关于对Oauth2研究

最新推荐文章于 2023-05-08 10:57:27 发布
最新推荐文章于 2023-05-08 10:57:27 发布
阅读量220 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35703608/article/details/82791761
版权
本文详细解析了OAuth2的授权码模式和密码模式。授权码模式主要用于第三方登录授权,涉及客户端请求第三方授权、申请令牌和资源服务器授权等步骤。密码模式则直接使用用户凭证申请令牌,适用于信任的客户端。同时,介绍了学成网认证授权的具体流程,包括用户登录、令牌申请、资源服务授权等环节。
摘要由CSDN通过智能技术生成

授权码模式:

多用于第三方登录授权,比如微信登录、Facebook登录等。。

具体步骤:

客户端请求第三方授权

资源拥有者同意给客户端授权

客户端获取授权码,请求认证服务器申请令牌

认证服务器给客户端响应令牌

客户端请求资源服务器的资源

资源服务器返回受保护的资源

细节:

第一步获取授权码

客户端请求携带参数:

client_id:客户端id,和授权配置类中设置的客户端ID一致

response_type:授权码模式固定为code

scop:客户端范围,和授权配置类中设置的scop一致

redirect_uri:跳转uri,当授权码申请成功后会跳转到此地址,并在后边携带code参数(授权码)

进行登录认证、资源服务器同意授权、跳转uri携带授权码

第二步申请令牌

拿到授权码后申请令牌。

security框架提供申请令牌的接口,访问获取令牌

请求地址:http://localhost:40400/auth/oauth/token(ip和端口根据你项目启动而定)

参数如下:

grant_type:授权类型,填写authorization_code,表示授权码模式

code:授权码(就是刚才认证成功后获取的授权码,授权码使用一次就无效了需要重新认证)

redirect_uri申请授权码时候跳转的url,一定和申请授权码时用的一样

请求头中需要http basic认证。

(认证的目的是为了区分是哪个客户端。认证规则:将客户端id和客户端密码按照“客户端ID:客户端密码”的格式拼接,并用base64编码,放在header中请求服务端)

客户端Id和客户端密码会匹配数据库oauth_client_details表中的客户端id及客户端密码。

返回结果详解:

access_token:访问令牌,携带此令牌访问资源
token_type:有MAC Token与Bearer Token两种类型,两种的校验算法不同,RFC 6750建议Oauth2采用 Bearer
Token(http://www.rfcreader.com/#rfc6750)。
refresh_token:刷新令牌,

最低0.47元/天 解锁文章
纪昌干嘛呢
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Oauth2
分享身边生活经验blog
06-26 757
四、优化 优化点如下: 兼容性问题: 因为既要兼容原始登陆模块,又要兼容新建的管理员模块,所以需要判断是原始用户还是管理员用户。 验证token时需要判断是认证服务颁发的令牌还是老登陆系统颁发的令牌并分别验证。 分布式问题:ExceptionTransactionFilter中将request请求信息保存到session中,如果是分布式部署,会有访问不到session的问题发生。 异常返回问题:资源服务器自定义异常返回。 4.1 兼容性优化 生成令牌 逻辑 音箱作为第三方需要通过授
Oauth2学习笔记
zidieq的博客
01-03 982
直接上代码了,都是齐雷老师教的,本文为梳理笔记
JavaEE:SpringSecurity实现Oauth2认证
a526001650a的专栏
08-21 520
一、工程配置: 1.导入security与oauth2等一些依赖包: <dependencies> <!--mysql驱动--> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> </dependency> <!--web
T31Day19学习笔记OAuth2
努力奔赴未来
11-16 255
OAuth2 学习内容·理论 前后端分离下的SSO设计 基于RBAC的权限系统设计 spring security oauth2 产出结果 项目购票功能接口文档 Oauth 用在哪? 快递小哥送货上门 快递员授权机制设计 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pwIjNiF8-1637041127276)(C:\Users\Zyf\Desktop\T31作业\Day19笔记\19.assets\image-20211113200931040.png)] 滴滴管
孤尽班第九次课-- OAuth2
weixin_44681349的博客
11-14 878
孤尽班第九次课-- OAuth2 Oauth2.0 和 1.0 的区别 OAuth2.0 有四种授权模式 OAuth1.0 有一种授权模式 OAuth2 授权模式 1. 授权码模式 最完整和严谨的授权模式,第三方平台登录都是此模式 安全性最高 2. 简化模式 省略授权码阶,客户端是静态页面采用此模式 3. 密码模式 把 用户名密码告诉客户端,对客户高度信任,比如客户单和认证服务器是同一公司 4. 客户端模式 直接以客户端名义申请令牌,很少用 为什么要用OAuth2 Cookie sessi
SpringSecurity OAuth2 生成JWT
clonetx的博客
05-26 1180
在《SpringSecurity之OAuth2 令牌accessToken的生成过程_clonetx的博客-CSDN博客》中我们分析了access_token生成整体流程的源码,最终提到了accessTokenEnhancer.enhance(token, authentication)方法。 而说到转换token,最普遍的就是转成 jwt 了。 1 jwt jwt共分为三部分组成,header、payload、signature,即头、体、签名;其结构如下,使用英文句......
oauth2密码模式java版
12-12
总的来说,实现OAuth2密码模式的Java版本需要对OAuth2协议有深入理解,并熟悉Spring Security OAuth2框架的使用。服务端和客户端的代码需要紧密配合,确保用户资源的安全访问。提供的client1-root文件可能是客户端的...
微服务结合Oauth2资料.zip
12-26
OAuth2则是一种授权框架,允许第三方应用在用户许可的情况下访问其私有资源,而无需知道用户的原始凭证。 OAuth2的核心概念包括四个角色:资源所有者(Resource Owner)、客户端(Client)、授权服务器...
Oauth2统一登录平台 v1.2
10-03
这个框架已经成为互联网上众多应用和服务进行安全授权的标准。"Oauth2统一登录平台 v1.2"是一个实现OAuth2.0协议的软件...同时,这也是对OAuth2.0标准的一次具体实现,对于学习和理解OAuth2.0协议有着重要的参考价值。
oauth2:这是一个oauth2的示例工程,还原了oauth2标准的完整实现流程,应用它可以加深我们对oauth2的理解
02-02
这是一个oauth2的示例工程,还原了oauth2标准的完整实现流程,应用它可以加深我们对oauth2的理解。 由来 为了了解oauth2的流程,在git上找了一些工程,但很少能够开包即用,此工程脱胎于 ,做了一些优化和修改,以使...
OAuth2.in.Action.2017.3.pdf
05-29
- **案例研究**:通过对真实案例的分析,展示OAuth2.0的实际效果及其对企业级应用的安全性和用户体验的提升作用。 #### 六、OAuth2实施与漏洞探讨 **Part3:OAuth2实现与漏洞** - **章节7**:深入讨论OAuth2.0的...
Spring Security OAuth2.0(四)-----OAuth2+JWT
qq_42264638的博客
05-08 2082
Spring Security OAuth2.0(四)-----OAuth2+JWT
OAuth2+JWT新一代认证技术
a154555的博客
09-19 3102
认证方式: 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。
jwt需要存redis吗_想让 OAuth2 和 JWT 在一起愉快玩耍?请看松哥的表演
weixin_39875842的博客
12-03 1659
今日干货刚刚发表查看:66666回复:666公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。本文是我们 OAuth2 系列的第五篇,通过前面四篇文章相信大家对于 OAuth2 中的各种授权登录流程已经轻车熟路了。前面的文章松哥侧重于和大家理清楚 OAuth2 的登录流程,对于一些登录细节则没有去深究,接下来松哥会和大家把这些案例一一进行晚上。本文依然是在前面案例的基础...
用户认证与授权(一):Spring Security Oauth2 、JWT
Ithao2的博客
05-18 2144
1 用户认证需求分析 1.1 用户认证与授权 截至目前,项目已经完成了在线学习功能,用户通过在线学习页面点播视频进行学习。如何去记录学生的学习过程呢?要想掌握学生的学习情况就需要知道用户的身份信息,记录哪个用户在什么时间学习什么课程;如果用户要购买课程也需要知道用户的身份信息。所以,去管理学生的学习过程最基本的要实现用户的身份认证。 什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。..
SpringSecurity-Oauth2 之JWT令牌详解
qq_42861526的博客
08-06 3647
这两个时机的执行都是依靠JwtAccessTokenConverter来完成的注意:上面说的只是组件,JWT暴露给SpringSecurity的服务是tokenService,SpringSecurity也是通过tokenService来完成token的生成、解析以及存储的 (二) 组件之间的依赖关系 JWT暴露给tokenService使用的类是tokenStore,而tokenStore又依赖于accessTokenConvert和authenticationConvert完成token的生成和解析
OAuth2.0四种授权模式以及Oauth2.0实战
热门推荐
CODEING一场空的博客
04-11 1万+
OAuth2.0四种授权模式实现演示以及自定义授权模式。 Oauth2.0具有多种授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。
城市生命线智慧管廊解决方案.pptx
最新发布
08-13
城市生命线智慧管廊解决方案.pptx
OAuth2深度解析与微服务安全实践
"车桥竖向耦合振动研究OAuth2.0详解" 本文将主要讨论车桥竖向耦合振动的研究以及与之不相关的...学习和理解OAuth2.0对于构建安全的微服务架构至关重要,而对车桥振动的研究有助于提升交通基础设施的性能和安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值