAuth 2.0协议正式发布为RFC 6749。现在百度开放平台,腾讯开放平台等大部分的开放平台都是使用的OAuth 2.0协议作为支撑。OAuth是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。

OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 OAuth是安全的。OAuth 是 Open Authorization 的简写

交互过程

在OAuth 2.0的认证和授权的过程中主要包括以下角色定义:

  • Resource owner: 资源所有者(通常指用户或者提供资源服务的平台)
  • Resource server:资源服务器(托管受保护资源的服务器)
  • Client:客户端(浏览器、APP)
  • Authorization server:授权服务器(颁发访问令牌、验证令牌、刷新令牌)

OAuth 在 “客户端” 与 “服务提供商” 之间,设置了一个授权层(authorization layer)。“客户端” 不能直接登录 “服务提供商”,只能登录授权层,以此将用户与客户端区分开来。“客户端” 登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。“客户端” 登录授权层以后,“服务提供商” 根据令牌的权限范围和有效期,向 “客户端” 开放用户储存的资料。

在这里插入图片描述

以下为QQ的授权页面,采用的是授权码模式

在这里插入图片描述

客户端授权模式

授权码模式

适用于有自己的服务器的应用,它是一个一次性的临时凭证,用来换取 access_token 和 refresh_token。一旦换取成功,code 立即作废,不能再使用第二次。

  • 用户请求网站,如:www.tangyuewei.com
  • 重定向到一个授权页面
  • 用户同意授权
  • 重定向到应用的一个回调地址,如:www.tangyuewei.com/recieve_token?code=123
  • 用code换取access_token和refresh_token

授权码模式(功能最完整、流程最严密的授权模式,通常使用在公网的开放平台中)

简化模式

简化模式适用于纯静态页面应用。该模式下,access_token 容易泄露且不可刷新。不安全,适用于纯静态页面应用

  • 用户请求网站,如:www.tangyuewei.com
  • 重定向到一个授权页面
  • 用户同意授权
  • 重定向到网站,并带上access_token如:www.tangyuewei.com?access_token=123
  • 获取到资源服务器的资源

密码模式

用户向客户端提供自己的用户名和密码,向 “服务商提供商” 换取 access_token 。一般在内部系统中使用,调用者是以用户为单位

在这里插入图片描述

客户端模式

如第三方,或者调用者是一个后端的模块,没有用户界面的时候,可以使用客户端模式。鉴权服务器直接对客户端进行身份验证,验证通过后,返回 token。一般在内部系统之间的API调用。两个平台之间调用。调用者是以平台为单位

在这里插入图片描述

接入公司内部系统

后台管理系统

后台系统之间资源互相访问,如:日志模块,发邮件模块,发短信模块等(平台资源)。

需要引用相关模块的系统可采用客户端模式授权

前台业务系统

前台系统之间资源互相访问,如:用户信息,模块等(用户资源)。

需要引用相关模块的系统可采用密码模式授权

本文小结

综合上述模式及认证流程,个人觉得以下场景可以考虑引入Oauth 2.0认证:

  • 系统敏感资源服务进行安全认证及资源保护工作
  • 多个服务的统一登录认证中心、内部系统之间受保护资源请求
  • 将受保护的用户资源授权给第三方信任用户
  • 以后要做开发平台类似百度开放平台,腾讯开放平台
wh柒八九
关注
专栏目录
Spring Security OAuth2根据授权获取Token源
weixin_45795312的博客
07-06 2384
OAuth2根据授权获取Token
OAuth2.0授权模式实战教程
kkchenjj的博客
07-17 1148
重定向用户至授权服务器:客户端应用将用户重定向到授权服务器的授权端点。用户授权:用户在授权服务器上登录并授权客户端应用访问其资源。授权返回:授权服务器将用户重定向回客户端应用,并附带一个授权。交换访问令牌:客户端应用使用授权授权服务器请求访问令牌。
OWIN实现OAuth 2.0 之客户端模式(Client Credential)
12-26
把自己的理解加上吧。 认证服务生成token时可以加一个节点machineKey,这样资源服务也需要加一个machineKey才能识别该token。那么我不加这个machineKey就不能生成token?不能访问资源服务吗?当然不是,machineKey节点是可选的,即便是不加machineKey也会产生token,也能够被资源服务识别。但是会存在一个安全问题:比方说Token1是加了配置节点生成的,Token2是不加machineKey生成的;测试证明,我们使用Token1访问资源服务2是能够访问的,而Token2访问资源服务1则不能访问。换句话说,如果你的项目使用OWIN实现OAuth 2.0 之客户端模式,但是没有配置machineKey,也没有在认证服务中自定义认证。那么我就可以利用OWIN实现OAuth 2.0 之客户端模式的基本原理生成一个token,你会发现我这个token居然能够访问你们公司的资源服务。所以如果我们使用OWIN实现OAuth 2.0 之客户端模式,尽量保证两点: (1)增加machineKey配置,这个可以理解为token的秘钥。 (2)在认证服务中添加自定义的认证。 3、认证服务和资源服务需要启动或者直接建立成站点启动,才可以被客户端访问到。
OAuth2.0认证授权协议
最新发布
qq_41893505的博客
09-22 1182
OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。互联网应用中最常见的 OAuth2 就是各种第三方登录,例如:QQ 授权登录、微信授权登录等。它们允许用户通过 QQ 或微信账号来登录其他网站或应用,而不需要为这些网站或
OAuth2.0认证之客户端模式
kong7828675的博客
10-10 1812
摘要:OAuth 协议是针对提供给第三方进行认证登陆的 ,目前非常流行该种认证授权方式 , OAuth 认证方式共分为四种,分别是:客户端模式授权模式、密模式、简易模式。 我们可以从各大互联网巨头身上找到 OAuth 的影子,如:微信公众号、支付宝、快递鸟、CSDN等等。这一次我们将认识并了解其中的客户端模式 , 或者叫凭证模式 , 该模式非常的容易理解,且实用性相对较广。 一 使用场景 当对于我们针对一个非常信任的第三方去登陆时 , 可以采用这种模式。 例如:某服务方授权给第三方服务调用本地Op.
OAuth 2.0 客户端类型
qq_33240556的博客
06-17 601
选择合适的客户端类型和授权类型是确保OAuth 2.0授权流程安全性和适用性的关键。了解机密客户端和公共客户端的区别,以及它们各自适用的场景,可以帮助开发人员设计安全、可靠的授权机制。
Oauth2.0的四种模式
qq_37457564的博客
07-25 2242
1. 授权模式 (1)资源拥有者打开客户端客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize? client_id=p2pweb&response_type=code&scope=app&redirect_uri=http://xx.xx/notify 参数列表如下: client_id:客户端接入标识。 response_type:授权模式固定为code。 scope:客户端权限
OAuth2.0概述
热门推荐
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
php oauth2.0认证登陆,理解OAuth2.0认证与客户端授权模式详解
weixin_42393829的博客
03-10 854
一、什么是OAuth协议OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth授权不会使第三方触及到用户的帐号信息(如用户名与密),即第三方无需使用用户的用户名与密就可以申请获得该用户资源的授权,因此 OAuth安全的。OAuth 是 Open Authorization 的简写OAuth 本身不存在一个标准的实现,后端开发者自己根据实际的需求和...
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
Oauth2.0模式客户端及模拟服务端手动实现
07-18
Oauth2.0模式单点登录客户端及服务端实现,导入MAVEN工程,导入Client1-root ,包含7个子工程,client1-web,client2-web客户端项目,sessmgr是服务端,运行这3个项目 ,可测试单点登录功能
OAuth2.0授权模式详解客户端模式授权模式、密模式
"OAuth2.0的三种主要模式——客户端凭证模式授权模式和密模式的请求地址示例" OAuth2.0 是一个开放标准,用于授权第三方应用访问用户在另一服务上的资源,而无需获取用户的账号密。它通过不同模式确保安全...
OAuth2.0 - 简化模式、密模式客户端模式讲解
小毕超博客
01-16 9584
一、OAuth2.0 在上篇文章中我们已经对OAuth2.0 做了讲解,以及授权模式的认证过程,并且搭建了简单的认证服务和资源服务,由于上篇文章中我们只对授权模式这一种认证登录模式做了讲解,本篇文章对简化模式、密模式客户端模式这三种模式进行下演示和讲解,下面是上篇文章的地址: https://blog.csdn.net/qq_43692950/article/details/122521392 上篇文章的配制中,我们已经将所有的模式都放开给了c1这个客户id,所以在下面模式的演示中我们直接使用上
OAuth 2.0(四):手把手带你写代接入 OAuth 2.0 授权服务
weixin_34975714的博客
11-18 1463
手把手带你写代一步步接入 OAuth 2.0 授权服务
一文读懂Oauth2四种客户端授权模式
ningkangming的博客
06-27 2212
Oauth是一个关于授权(authorization)的开放网络工业标准,允许用户授权第三方应用访问用户存储在其它应用上的信息,而不需要将用户名和密提供给第三方应用或分享他们数据的所有内容,OAuth2.0OAuth协议的延续版本。 本文主要介绍Oauth2四种授权模式,包括授权模式、简化模式、密模式客户端模式
OAuth2.0 四种模式
m0_60492092的博客
06-28 1135
优点:access_token不会经过浏览器或移动端的App,而是直接从服务端去交换,这样就最大限度的减小了令牌泄漏的风险,安全性高。优点:不需要多次请求转发,额外开销,同时可以获取更多的用户信息。缺点:安全性无法保障,需要授权应用完全信任,且授权应用安全可靠。缺点:没有后台,授权暴露在前端,安全性无法保障。缺点:局限性,认证服务器和应用方必须有超高的信赖。优点:无用户参与,过程简单。
Oauth2认证模式授权模式实现
08-12 2127
Oauth2认证模式授权模式(authorization code) 本示例实现了Oauth2之授权模式授权模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。 阅读本示例之前,你需要先有以下两点基础: 需要对spring security有一定的配置使用经验,用户认证这一块...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值