OAuth2 授权协议

最新推荐文章于 2024-05-10 08:20:00 发布
最新推荐文章于 2024-05-10 08:20:00 发布
阅读量330 收藏
点赞数
文章标签: OAuth2

OAuth2授权标准

引自: [认证 & 授权] 1. OAuth2授权.。

OAuth2简介

OAuth2是一个开放授权标准,它允许让第三方应用访问该用户在某服务的特定私有服务

OAuth2的四个重要角色
  1. Resource Owner ,资源拥有者;
  2. Resource Server ,资源服务器;
  3. Client ,第三方客户端,指代任何可以消费资源服务器的第三方应用;
  4. Authorization Server ,授权服务器,管理Resource OwnerClientResource Server的三角关系的中间层。

OAuth2解决问题的关键在于使用Authorization server提供一个访问平局给Client,使得Client可以在不知道Resource owner在Resource server上的用户名和密码的情况下消费Resource owner的受保护资源。

部署OAuth2需要的完成的工作

由于OAuth2引入了Authorization server来管理Resource Owner,Client和Resource Server的三角关系,那么想要用上OAuth2,是实现以下功能的。

  1. 增加一个Authorization server,提供授权的实现,一般由Resource server来提供。
  2. Resource server为第三方应用程序提供注册接口。
  3. Resource server开放相应的受保护资源的API。
  4. Client注册成为Resource server的第三方应用。
  5. Client消费这些API。

作为资源服务提供商来说,1,2,3这三件事情是需要完成的。
作为第三方应用程序,要完成的工作是在4和5这两个步骤中。
其中作为Resource owner来说,是不用做什么的,是OAuth2收益的千千万万的最终人类用户。

作为Client

在Client取得client_id和client_secret之后。使用这些信息来发起授权请求、获取access_token请求和消费受包含的资源。

OAuth2的授权流程

OAuth2的工作流程:
在上述OAuth完整流程中,(A) -> (B) -> © -> (D) 是授权的过程;(E) -> (F)是消费资源的过程。

  • (A) 发起授权请求;
  • (B) 返回授权许可;
  • © 使用授权许可向Authorization server发起请求;
  • (D) Authorization server验证身份和授权许可,发送访问令牌给Client;
  • (E) 用访问令牌请求资源服务器(Resource Server);
  • (F) 根据访问令牌返回客户端资源;
    这其中比较重要的一个该店是访问令牌它代表的信息是整个OAuth2的核心,也是ABCD这些步骤最终要得到的信息。

OAuth2的4种授权许可

授权许可是一个代表资源所有者授权(访问收保护资源)的凭据,客户端用它来获取访问令牌。即,授权许可是资源拥有者授予客户端获取资源访问令牌的一个凭据。

OAuth2定义了四种许可类型以及用于定义其他类型的可扩展性机制:

  1. Authorization Code: 授权码;
  2. Implicit: 隐式许可;
  3. Resource Owner Password Credentials: 资源所有者密码凭据;
  4. Client Credentials:客户端凭据;
Authorization Code

这是OAuth2最常用的一种授权许可类型。要求Client具体可公开访问的Server服务器来接受Authoriation Code,具体的流程如下:
Authoriation Code

  • (A) Client使用浏览器(用户代理)访问Authorization server。也就是用浏览器访问一个URL,这个URL是Authorization server提供的,访问的时候Client需要提供(客户端标识,请求范围,本地状态和重定向URL)这些参数。
  • (B) Authorization server验证Client在(A)中传递的参数信息,如果无误则提供一个页面供Resource owner登陆,登陆成功后选择Client可以访问Resource server的哪些资源以及读写权限。
  • © 在(B)无误后返回一个授权码(Authorization Code)给Client。
  • (D) Client拿着©中获得的授权码(Authorization Code)和(客户端表示、重定向URL等信息)作为参数,请求Authorization server提供的获取访问令牌的URL。
  • (E) Authorization server返回访问令牌和可选的刷新令牌已经令牌有效时间等信息给Client。
Authorization Request

对应步骤(A),客户端土工以下参数请求Authorization Server:

  1. response_type:必选。值固定为"code"。
  2. client_id:必选。第三方应用的标识ID。
  3. state:推荐。Client提供的一个字符串,服务器会原样返回给Client。
  4. redirect_uri:必选。授权成功后的重定向地址。
  5. scope:可选。表示授权范围。

示例如下:

GET /authorize?response_type=code&client_id=1&state=xyz&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Foauth2&scope=user,photo HTTP/1.1
Host: server.example.com
Authorization Response

对应步骤©,Authorization Server会返回如下信息:

  1. code:授权码。
  2. state:步骤(A)中客户端提供的参数原样返回。
    比如示例如下:
 HTTP/1.1 302 Found
 Location: https://client.example.com/oauth2code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

Location头部指向步骤(A)提供的redirect_uri地址,同时携带code信息和state信息给client,这样浏览器在重定向的时候就会以GET的方式访问Client提供的redirect_uri,同时Client接收到code信息和state信息。下一步就可以请求access_token了。

Access Token Request

对应步骤(D),客户端提供以下参数请求Authorization Server:

  1. grant_type:必选。固定值"authorization_code"。
  2. code:必选。Authorization Response中响应的code。
  3. redirect_uri:必选。必须和Authorization Request中提供的redirect_uri相同。
  4. client_id:必选。毕珣和Authorization Request中提供的client_id相同。
    示例如下:
POST /token HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=123&client_id=1&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Foauth2
Access Token Response

对应步骤(E),Authorization Server会返回如下典型的信息:

  1. access_token:访问令牌。
  2. refresh_token:刷新令牌。
  3. expires_in:过期时间。
    示例如下:
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8

{
   "access_token":"2YotnFZFEjr1zCsicMWpAA",
   "token_type":"example",
   "expires_in":3600, 
   "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", 
   "example_parameter":"example_value"
}
Implicit

这个是Authorization Code的简化版本。其中省略了拌饭授权码(Authorization Code)给客户端的过程,而是之间返回访问令牌和可选的刷新令牌。其适用于没有Server服务器来接受处理Authorization Code的第三方应用,其流程如下:
在这里插入图片描述
和Authorzation Code类型下重要的区分就是省略了Authorzation Respongse和Access Token Request。而是直接由Authorzation Request返回Access Token Response信息,具体如下。

Authorization Request

客户端提供以下参数请求Authorization Server:

  1. response_type:必选。值固定为“token”。
  2. client_id:必选。第三方应用的标识ID。
  3. state:推荐。Client提供的一个字符串,服务器会原样返回给Client。
  4. redirect_uri:可选。授权成功后的重定向地址。
  5. scope:可选。表示授权范围。
    重点区别在于response_type为“token”,而不再是“code”,redirect_uri也变为了可选参数。
    示例如下:
GET /authorize?response_type=token&client_id=1&state=xyz&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Foauth2&scope=user,photo HTTP/1.1
Host: server.example.com
Access Token Response

Authorization Server会返回如下典型的信息:

  1. access_token:访问令牌。
  2. refresh_token:刷新令牌。
  3. expires_in:过期时间。

示例如下:

HTTP/1.1 302 Found
Location: http://client.example.com/oauth2#access_token=2YotnFZFEjr1zCsicMWpAA&state=xyz&expires_in=3600

注意其和Authorization Code的最大区别在于它是把token信息放在了url的hash部分(#后面),而不是作为参数(?后面)。这样浏览器在访问重定向的Location指定的url时,就不会把这些数据发送到服务器。而Client可以通过读取Location头信息中获取到access_token信息。

Resource Owner Password Credentials Grant

在这里插入图片描述

这种模式再一步简化,和Authorzation Code类型下重要的区分就是省略了Authorization Request和Authorization Response。而是Client直接使用Resource owner提供的username和password来直接请求access_token(直接发起Access Token Request然后返回Access Token Response信息)。这种模式一般适用于Resource server高度信任第三方Client的情况下。
客户端提供以下参数请求Authorization Server:

  1. grant_type:必选。值固定为“password”。
  2. username:必选。用户登陆名。
  3. passward:必选。用户登陆密码。
  4. scope:可选。表示授权范围。

示例如下:

POST /token HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=password&username=blackheart&password=1234

Access Token Response和Authorization Code一致,就不列出来了。

Client Credentials Grant

这种类型就更简化了,Client直接以自己的名义而不是Resource owner的名义去要求访问Resource server的一些受保护资源。
在这里插入图片描述
客户端提供以下参数请求Authorization Server:

  1. grant_type:必选。值固定为“client_credentials”。
  2. scope:可选。表示授权范围。

示例如下:

POST /token HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials

OAuth2刷新令牌

在上述得到访问令牌(access_token)时,一般会提供一个过期时间和刷新令牌。以便在访问令牌过期失效的时候可以由客户端自动获取新的访问令牌,而不是让用户再次登陆授权。那么问题来了,是否可以把过期时间设置的无限大呢,答案是可以的。如下是刷新令牌的收客户端需要提供给Authorization Server的参数:

  1. grant_type:必选。固定值“refresh_token”。
  2. refresh_token:必选。客户端得到access_token的同时拿到的刷新令牌。

示例如下:

 POST /token HTTP/1.1
 Host: server.example.com

 grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA

响应信息和 Access Token Response保持一致。

Token传递方式

在第三方Client拿到access_token后,如何发送给Resouce Server这个问题并没有在RFC6729种定义,而是作为一个单独的RFC6750来独立定义了。这里做以下简单的介绍,主要有三种方式如下:

  1. URI Query Parameter.
  2. Authorization Request Header Field.
  3. Form-Encoded Body Parameter.
URI Query Parameter

这种使用途径应该是最常见的一种方式,非常简单,比如:

GET /resource?access_token=mF_9.B5f-4.1JqM HTTP/1.1

Host: server.example.com

在我们请求受保护的资源的Url后面追加一个access_token的参数即可。另外还有一点要求,就是Client需要设置以下Request Header的Cache-Control:no-store,用来阻止access_token不会被Web中间件给log下来,属于安全防护方面的一个考虑。

Authorization Request Header Field

因为在HTTP应用层协议中,专门有定义一个授权使用的Request Header,所以也可以使用这种方式:

GET /resource HTTP/1.1
Host: server.example.com
Authorization: Bearer mF_9.B5f-4.1JqM

其中"Bearer "是固定的在access_token前面的头部信息。

Form-Encoded Body Parameter

使用Request Body这种方式,有一个额外的要求,就是Request Header的"Content-Type"必须是固定的“application/x-www-form-urlencoded”,此外还有一个限制就是不可以使用GET访问,这个好理解,毕竟GET请求是不能携带Request Body的。

POST /resource HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded

access_token=mF_9.B5f-4.1JqM

OAuth2的安全问题

在OAuth2早期的时候爆发过不少相关的安全方面的漏洞,其实仔细分析后会发现大都都是没有严格遵循OAuth2的安全相关的指导造成的,相关的漏洞事件百度以下就有了。

其实OAuth2在设计之初是已经做了很多安全方面的考虑,并且在RFC6749中加入了一些安全方面的规范指导。比如

要求Authorization server进行有效的Client验证;
client_serect,access_token,refresh_token,code等敏感信息的安全存储(不得泄露给第三方)、传输通道的安全性(TSL的要求);
维持refresh_token和第三方应用的绑定,刷新失效机制;
维持Authorization Code和第三方应用的绑定,这也是state参数为什么是推荐的一点,以防止CSRF;
保证上述各种令牌信息的不可猜测行,以防止被猜测得到;
安全无小事,这方面是要靠各方面(开放平台,第三方开发者)共同防范的。如QQ互联的OAuth2 API中,state参数是强制必选的参数,授权接口是基于HTTPS的加密通道等;同时作为第三方开发者在使用消费这些服务的时候也应该遵循其相关的安全规范。

吃了个奇怪的蘑菇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
delete请求怎么传参数_更优雅的HTTP请求方式
weixin_39850697的博客
11-29 6749
四个文件一篇文,一个工具一框架 工具:axios 框架:vue为例四个文件└─api.js 存放所有的接口请求axios.js 请求拦截处理fetch.js 对axios请求的二次封装request.js管理请求方式get post put delete...axios.jsimport 创建一个axios实例,定义baseURL,也可以使用process.env.NODE_ENV来做开发环境和生...
OAuth2协议认证流程
weixin_49071539的博客
11-23 790
OAuth 授权所需信息 1.应用名称 2.应用网站 3.重定向URI或回调URL(redirect_uri) 4.客户端标识client_id 5.客户端密钥client_secret 点击授权--------->地址栏信息: https://abcdefg.com/abcd123/12432154321?client_id=15342534dfgtwa&redirect_url=https:1243324fdqwrdf&response_type=code&state=1
理解ouath2.0--实现过程、4种授权模式、安全事项以及解决重定向过程中参数丢失的问题
samur2的博客
06-05 981
sfdr
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 4443
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
OAuth2.0授权标准详解,OAuth2.0四种授权模式详解
最新发布
秃了也弱了
05-10 3641
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。
微信小程序上传图片(wx.chooseImage和wx.uploadFile)
qq_23159841的博客
08-27 1198
util.js const TOKENNAME = 'Authori-zation'; /* * 单图上传 * @param object opt * @param callable successCallback 成功执行方法 data * @param callable errorCallback 失败执行方法 */ const uploadImageOne=function (opt, successCallback, errorCallback) { let count = opt..
OAuth2.0概述
热门推荐
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
oAuth2用户授权认证
hearth_b的博客
07-26 925
一、用户认证与授权 1、什么是用户身份认证 用户身份认证即用户去访问系统资源对系统要求验证用户的身份信息,身份合法可继续访问,常见的用户认证表现形式有: 用户名密码登录,指纹打卡等方式 2、什么是用户授权? 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源无法访问, 这个过程叫做授权。 二、单点登录需求 项目包括很多个子项目,如:学习系统,教学管理中心,系统管理中心等,为了提高用户体验性需要实现用户只认证一次便可以在 多个拥有访问权限的系
OAuth 2.0授权协议详解
10-25
主要介绍了OAuth 2.0授权协议详解,本文对OAuth协议做了详解讲解,对OAuth协议的各个方面做了分解,读完本文你就会知道到底啥是OAuth了,需要的朋友可以参考下
10.OAuth2授权的使用
01-01
OAuth 2.0是用于授权的行业标准协议,提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 以下是OAuth2相关的名词解释: * Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码...
Spring Security如何优雅的增加OAuth2协议授权模式
09-07
本文将探讨如何在Spring Security中优雅地增加OAuth2协议授权模式,以应对各种复杂的业务需求。 在Spring Security中,OAuth2的四种标准授权模式包括: 1. 授权码模式(Authorization Code):适用于有后台服务器...
12.OAuth2授权之基于JWT完成单点登录
01-01
OAuth2授权是一种industry标准的授权协议,用于对第三方应用程序的访问控制。OAuth2授权协议可以实现单点登录功能,即用户只需登录一次,即可访问多个需要登录的系统。 在本文中,我们将使用Spring Cloud Security...
Spring Security OAuth2认证授权示例详解
08-25
通过以上讲解,我们可以看到Spring Security OAuth2如何帮助开发者构建安全的认证和授权系统,以及如何使用OAuth2授权协议来保护用户数据。理解这些概念和配置细节对于开发涉及用户数据交换和安全访问控制的现代Web...
OAuth2权限认证(第三方登录)——70%
qq_53207874的博客
03-25 490
OAuth 2.0是一种用于授权的开放标准,通常用于用户允许第三方应用访问其在另一个服务提供者上存储的信息,而无需将用户名和密码提供给第三方应用。OAuth 2.0协议允许用户授权第三方应用访问他们在另一个服务提供者上持有的资源,例如照片、视频、个人资料等。在OAuth 2.0流程中,涉及以下几个主要角色:资源所有者:即用户,拥有资源的最终所有者,可以授权第三方应用访问他们的资源。客户端:即第三方应用,希望访问用户的资源。
spring Oauth2-Authorization-Server client_secret_basic流程
面朝大海,春暖花开
05-04 2387
Spring Oauth2-Authorization-Server client_secret_basic 过程 基于 spring-security-oauth2-authorization-server 0.2.3 OAuth2ClientAuthenticationFilter 对 client_id 和 client_secret 进行认证,目前支持四种: JwtClientAssertionAuthenticationConverter: Jwt 方式 ClientSecretBasicAut
微信小程序封装wx.request接口调用
qq_23159841的博客
08-27 829
1、判断登录是否过期(主要判断token、有效时间、是否登录的状态) 2、过期操作的流程获取cache_key缓存 执行成功的回调 (1)在用户授权成功的情况下调用wx.getUserInfo (2)将用户信息作为参数调用后端的登录接口,执行登录成功的回调重新保存token、userinfo、expiresTime(有效时间)、缓存wx.setStorage({key:'cache_key',data:res.data.cache_key}) config....
httprunner之业务解耦
weixin_67140608的博客
04-06 333
httprunner之实现业务解耦
vue-nuxt 登录鉴权
daddykei的博客
12-01 3138
vue-nuxt 登录鉴权介绍链接开始继续往代码中走autoFetchproxy配置请求拦截 介绍 来自mentor的梳理,做个总结和记录 链接 https://auth.nuxtjs.org/api/options/#cookie 开始 根据这个文档描述,在使用@nuxt/auth 后,如果没有显示指定cookie: false, 则auth token 会被默认存储在 cookie 里 (前面localstorage 也是一样) 所以在 login接口成功后,token 就会以 auth._tok
security,Oauth2登录后302重定向Location参数错误,Oauth2授权码模式直接获取access_token
weixin_44530390的博客
08-06 7334
首先我是通过zuul网关(9001)进行访问登录,auth认证服务器(9002)进行原生框架认证 网上给的常规测试都是通过下面的url http://192.168.2.18:9002/oauth/authorize?client_id=client&response_type=code, 然后会自动跳转到 /login 方法。 输入用户名和密码然后进行登录,在登录过程中会有一个响应头为:Location。如图: 但是当我们直接输入***http://192.168.2.18:9002
OAuth2授权协议学习及DotNetOpenAuth源码探究
总的来说,OAuth2作为一种开放认证协议,为用户提供了更安全、便利的授权机制,使得用户可以控制第三方应用访问自己的私密资源。通过深入研究OAuth2及DotNetOpenAuth的源码,不仅可以理解认证流程和各种角色的作用,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值