OAuth2协议

已于 2024-04-23 18:22:03 修改
阅读量958 收藏 5
点赞数 17
分类专栏: SpringBoot 文章标签: spring boot
于 2024-04-23 18:18:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32954567/article/details/138087794
版权

一.OAuth2.0协议核心概念

(1)OAuth2.0协议

OAuth协议一般用于用户决定是否把自己在某个服务商上面的资源(比如:用户基本资料、照片、视频等)授权给第三方应用访问。此外,OAuth2.0协议是OAuth协议的升级版,现在已经逐渐成为单点登录(SSO)和用户授权的标准。
不知道大家有没有发现,目前主流的互联网网站除了可以使用“用户名+密码”模式和“手机号+验证码”模式登录外,很多还提供了第三方账号登录,比如最常见的QQ登录、微博登录、百度账号登录、GitHub登录。而这些第三方登录方式就是采用了OAuth2.0协议实现。

(2)为什么使用OAuth2.0协议

第一,用户不再需要注册大量账号。
第二,用于单点登录 所有需要登录的产品都请求同一个登录授权中心,进行统一登录授权处理

(3)OAuth2.0协议涉及的几个角色

授权服务端应用(Authorization Server):服务提供商提供的专门用于处理授权的服务端应用,比如上面介绍的QQ登录、微博登录,当然也可以搭建自己的授权服务端,发放Access Token
资源服务应用(Resource Server):服务提供商存放用户及其他资源的应用,一般用于接口的形式返回第三方应用请求的资源。它可以与授权服务端属于同一个应用,也可以分别属于不同的应用。
用户(User):用户在授权服务端登录,授权服务端记录了用户的账户体系。当然,有的网站会在你通过第三方账号第一次登录成功后,要求绑定你的手机号并创建昵称,这就是他们在创建自己的账户体系(跟OAuth2.0协议无关,这里不作展开)了。
接入的第三方应用(Third-party Application):接入认证的第三方应用又被称为“客户端”,比如一个普通的网站、APP。

(4)几种授权模式

授权码模式(authorization code):四种授权中授权码方式是最为复杂,但也是安全系数最高的,比较常用的一种方式。这种方式适用于兼具前后端的Web项目,因为有些项目只有后端或只有前端,并不适用授权码模式。
简化模式(implicit):跳过了请求授权码(Authorization Code)的步骤,直接通过浏览器向授权服务端请求令牌(Access Token)。这种模式的特点是所有步骤都在浏览器中完成,Token对用户可见,且请求令牌的时候不需要传递client_secret进行客户端认证。
密码模式(resource owner password credentials):用户向第三方客户端提供自己在授权服务端的用户名和密码,客户端通过用户提供的用户名和密码向授权服务端请求令牌(Access Token)。

(5)授权码模式(authorization code)授权的流程

  1. 第三方应用请求用户授权;
  2. 用户同意授权,并返回一个授权码(code);
  3. 第三方应用根据授权码(code)向授权认证服务进行授权;
  4. 授权服务器根据授权码(code),校验通过,并返回给第三方应用令牌(Access Token);
  5. 第三方应用根据令牌(Access Token)向资源服务请求相关资源;
  6. 资源服务器验证令牌(Access Token),校验通过,并返回第三方所请求的资源。

二.使用授权码模式实现统一认证中心登录

(1)获取Authorization Code

其获取方式是通过重定向用户浏览器(或手机/桌面应用中的浏览器组件)到https://login.netease.com/connect/authorize地址,
并带上以下参数:

  1. client_id:必须参数,注册应用时获得的API Key。授权服务器发放
  2. response_type:必须参数,此值固定为“code”。
  3. redirect_uri:必须参数,授权后要跳转回调的URI,即接收Authorization Code的URI。
  4. scope:指定了客户端请求的权限范围(scope),身份信息(openid)、全名(fullname)、昵称(nickname)、邮箱(email)、员工号(empno)、区域代码(areacode)等。客户端请求的权限范围将影响授权服务器授予的访问令牌的权限。
  5. state:非必须参数,随机数

state说明:
OAuth中的state参数是用于防止CSRF(跨站请求伪造)攻击的一种安全机制。它是在进行OAuth认证请求时传递的一个随机值,由客户端生成并附加在认证请求中,然后在完成认证后由授权服务器返回给客户端。客户端在接收到授权服务器返回的响应时,需要验证返回的state值是否与发送时的值一致,以确保请求的合法性。
具体来说,state参数的使用方式如下:

  1. 生成随机值:客户端在发送认证请求之前,生成一个随机的state值,并将其附加在认证请求中。
  2. 传递给授权服务器:客户端将生成的state值作为参数附加在认证请求中,发送给授权服务器。
  3. 返回给客户端:授权服务器在认证完成后,将生成的state值作为参数附加在回调URL中返回给客户端。
  4. 验证state值:客户端接收到授权服务器返回的响应后,需要验证返回的state值是否与发送时的值一致。

(2)通过Authorization Code获取Access Token

https://login.netease.com/connect/token通过上面获得的Authorization Code,接下来便可以用其换取一个Access Token
带上以下5个必须参数:

  • grant_type:必须参数,此值固定为authorization_code。
  • code:必须参数,通过上面第一步所获得的Authorization Code。
  • client_id:必须参数,应用的API Key。授权服务器发放
  • client_secret:必须参数,应用的Secret Key。授权服务器发放
  • redirect_uri:必须参数,该值必须与获取Authorization Code时传递的redirect_uri保持一致。

响应数据包格式:

  • access_token:要获取的Access Token。
  • expires_in:Access Token的有效期,以秒为单位(30天的有效期)。
  • refresh_token:用于刷新Access Token 的 Refresh Token,所有应用都会返回该参数(10年的有效期)。
  • scope:Access Token最终的访问范围,即用户实际授予的权限列表(用户在授权页面时,有可能会取消掉某些请求的权限)。
  • session_key:基于http调用Open API时所需要的Session Key,其有效期与Access Token一致。
  • session_secret:基于http调用Open API时计算参数签名用的签名密钥。

(2)使用Access Token获取用户的基本资料

https://login.netease.com/connect/userinfo?access_token=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

拷贝忍者_
关注
  • 17
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security如何优雅的增加OAuth2协议授权模式
09-07
主要介绍了Spring Security如何优雅的增加OAuth2协议授权模式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
OAuth2.0协议中文版.pdf
03-27
OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
认证授权:OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3729
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密码提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
SpringCloud之SSO单点登录-基于Gateway和OAuth2的跨系统统一认证和鉴权详解
最新发布
踏雨歌青春,诗酒趁年华
05-29 1万+
本文详述了如何利用SpringCloud、Gateway和OAuth2实现跨系统的统一认证和鉴权。文章介绍了SSO单点登录的概念和优势,通过具体的配置和代码示例,讲解了如何搭建一个安全、高效的认证中心,实现用户只需一次登录即可访问多个系统的目标,从而提高系统安全性和用户体验。
“深入解析OAuth 2.0:帮你了解身份验证的详细逻辑“
d2916172682的博客
12-25 291
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版用户可以通过选择其他登录方式来使用gitee,这里就使用到了第三方认证。来自RFC 6749OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 8190
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
Oauth2协议
m0_53157173的博客
11-17 1489
Oauth2协议Oauth2简介角色常用术语令牌类型特点授权模式授权码模式(Authorization Code)简化授权模式(Implicit)密码模式(Resource Owner PasswordCredentials)客户端模式(Client Credentials)刷新令牌----令牌过期Spring Security Oauth2授权服务器Spring Security Oauth2架构Spring Security Oauth2授权码模式创建项目添加依赖编写配置类编写实体类编写Service编
OAuth2协议概述(四种模式)
欢迎光临
12-25 1386
一、什么是OAuth2 OAuth 2.0 是一个基于令牌 Token 的授权协议,通过它我们可以在不暴露账户和密码的情况下授予客户应用有限的数据访问权限。它解藕了认证和授权,同时它是事实上的安全框架,它能支持服务与服务,App、单页面应用与后端服务等很多应用场景。 不难理解,OAuth的作用就是让"客户端"安全可控地获取"用户"的授权。 OAuth2是用来允许用户授权第三方应用访问他在另一...
一篇文章带你认识 OAuth2
南淮北安的博客
09-29 950
文章目录一、什么是 OAuth2二、四种模式1. 授权码模式2. 简化模式3. 密码模式4. 客户端模式 一、什么是 OAuth2 Auth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。 OAuth2 是 OAuth 协议的下
还不了解Oauth2协议?这篇文章从入门到入土让你了解Oauth2以及Spring Security OAuth2 的使用
落雪
05-27 1235
SpringSecurityOAuth2学习和实战 1.OAuth2概述 1.1 什么是OAuth2 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及到用户密钥等信
OAuth2 工作流程详解
weixin_43632687的博客
06-06 901
OAuth
OAuth2标准文档(RFC6749)
12-11
OAuth2标准文档(RFC6749),访问不了文档源地址的可以从这里下载
oauth2.0协议
07-17
The OAuth 2.0 Authorization Framework, RFC 6749官方文档完整版,全书总共128页。
HiAuth:HiAuth是一个开源的基于Oauth2协议的认证,授权系统
03-11
HiAuth介绍HiAuth是一个开源的基于Oauth2协议的认证,授权系统,除标准的Oauth2授权流程功能外,还提供了应用管理,用户管理,权限管理。参考HiMall项目,你可以快速的启动一个微服务项目的框架搭建,亦可以在这里...
oauth2:ColdFusion CFC使用OAuth2协议管理身份验证
05-15
ColdFusion CFC,用于使用OAuth2协议管理身份验证。 基本组件 核心组件oauth2.cfc可用作大多数提供程序的独立OAuth2工具。 实例化组件并传递所需的属性,如下所示: var oOauth2 = new oauth2( client_id = '...
OAuth2学习(一)——初识OAuth2
热门推荐
Anumbrella
08-27 1万+
今天我们来讲解一下OAuth2,在平时应用中我们经常能够见到它的身影。比如,当微信小程序获取你的用户名和头像时需要你授予权限,以及当我们在网站上使用微信或QQ登录时也是使用到了OAuth2。接下来我们便来讲解一下OAuth2。 一、什么是OAuth2 OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 OAuth(开放授权)是一个关于授权的开放标准,允许用户授权第三方移动...
Oauth2协议详解&OAuth2.0 授权方式
qq_43842093的博客
05-03 1251
OAuth2是一个非常常用的协议,也非常的方便,主要目的就是使第三方服务器可以获得授权范围内的用户信息OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不兼容OAuth 1.0,即完全废止了OAuth1.0。
OAuth2】用户授权第三方应用,流程详解及模式
SAME_LOVE的博客
12-25 1680
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。OAuth通过提供一个授权令牌而不是用户名和密码来访问他们存储在服务提供者的数据。OAuth的核心是它的授权框架,允许基于代表资源所有者进行授权的访问控制。在OAuth术语中,资源所有者通常是指用户,而第三方应用则被称为客户端(Client),用户的数据被保存在服务提供者(Service Provider)处。
用java实现oauth2协议
08-14
### 回答1: OAuth 2.0 是一个开放的授权框架,它允许用户授权第三方应用访问他们存储在另一个服务提供者上的信息,而无需将用户名和密码提供给第三方应用或分享他们的账户与第三方应用。 要在 Java 中实现 OAuth 2.0,您需要: 1. 选择一个 OAuth 2.0 客户端库,例如 ScribeJava、Apache Oltu 或 Spring Security OAuth。 2. 注册您的应用程序与服务提供者。服务提供者将向您提供客户端 ID 和客户端密码,这些信息将用于身份验证。 3. 在您的应用程序中创建 OAuth2ClientContext 和 OAuth2ProtectedResourceDetails 对象,并使用客户端 ID 和客户端密码初始化它们。 4. 使用 OAuth2ClientContext 和 OAuth2ProtectedResourceDetails 对象构建 OAuth2RestTemplate 对象。 5. 使用 OAuth2RestTemplate 对象发出调用以访问受保护的资源。 以下是使用 ScribeJava 库的示例代码: ``` import com.github.scribejava.core.builder.ServiceBuilder; import com.github.scribejava.core.model.OAuth2AccessToken; import com.github.scribejava.core.model.OAuthRequest; import com.github.scribejava.core.model.Response; import com.github.scribejava.core.model.Verb; import com.github.scribejava.core.oauth.OAuth20Service; public class OAuth2Example { private static final String PROTECTED_RESOURCE_URL = "https://api.example.com/resource"; private static final String CLIENT_ID = "your_client_id"; private static final String CLIENT_SECRET = "your_client_secret"; public static void main(String[] args) { final OAuth ### 回答2: OAuth2是一种开放标准的授权协议,允许第三方应用程序以受限的方式获取用户在某个平台上的权限。在Java中,我们可以使用一些库和框架来实现OAuth2协议。 首先,我们可以使用Spring Security OAuth2来实现OAuth2协议Spring Security OAuth2提供了一系列的类和注解,帮助我们快速实现OAuth2的认证和授权流程。 我们首先需要配置OAuth2的客户端信息,包括client_id、client_secret和redirect_uri等。我们可以使用Spring Security OAuth2提供的`@EnableOAuth2Client`注解来启用OAuth2客户端。 接下来,我们需要实现OAuth2的授权码模式(authorization code grant)或者密码模式(password grant)。授权码模式需要用户手动授权,并将授权码发送给第三方应用程序。而密码模式则需要用户提供自己的用户名和密码。 对于授权码模式,我们可以使用Spring Security OAuth2提供的`AuthorizationCodeResourceDetails`类和`AccessGrant`类来处理获取授权码和访问令牌。我们可以使用`AuthorizationCodeResourceDetails`类设置授权码和令牌的相关信息,然后使用`AccessGrant`类来获取授权码和令牌。 对于密码模式,我们可以直接发送用户的用户名和密码,并使用Spring Security OAuth2提供的`UsernamePasswordResourceDetails`类和`AccessGrant`类来获取访问令牌。 在我们成功获取访问令牌之后,我们可以使用该令牌来访问受保护的资源。我们可以使用Spring Security OAuth2提供的`RestTemplate`类来发送HTTP请求并附带访问令牌。 综上所述,我们可以使用Spring Security OAuth2来实现OAuth2协议。通过使用Spring Security OAuth2提供的注解、类和方法,我们可以在Java中快速实现OAuth2的认证和授权流程。 ### 回答3: OAuth2是一种开放标准的授权协议,用于授权第三方应用程序访问用户资源。Java是一种强大的编程语言,可以用于实现OAuth2协议。下面是一个简单的示例,展示了如何使用Java实现OAuth2协议: 首先,需要使用Java开发工具包(JDK)进行开发。在Java中,可以使用Spring Security框架来实现OAuth2协议Spring Security提供了一套强大的安全框架,可以轻松地实现身份验证和授权功能。 其次,需要在Java中创建一个授权服务器。授权服务器负责验证用户的身份和颁发访问令牌。可以使用Spring Security OAuth2库来实现授权服务器。该库提供了一组注解和类,用于配置和管理OAuth2授权服务器。 然后,需要创建一个资源服务器。资源服务器负责处理受保护资源的请求,并验证OAuth2访问令牌的有效性。可以使用Spring Security OAuth2库来实现资源服务器。通过配置和注解,可以指定哪些资源需要被保护,并定义访问这些资源所需的权限。 最后,需要创建第三方应用程序。第三方应用程序将使用OAuth2协议来请求访问用户资源。可以使用Java的HTTP客户端库(如Apache HttpClient)来发送OAuth2授权请求,并处理授权服务器返回的访问令牌。 通过以上步骤,就可以使用Java实现OAuth2协议。Java提供了丰富的库和框架,使得实现OAuth2变得简单和灵活。使用Java进行开发,可以轻松地构建安全可靠的授权系统,保护用户的隐私和敏感数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值