OAuth 2.0的授权认证流程

最新推荐文章于 2025-03-22 23:00:39 发布
最新推荐文章于 2025-03-22 23:00:39 发布
阅读量5.1k 收藏 30
点赞数 25
文章标签: authing
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34068440/article/details/138201367
版权

1、Auth2.0 协议简介

2、OAuth 2.0的授权认证流程

            OAuth 2.0 的核心概念

            认证思路与流程

3、OAuth2.0 的四种模式

            授权码模式(authorization code)

            隐式授权模式(Implicit Grant)

        资源所有者密码凭证模式(Resource Owner Password Credentials Grant)

            客户端凭证模式(Client Credentials Grant)

4、相关文章

图片

Auth2.0 协议简介 

关于应用系统用户身份管理需求,包括身份认证、权限授权、单点登录、联合身份认证等业务场景,业界有一堆的标准和规范,比如单点登录的CAS、Kerberos,第三方身份认证OpenID,第三方用户授权OAuth,联合身份认证和授权数据标准SAML等。每种技术有各自的应用场景,也存在交叉场景,想要把他们搞清楚,需要了解各种技术的工作原理和应用场景。今天就从其中一个技术开始,对OAuth2.0用户授权框架做一个简单介绍,想对框架全面了解的可以参考框架的标准RFC6749。Oauth使用场景:

  • 第三方登录(确定登录的身份等信息)
  • API鉴权(确定请求方是否被许可)

在OAuth之前,HTTP Basic Authentication, 即用户输入用户名&密码的形式进行验证, 这种形式是不安全的。OAuth的出现就是为了解决访问资源的安全性以及灵活性。举一个通俗的例子,用户把照片、视频、联系人数据存储在内容托管云服务R(Resource)中的Picture、Video、Contact三个模块中;用户使用在线照片打印服务P(Printer),用户需要让P服务读取R服务中的照片进行打印,但不想让P服务读取R服务中的其他数据。传统方式下,用户只能向P服务提供R服务的用户名密码,P服务通过用户名密码登录R服务,读取照片,并且不能限制P服务读取的范围。使用OAuth框架,通过以下授权流程,在不暴露用户密码的情况下,向P服务授予有限的操作S服务的权限,整体流程如下:

  • 用户登录P服务,点击获取R服务权限的链接。
  • 浏览器跳转到R服务,用户登录R服务后,跳出向P服务授予权限的界面。
  • 用户选择授予Picture模块、只读、有效期1小时三个权限的授权选项,并提交。
  • 页面跳转回P服务,并携带R服务生产的授权码(Picture模块只读权限)。
  • P服务获得授权码,通过授权码(附加clint_id和client_secret)向R服务发起读取Picture模块请求。
  • R服务验证用户信息和授权码后,向P服务提供Picture的读取权限。

OAuth发展至今,共有三个版本,分别为:初始化版本OAuth1.0;漏洞修复版本OAuth 1.0a;不向后兼容的OAuth2.0版本。2.0版本主要是修复了前面版本的安全漏洞,对授权的流程进行了优化,提供了更丰富的使用场景,由于优化精简了授权的步骤,所以不能向后兼容。

图片

OAuth 2.0的授权认证流程 

OAuth 2.0 的核心概念

根据RFC描述,OAuth 2.0定义了4种服务角色,分别描述如下:

  • 资源所有者 Resource Owner,能够授予对受保护资源的访问权限的实体,当资源所有者是人员时,资源所有者就是最终用户。

  • 资源服务器 Resource Server,托管受保护资源的服务器,能够使用访问令牌(Access Token)接受和响应受保护的资源请求。

  • 客户端 Client,代表资源所有者,经其授权后向受保护资源发起请求的应用程序。

  • 授权服务器 Authorization Server,授权服务器对资源所有者进行认证并获取授权后,向客户端颁发访问令牌(Access Token)

在认证和授权的过程中涉及的一些概念:

访问令牌(access token)

访问令牌是在用户授权许可下,授权服务器下发给客户端的一个授权凭证,该令牌所要表达的意思是“用户授予该APP在多少时间范围内允许访问哪些与自己相关的服务”,所以访问令牌主要在 时间范围 和 权限范围 两个维度进行控制,此外访问令牌对于客户端来说是非透明的,外在表现就是一个字符串,客户端无法知晓字符串背后所隐藏的用户信息,因此不用担心用户的登录凭证会因此而泄露。

刷新令牌(refresh token)

刷新令牌的作用在于更新访问令牌,访问令牌的有效期一般较短,这样可以保证在发生访问令牌泄露时,不至于造成太坏的影响,但是访问令牌有效期设置太短存在的副作用就是用户需要频繁授权,虽然可以通过一定的机制进行静默授权,但是频繁的调用授权接口,之于授权服务器也是一种压力,这种情况下就可以在下发访问令牌的同时下发一个刷新令牌,刷新令牌的有效期明显长于访问令牌,这样在访问令牌失效时,可以利用刷新令牌去授权服务器换取新的访问令牌,不过协议对于刷新令牌没有强制规定,是否需要该令牌是客户端可以自行选择。

回调地址(redirect uri)

最低0.47元/天 解锁文章
Oauth 2.0授权流程
哒哒哒
12-04 552
最近业务原因接触到第三方授权的规范 第三方授权方式有很多种,比如每个平台都有相似之处但也有些差别 但是大都遵循Oauth 2.0这一套流程,至于是不是标准的Oauth 2.0就另外一说了 下面详细介绍一下Oauth 2.0授权流程(代码层面) 1.授权前提条件(以平台为例子) 1):一般现在平台建立应用其目的是获得平台对建立应用的唯一标识app_id 2):知晓授权的路径及相关规则
OAuth2.0 设备授权流程
new_ord的博客
10-04 974
OAuth 2.0 设备授权流程(Device Authorization Grant)专为输入受限设备设计,如智能电视、IoT设备。流程包括设备请求授权、用户在其他设备上完成授权、设备轮询授权状态,最后获取访问令牌。通过 Spring Security 和 Spring Authorization Server 实现设备授权,适用于物联网和智能设备场景。完整代码示例可在 GitHub 项目仓库中找到。
OAuth 2.0认证
最新发布
tatasix的博客
03-22 531
本文深入解析 OAuth 2.0 的核心概念,详细介绍四种授权模式,分析安全性问题和最佳实践,探讨实际应用场景。
OAuth2.0协议入门
Daniel462038751的专栏
10-20 2385
OAuth2.0 协议原理 OAuth 2.0 协议是一种三方授权协议,目前大部分的第三方登录与授权都是基于该协议的标准或改进实现。OAuth 1.0 的标准在 2007 年发布,2.0 的标准则在 2011 年发布,其中 2.0 的标准取消所有 Token 的加密过程,并简化了授权流程,但因强制使用 HTTPS 协议,被认为安全性高于 1.0 的标准。 一. 基础应用:第三方登录 ​ 对于 OAuth2.0 协议(以下简称 OAuth 协议)的第一次接触,我相信大部分开发者都是通过对接第三方登录
OAuth2认证流程
Relievedz的博客
03-16 7291
在前边我们提到微信扫码认证,这是一种第三方认证的方式,这种认证方式是基于OAuth2协议实现,OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。
【鉴权】深入理解 OAuth 2.0 授权流程
人生苦短,睡觉要紧,睡醒再说
11-05 2435
OAuth 2.0 提供了一种高效、安全的授权机制,允许用户在不暴露用户名和密码的情况下,授权第三方应用访问其受保护的资源。通过将身份验证与授权过程分离,OAuth 2.0 提供了更高的灵活性和安全性,尤其适用于大型应用和多方集成场景。在其授权流程中,核心步骤包括用户授权、客户端请求令牌、令牌交换以及资源访问等,确保了数据的安全传输和访问控制。然而,在实现 OAuth 2.0 时,必须特别关注安全性问题,如使用 HTTPS 协议保障数据传输安全、实现 CSRF 防护以及合理管理令牌的有效期。
OAuth2.0认证流程
Mr_g_j的博客
08-05 691
OAuth2.0认证流程   在OAuth2.0的处理流程,主要分为以下四个步骤:   1)得到授权码code   2)获取access token   3)通过access token,获取OpenID   4)通过access token及OpenID调用API,获取用户授权信息   上面是流程的大概四个步骤,在下面的流程示意图中会得到体现,这是我制作的一
基于Django2.1.2OAuth2.0授权登录
04-15
**基于Django 2.1.2OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
oauth2.0授权机制,授权
05-28
在Java开发中,Spring Security OAuth2.0框架是实现OAuth2.0授权机制的常见工具,尤其适用于构建分布式系统的单点登录(Single Sign-On, SSO)解决方案。 OAuth2.0的核心流程包括四个角色:资源所有者(Resource ...
webapi基于Owin中间件的oauth2.0身份认证
10-07
1. **安装Owin中间件**:在ASP.NET Web API项目中,首先需要通过NuGet包管理器安装`Microsoft.Owin.Security.OAuth`和`Microsoft.Owin.Security.Cookies`,这两个包分别用于OAuth2.0授权和Cookie认证2. **配置...
nodejs实现OAuth2.0授权服务认证
10-18
Node.js作为一款强大的服务器端JavaScript运行环境,非常适合用来实现OAuth2.0授权服务认证OAuth2.0的核心概念包括: 1. 第三方应用程序(Third-party application):即客户端,想要访问用户存储在服务提供商上...
OAuth2.0在项目中认证流程介绍
Leon_Jinhai_Sun的博客
05-10 486
Spring security Oauth2认证解决方案 本项目采用 Spring security + Oauth2完成用户认证及用户授权,Spring security 是一个强大的和高度可定制的身份验证和访问控制框架,Spring security 框架集成了Oauth2协议,下图是项目认证架构图: 1、用户请求认证服务完成认证2认证服务下发用户身份令牌,拥有身份令牌表示身份合法。 3、用户携带令牌请求资源服务,请求资源服务必先经过网关。 4、网关校验用户身份令牌的合法,不合法表示
SpringOAuth2授权流程分析
hungteshun的专栏
08-08 3311
SpringOAuth2授权流程分析
Oauth 2.0 认证流程
xinjiatao的专栏
01-09 319
    OAuth的思路: (A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获取资源。 (F)资源服务器确认令牌无误,同意向客户端开放资源。     OAuth认证   OAu...
OAuth 2.0——的授权授权流程
程序员阿皓的博客
05-04 531
OAuth 2.0——的授权授权流程
探索OAuth2.0授权过程
litblue'blog
03-29 410
简介 OAuth 2.0 一词中的 “Auth” 表示 “授权”,字母 “O” 是 Open 的简称,表示 “开放” ,连在一起就表示 “开放授权”。看到这里,肯定能想到还有OAuth1.0,且看1.0有什么不足之处: 在 OAuth 1.0 的时候,它有个 “很大的愿望” 就是想用一套授权机制来应对现实中的所有场景,比如 Web 应用场景、移动 App 应用场景、官方应用场景等等,但是这些场景并不是完全相同的。 到了OAuth2.0,就解决了1.0面临的这种尴尬。 OAuth 2.0 不再局限于一种
OAuth2.0协议流程授权模式、协议流程
m0_62019369的博客
01-05 1712
OAuth(Open Authorization)是一个关于授权authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。简化模式不通过第三方应用程序的服务器,直接在浏览器中向授权服务器申请令牌,跳过了"授权码"这个步骤,所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。(D)客户端收到授权码,附上早先的"重定向URI",向授权服务器申请令牌。
oauth2.0授权流程详解
weixin_33712987的博客
07-10 397
oauth2.0授权流程详解 授权模式 1)oauth2.0 提供了四种授权模式,开发者可以根据自己的业务情况自由选择。 授权授权模式(Authorization Code Grant) 隐式授权模式(简化模式)(Implicit Grant) 密码授权模式(Resource Owner Passwor...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

临水逸

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值