OAuth2.0的授权码模式

最新推荐文章于 2023-12-25 09:00:00 发布
置顶 最新推荐文章于 2023-12-25 09:00:00 发布
阅读量471 收藏 1
点赞数 2
分类专栏: OAuth2.0协议 文章标签: 授权码模式 OAuth2.0协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38140033/article/details/102832353
版权

OAuth2.0的授权码模式

起因

前段时间给大家搭建了商城,购物的时候用户需要先登录用户,就必须注册账号,这样的弊端我就不用跟大家说了。现在市场上流行qq互联,微信互联,就是由于用户不太愿意再注册账号,记住一个又一个用户名和密码。通过一个常用的应用授权登录,方便快捷,我们今天就来讲一下如何实现授权登录。

OAuth2.0简介

说到授权登录,就必须提一下OAuth2.0协议,百度百科上是这样描述的:在这里插入图片描述
简单地说,就是房子主人有一把钥匙,钥匙借给你,你才可以进入房子。这里,房子主人是服务提供方,钥匙是临时令牌,你是客户端,房子是访问的资源。OAuth协议有4种模式,授权码模式,密码模式,简化模式,客户端模式。原理上大同小异,授权码模式是其中最正规,也是最常用的一种模式。接下来我们讲一下授权码模式的实现步骤,如果对此开发过程不感兴趣的,可以直接跳过,看下面的操作配置过程。

授权码模式

大体分三步骤:oauth/authorize,oauth/token,user/me
第一步,A网站提供一个登陆链接,链接内容如下:

https://b.com/oauth/authorize?
  response_type=code&
  client_id=CLIENT_ID&
  redirect_uri=CALLBACK_URL&
  scope=read

其中的参数有必要解释下:
response_type为必传,表示要求返回授权码,固定为code;
client_id为必传,表示A网站,让B网站知道是谁在请求;
redirect_uri为必传,表示B网站拒绝或接受请求后的跳转网址;
scope为非必传,表示要求的授权范围(这里是只读)。
用户会跳转到一个授权登录界面,然后询问是否同意给予A网站授权。用户同意后,就会跳回redirect_uri指定的网址。跳转时,会传回一个授权码。

https://a.com/callback?code=AUTHORIZATION_CODE

第二步,上面拿到code,就可以在后端,向B网站请求令牌。

https://b.com/oauth/token?
 client_id=CLIENT_ID&
 client_secret=CLIENT_SECRET&
 grant_type=authorization_code&
 code=AUTHORIZATION_CODE&
 redirect_uri=CALLBACK_URL

这步的操作就是指明自己的身份,去请求令牌。
client_id和client_secret用来让B确认A的身份;
grant_type的参数固定为authorization_code;
code是上一步拿到的授权码;
redirect_uri是获取令牌后的回调网址。
第三步,B网站收到请求,颁发令牌。然后向redirect_uri指定的网址发送一段JSON数据:

{    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  "uid":100101,
  "info":{...}
}

其中的access_token,就是令牌,就可以通过它访问资源。

配置OAuth参数

我们需要配置的总共就五项:
client_id,client_secret,authorized_url,token_url,redirect_uri。
如果是访问自己开发的资源数据,client_idclient_secret需要通过自己设置;qq授权跟微信授权则需要在qq互联和微信开放平台注册一个网站应用,就能获得对应的AppID(client_id)和AppSecret(client_secret)。
authorized_url可以简单的用自己的网站加上/oauth/authorize,比如:http://www.A.com/oauth/authorize。
token_url可以在自己网站上加/oauth/token,比如:http://www.A.com/oauth/token。
redirect_uri的设置就按照自己的需求。
源码的地址就在https://github.com/bigfa/wp-oauth,其中不仅有qq和微信的授权登录,还有微博,豆瓣,GitHub等各种社交网站。
另外国外开发的最全的OAuth2.0登录的地址是https://oauth.net/code/,它还拓展了各种开发语言,有兴趣的同学可以去学习一下。

总结

好了,这次我们就讲了OAuth2.0协议中最重要,也是最常用的授权码方式,原理很好懂,配置也比较明了,下一次,我们就实际运用一下,把这个授权登录,配置在我们的商城中。

蜗牛eat
关注
专栏目录
OAuth2.0授权模式实战教程
kkchenjj的博客
07-17 1052
重定向用户至授权服务器:客户端应用将用户重定向到授权服务器的授权端点。用户授权:用户在授权服务器上登录并授权客户端应用访问其资源。授权返回:授权服务器将用户重定向回客户端应用,并附带一个授权。交换访问令牌:客户端应用使用授权授权服务器请求访问令牌。
搞懂oauth2.0授权模式
哇哦~
05-25 2826
最早的简单登录 图1 去访问一个网站,如果登录的话,需要注册,填一堆信息,用户名密啥的,通常密是前端加盐、哈希(md5,sha1等)然后再发给后端,后端存储起来,不能直接存储明文。然后再跳转到登录页面,输入用户名和密,后端验证用户名和密,如果成功了返回一个session id,然后前端就可以结合cookie使用。 问题: 1.安全性,需要对密的加密有一个万全的应对之策 2.维护麻烦,用户用起来也麻烦 比较早的授权登录 后来yelp试图解决这些问题,如下图所示 图2 想用什么登录就
OAuth2.0授权模式.doc
07-27
OAuth2.0授权模式.doc OAuth2.0授权模式的文档,希望可以帮助学习者
OAuth 2.0 授权请求
weixin_34227447的博客
06-26 186
关于OAuth 2.0,请参见下面这两篇文章(墙裂推荐): 《OAuth 2.0》 《Spring Security OAuth 2.0》   纸上得来终觉浅,绝知此事要躬行。理论知识了解以后,最终还是要动手实践,不亲自做一遍永远不知道里面有多少坑。本节的重点是用Spring Security实现授权模式。 1. maven依赖 <?xml version="1.0" ...
oauth2.0授权模式详解
weixin_44846436的博客
03-07 4911
oauth2.0授权模式 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章http://www.javaman.cn/sb2/oauth-code 授权(authorization code)方式,指的是第三方应用先申请一个授权,然后再用该获取令牌。 这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。 1、授权模式流程 第一步,A
OAuth2.0-授权模式
超频化石鱼的博客
01-29 1667
OAuth2.0授权模式主要解决了信任问题:一个第三方网站需要访问我们Github上的数据(例如用户头像),那Github为什么要信任该网站?该对网站信任到什么程度?基于此,如果可以为该网站提供一个专门的,该有专门的权限和过期时间,且Github可随时清除的授权,这样问题就可以解决了。
Spring Security OAuth2 授权模式的实现
08-18
Spring Security OAuth2 授权模式是 OAuth 2.0 授权流程中的一种常见模式,该模式要求用户登录并对第三方应用(客户端)进行授权,出示授权交给客户端,客户端凭授权换取 access_token(访问凭证)。...
通过springboot框架,自己动手实现oauth2.0授权模式认证
七和
08-16 5343
前言 随着几大社交平台霸主地位的确立,各个小型网站越来越倾向于通过平台认证来简化申请和登录帐号的流程,以增加用户量。这种授权认证方式一般和oauth2.0协议脱不了关系。因为我是在接入qq登录时第一次看到这个标准,所以参考qq登录的官方模版来实现这一过程。(我之前已经写过一篇接入qq登录的博客:网站实现qq登录(springboot后台)) 什么是oauth2.0 阅读理解OAut...
OAUTH 2.0授权授予
最佳 Java 编程
06-10 136
OAuth 2.0提供了许多安全性流程(或授权类型),以允许一个应用程序访问另一个应用程序中的用户数据。 在此博客中,我们将介绍OAuth 2.0授权授权授权。 首先,有许多定义: 客户端 :用户当前正在与之交互的应用程序。 例如,我们假设一个虚构的时髦博客网站:www.myfunkyblog.com。 客户端希望与另一个应用程序通信并从那里检索有关用户的信息。 例如,他...
Auth2.0授权模式
12-29
从流程上看申请分为两个阶段:首先需要申请Authorization Code;之后使用Authorization Code来申请Access Token。
OAuth2.0授权模式
JesJiang的博客
12-22 657
定义可参考阮一峰的网络日志《理解OAuth 2.0》 具体实现如下: SpringCloud+OAuth2.0+JWT import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework....
OAuth 2.0 ——授权模式
拖垃圾的专栏
11-22 4163
OAuth 是一个关于授权(authorization)的开放网络标准,主要应用在第三方登录场景,目前的版本是2.0版。本文主要参考材料为: RFC 6749 阮一峰的网络日志《理解OAuth 2.0》 其实,阮一峰的文章基本上就是翻译的 RFC 6749 文档,卷面很整洁,让人看起来很舒服,但是,内容却不怎么样,前后有点接不上,翻译的不全面,有些地方也没有解释清楚,本文尽量做一些补充。还有一个问题
OAuth2.0 授权模式
wokoone的博客
04-20 444
OAuth2.0 授权模式 OAuth 协议实际上是一个授权协议授权模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。 作用: 用户在不将服务提供商的用户名和密交给第三方应用的情况下,让第三方应用可以有权限去访问用户存在服务提供商上面的一些资源。 授权协议和第三方登录的关系: 如果第三...
oauth2.0授权模式认证
qq_41087159的博客
05-13 267
什么是OAuth协议 一种对资源访问授权的标准,一种规范,并没有什么具体的实现 为什么要使用 保证了三方只有获得授权之后才能进一步访问授权者的资源,能够保护资源的安全。 核心思想 使用授权,token,认证授权,来实现对资源的访问 三方想访问受保护资源,需要得到用户的授权,用户授权后,三方就有了认证服务器的授权,就可以去认证服务获取token然后用token访问受保护资源 具体流程 备注 oauth认证只是在需要资源的情况下,才需要,如果并不涉及受保护的资源,则不需要此认证。 以上描述仅供参考 推
OAuth 2.0 入门指南:掌握授权模式
最新发布
技术随笔
12-25 1350
OAuth2.0-授权模式
OAuth2.0协议-授权模式介绍及案例应用
痞子的博客
03-26 2634
一、关于OAuth2.0 1.什么是OAuth2.0 OAuth2.0(开放授权)是一个关于授权的开放的网络协议。 2.OAuth2.0的作用是什么? 让客户端安全可控地获取用户的授权,与服务提供商之间进行交互。可以免去用户同步的麻烦,同时也增加了用户信息的安全。 3.设计理念 OAuth在第三方应用与服务提供商之间设置了一个授权层。第三方应用不能直接登录服务提供商,只能登录授权层,以...
OAuth2.0概述
热门推荐
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
springboot oauth2.0 授权模式
05-11
SpringBoot OAuth2.0 授权模式是一种常见的授权方式,通常用于安全访问受保护的 API。在此模式下,客户端必须向授权服务器发送一个授权请求,授权服务器返回一个授权,客户端使用该授权向资源服务器请求访问...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值