Oauth2介绍

最新推荐文章于 2024-05-29 00:46:29 发布
最新推荐文章于 2024-05-29 00:46:29 发布
阅读量1.8k 收藏 8
点赞数
文章标签: oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36320180/article/details/118225238
版权

Oauth2介绍

文章目录

1. 简介

OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。
OAuth2.0是OAuth的第二代协议,也是目前普遍使用的协议。

简单来说,就是将用户登录认证逻辑集成起来,给其它应用使用,并为这些应用分配不同的权限。

关键词:第三方应用授权,短期(临时)授权

2. 场景

目前OAuth2.0协议/规范在市面上普遍被支持和使用。

  1. 某些网站的第三方登录
    通过接入开放第三方登录的系统,例如QQ,微信等,可以信任新注册用户,并达到免密登录的效果。
    用户第一次使用第三方登录该网站,即为用户进行无感知的注册和登录,减少用户的操作步骤,同时可以确定该用户是可信的。

  2. 微信小程序/公众号登录授权
    通过调用微信JS-API,用户点击授权之后,小程序可以获得用户的openid(该ID只在该小程序内有效),昵称,头像等基本信息。

3. 架构

OAuth2.0 有四种授权方式,在流程上稍有简化和区别:

  1. 授权码模式(authorization code)
    OAuth2.0 的标准模式,遵照协议的完全流程。

  2. 简化模式(implicit)
    去除了授权码的流程,直接返回令牌。

  3. 密码模式(resource owner password credentials)
    第三方【应用】直接通过用户密码从【应用】后台请求【认证中心】用户token,这需要认证中心对第三方应用完全信任。

  4. 客户端模式(client credentials)
    【应用】自身向【认证中心】申请授权,请求资源,而与用户无关。

看图说话

在这里插入图片描述

4. 流程

角色:用户,应用,认证中心

4.1 OAuth2 平台开发流程

  1. 数据库表设计
    除基本的通用表外,额外增加client表,记录第三方应用的APPID, APPKEY, APPSecret等信息。
    Oauth2.0搭建开放平台接口

  2. 应用中心开发
    一般来说,OAuth会有一个针对开发者的应用管理平台,在平台上可进行应用的管理,创建删除,权限申请等。一般平台都称为:xx开放平台。
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OLgkm0ko-1624613050703)(/架构笔记/Oauth2/screenshot-20210625-114158.png)]

易班开放平台示例

  1. 登录流程开发
    OAuth统一具有一个登陆中心,所有的第三方应用都从该页面进行用户认证。登陆时【认证中心】需要给用户提示,具体是登录到哪一个应用,需要授权什么权限。
    同时根据【应用】跳转过来URL附带的重定向地址(redirect_url),在用户登录成功之后,会重定向到该地址,同时带上【认证中心】生成的code

在这里插入图片描述

可以看到,跳转过来的url上附带了应用ID(client_id),授权类型(type), 应用地址(redirect_url)

  1. 权限校验开发
    【认证中心】作为服务提供者,一般具有用户的一些基本信息。通过权限控制,控制【应用】访问【认证中心】接口时的权限,提供给【应用】固定范围内的用户信息。【应用】根据用户信息,生成自己的业务数据,存储在【应用】自己的空间内。也就是说,【认证中心】只提供给【应用】基本的用户信息。且不参与【应用的】业务数据流程。

4.2 应用开发接入流程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0OLdFJCx-1624613050710)(/架构笔记/Oauth2/process.png)]

  1. 申请应用接入
    应用开发人员在【认证中心】申请创建应用,获取到【认证中心】为应用生成的appKey和appSecret,通常来说,还可以同时申请【应用】访问【认证中心】时需要的权限。
    例如,可以获得用户的哪些信息

  2. 开发登录认证逻辑
    根据登录接口获取的client_id和用户登录信息,【认证中心】负责完成用户的认证,并返回code给【认证中心】前端,前端再根据redirect_url跳转回第三方应用。

  3. 根据令牌获取用户在平台的资源/数据/信息
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-c5fgQCGo-1624613050713)(/架构笔记/Oauth2/bg2014051203.png)]

【认证中心】登录页登陆成功,带上code回调到【应用】前端后,【应用】前端将code(授权码)传递给【应用】后端,该code与【应用】申请到的appsecret, appid, 【用户】有一对一的关系,且具有时效性,一般为10分钟,且一般只能消费一次,即便code泄露,没有appkey和appsecret,也无法获取到用户信息,而appkey和appsecret是存储在【应用】后端的,也没有泄露的可能性。
后端将code与appid,appsecret作为参数,加密,请求认证中心的接口进行消费,获取到用户的token,之后,就可以使用token获取用户数据,信息,资源。token一般具有固定的时效性,到期之后,需要用户再次授权。

5. 示例

用户架构基于OAuth + JWT + RBAC,也是目前普遍应用的一种模式,但在实际使用中,也要分场景来选择。
实际上,OAuth2并不适合使用在单个产品下,项目架构是单产品多服务的模式,各个服务之间的信息是互通的,与OAuth2的场景有违背,所以实际上对需求改造的过程中非常难受。
例如CMS和大屏应用是在同域下的,需要处理token存储冲突的问题,以及收到的需求是登陆时不跳转,且不能带参数,最终我们只能将登录页复制一份嵌入到大屏中以此去掉跳转和参数。

6. 联系

6.1 相关联系

  1. JWT(Json Web Token)

  2. RBAC(基于角色的权限校验)

  3. 兼容多个第三方登录系统的数据库设计
    第三方账号登录的设计与数据库表的设计
    浅谈数据库用户表结构设计,第三方登录

6.2 相对联系

  1. 如何判别某个系统是SSO还是OAuth2?

SSO(单点登录): 在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统。

OAuth2具有:
应用主体和授权中心主体
授权方式:域,参数,权限
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3dyirbDY-1624613050715)(../架构笔记/Oauth2/processon_login.png)]

OAuth2 在登陆时有权限信息展示,对于可选权限,【用户】可以自由选择授权权限给【应用】,URL中有重定向,APPID参数。权限有限。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GvXgcRqF-1624613050716)(../架构笔记/Oauth2/qzone_login.png)]

SSO 无参数,同域,无权限信息,表明该系统可与用户中心无限制访问。

  1. 何时有需要做OAuth平台的需求?
    1. 系统用户量基数大。
    2. 系统需要有限开放用户认证,信息,数据给其他独立的第三方系统。

7. 参考

7.1 支持OAuth2的常用平台

Github
OSChina
Baidu
Weibo
QQ
Weixin
LinkedIn

7.2 参考相关文档

文档介绍有限,请参考其他文档一起。

  1. 阮一峰-理解OAuth 2.0

  2. rfc6749

  3. QQ-OAuth2 简介

  4. 易班-授权概述

minjor
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API接口设计 OAuth2.0认证
08-13
NULL 博文链接:https://hudeyong926.iteye.com/blog/2287954
oauth2.0 mysql表设计_OAuth2.0系列之信息数据库存储实践(六)
weixin_35822534的博客
02-19 966
@1、OAuth2.0信息存储方式在前面文章中我们学习了OAuth2的一些基本概念,对OAuth2有了基本的认识,也对OAuth2.0的几种授权模式进行了实践,比如授权码模式在前面的学习中,我们配置客户端信息,一般会如下配置,如果有多个客户端的话,就复制一遍,修改一些参数,很显然,这种在生产环境是不适应的,所以Spring Security OAuth2是有提供几种存储方式的,默认是基于内存存储@...
SpringCloud之SSO单点登录-基于Gateway和OAuth2的跨系统统一认证和鉴权详解
最新发布
踏雨歌青春,诗酒趁年华
05-29 1万+
本文详述了如何利用SpringCloud、Gateway和OAuth2实现跨系统的统一认证和鉴权。文章介绍了SSO单点登录的概念和优势,通过具体的配置和代码示例,讲解了如何搭建一个安全、高效的认证中心,实现用户只需一次登录即可访问多个系统的目标,从而提高系统安全性和用户体验。
基于spring-security-oauth2实现oauth2数据库版(持续更新)
weixin_33912445的博客
05-31 7032
为什么80%的码农都做不了架构师?>>> ...
SpringBoot 整合 Spring Security OAuth2 基于数据库实现
蓝色星空
12-18 3095
看这篇之前,相信你对SpringBoot,Spring Security,OAuth2都有个大概的了解,什么?不了解?篇幅太长,本人太懒,木有关系,已经替你找好博客了,springBoot介绍Oauth2 0.0介绍,弹簧安全介绍 如果你是第一次接触,估计看完上面介绍还有有点懵,建议还是多了解一下,其实OAuth2.0的的就是一个协议,了解下它的运行原理,按照协议写代码就好了,OK,了解之后,...
后台服务代码架构:基于 spring-security-oauth2 的 mysql 数据表设计
怀揣梦想,一颗执着于技术的心从未磨灭,内心住着一颗顽强的小强时刻提醒自己层层突破自我,同时也成就他人
02-10 430
后台服务代码架构:基于 spring-security-oauth2 的 mysql 数据表设计
spring-oauth2
09-26
OAuth是一个关于授权的开放网络标准,在全世界...关于OAuth2这里就不多作介绍了,网上资料详尽。下面我们实现一个 整合 SpringBoot 、Spring Security OAuth2 来实现单点登录功能的案例并对执行流程进行详细的剖析。
springboot+oltu.oauth2搭建oauth2环境
10-08
一般的oauth配置下就可以用了,但是我这个项目,是用原理上讲如何搭建oauth2,哪个controller转发到哪个controller,为什么这样,都有清楚的介绍,因为结构简单,只有一个骨架,很适合进行二次开发。解压后会有两个...
oauth2.zip
09-04
以下将详细介绍这两个组件以及如何在Java中实现OAuth2的集成。 1. OAuth2 服务端: - **服务端**:在`oauth2-server.zip`中,这是一个授权服务器,负责处理用户的登录验证,颁发令牌,并管理客户端的权限。在...
Spring Security OAuth2.0(7):自定义认证连接数据库
不积跬步,无以至千里
08-02 406
【代码】Spring Security OAuth2.0(7):自定义认证连接数据库。
OAuth2.0协议入门(二):OAuth2.0授权服务端从设计到实现
王仁一的博客
03-27 1024
OAuth2.0授权服务端的设计 在上一篇文章中,我介绍OAuth2.0协议的基本概念以及作为一个第三方应用在请求授权服务端的时候需要做哪些事情。通过上一篇文章中调用百度OAuth服务的例子我们可以得知,使用授权码模式完成OAuth2.0授权的过程需要以下三个步骤: client请求授权服务端,获取Authorization Code; client通过Authorization Co...
OAuth2.0中表结构以及字段说明
xiangjunyes的博客
11-27 2964
官方sql地址 https://github.com/spring-projects/spring-security-oauth/blob/master/spring-securityoauth2/src/test/resources/schema.sql github 访问的比较缓慢。sql贴在下面了 /* SQLyog Ultimate v12.08 (64 bit) MySQL - 8.0.16 : Database - security_authority *********************
oauth2基本概念
qq_31211493的博客
03-21 1万+
1.什么是oauth2 OAuth2.0介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点:简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使
搞定 OAuth 2.0 第三方登录,So Easy !
竹林幽深
05-06 2653
1.1 介绍OAuth协议:OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。协议特点不管是OAuth服务提供者还是应用开发者,都很易于理解与使用;没有涉及到用户密钥等信息,更安全更灵活;
微信oauth2授权登录实践
热门推荐
MJ的博客
11-01 1万+
1、准备工作 微信公众平台测试号申请一个帐号,扫码登录 扫码关注一下,否则获取授权码时报错 授权成功回调地址redirect_url配置,可配置baidu.com,有些域名会有问题 绑定微信开发者账号 二、按照文档走oauth2授权码流程 1.获取授权码。scope为snsapi_base为静默模式及自动授权不会弹框,而snsapi_userinfo则必须显示点击确认授权按钮。redirecurl需要URLencode一下。 https://open.weixin.qq.com
springsecurity整合oauth2+JWT,数据库配置客户端
zifengye520的专栏
07-13 7290
springsecurity整合oauth2+JWT,数据库配置客户端
基于spring-security-oauth2实现oauth2数据库版(持续更新
竹林幽深
09-12 870
https://my.oschina.net/wotrd/blog/3056447 基于spring-security-oauth2实现oauth2数据库版 文章代码地址:链接描述可以下载直接运行,基于springboot2.1.5,springcloud Greenwich版本实现 该系列分为两个部分:分为内存实现,数据库实现。其中数据库实现采用RBAC权限角色管理。 上一篇,介绍了oa...
一步步入门搭建SpringSecurity OAuth2(密码模式)
我神级欧文的博客
02-05 4795
什么是OAuth2? 是开放授权的一个标准,旨在让用户允许第三方应用去访问改用户在某服务器中的特定私有资源,而可以不提供其在某服务器的账号密码给到第三方应用 大概意思就是比如如果我们的系统的资源是受保护的,其他第三方应用想访问这些受保护的资源就要走OAuth2协议,通常是用在一些授权登录的场景,例如在其他网站上使用QQ,微信登录等。 OAuth2中的几个角色 用户:使用第三方应用(或...
OAuth2简介
weixin_67677668的博客
02-01 743
OAuth2简介
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值