OAuth2.0 授权系统设计

最新推荐文章于 2022-01-18 19:26:44 发布
最新推荐文章于 2022-01-18 19:26:44 发布
阅读量587 收藏 1
点赞数 1
分类专栏: Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39291919/article/details/111190518
版权

关于 OAuth2 的介绍可以参考

http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

http://www.ruanyifeng.com/blog/2019/04/oauth_design.html

http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

在这些文章中,使用 client_id,本文使用 app_id,这两者可以认为一致。

 

表结构设计

 

 

授权系统流程

OAuth 平台开放场景:

1. 系统积累了大量用户,需要开放用户信息给第三方应用共享。

2. 场景采用无状态服务,首先客户端发送 username / password 到服务端认证,认证通过后,服务端将用户信息加密并编码成一个 token,返回给客户端,比如:JWT。

3. 以后客户端每次发送请求,都需要携带 token;服务端对客户端发送来的 token 进行解密,判断是否有效,并获取用户信息

A 网站:授权方;B 网站:第三方。

 

1. A 网站提供一个链接,用户点击后就会跳转到 B 网站,授权用户数据给 A 网站使用。

https://b.com/oauth/authorize?
response_type=code&
client_id=CLIENT_ID&
redirect_uri=CALLBACK_URL&
scope=read

 伪代码

/* 判断 appid 是否为空 */
if (app_id 参数不存在) {
    // message: app_id 参数不存在
}

/* 判断 appid 是否存在于数据库 */
if (app_id 不存在于数据库) {
    // message: app_id 无效,请先注册
}


/* 判断 response_type 是否存在 */
if (response_type 参数不存在) {
    // message: response_type 参数不存在 
}

/* 如果只支持授权码模式,判断 response_type 值是否为 code */
if (response_type 值不为 code) {
    // message: 目前只支持授权码 (code) 模式
}

/* 判断是否存在 redirect_url  */
if (redirect_url 参数不存在) {
    // message: redirect_url 参数不存在
}

/* 判断 redirect_url 是否是可信域名 */
if (redirect_url 来自不可信任的域名) {
    // message: 请先添加可信域名
}

/* 判断是否存在 scope */
if (scope 参数不存在) {
    // message: scope 参数不存在
}

/* 判断 scope 是否包含授权域 openapi_login */
if (scope 授权域是否包含 openapi_login) {
    // scope 授权域不正确
}

$query_string = "appid={$app_id}";
$query_string .= "&redirect_url={$redirect_url}";
$query_string .= "&response_type={$response_type}";
$query_string .= "&scope={$scope}";
$query_string .= "&state={$state}";

redirect("http://cannedbread.com/?{$query_string}");

 

2. 用户跳转后,B 网站会要求用户登录,然后询问是否同意给予 A 网站授权。用户表示同意,这时 B 网站就会跳回redirect_uri参数指定的网址。

由于目前鉴权模式是无状态的 token 验证,因此统一跳转到前端的指定地址,然后由前端判断是否处于登录状态(session storage 等),如果登录就展示授权的确认与取消,如果未登录就需要先登录。

如果同意授权,则会跳转到 direct_url,并携带 code。

https://a.com/callback?code=AUTHORIZATION_CODE

 

3. A 网站拿到授权码以后,就可以在后端,向 B 网站请求令牌。

https://b.com/oauth/access_token?
 client_id=CLIENT_ID&
 client_secret=CLIENT_SECRET&
 grant_type=authorization_code&
 code=AUTHORIZATION_CODE&
 redirect_uri=CALLBACK_URL

伪代码

<?php
/* 判断 appid 是否为空 */
if (app_id 参数不存在) {
    // response: app_id 参数不存在
}

/* 判断 appid 是否存在于数据库 */
if (app_id 不存在于数据库) {
    // response: app_id 无效,请先注册
}

/* 判断 app_secret 是否存在 */
if (app_secret 参数不存在) {
    // response: app_secret 参数不存在 
}


/* 检查 app_id, app_secret 合法性 */
if (app_id 和 app_secret 不匹配) {
    // response: app_secret 错误
}

/* 判断 grant_type 是否存在 */
if (grant_type 参数不存在) {
    // response: grant_type 参数不存在
}

/* 如果只支持 authorization_code,判断授权类型是否为 authorization_code */
if (grant_type 值不是 authorization_code) {
	// response: 仅支持 authorization_code 授权类型
}

/* 判断 code 是否存在 */
if (code 参数不存在) {
    // response: code 参数不存在
}

/* 判断 code 是否有效 */
if (code 无效) {
	// response: code 无效
}

/* 判断 code 是否被使用 */
if (code 被使用) {
    // response: code 已经被使用
}

/* 判断 code 是否过期 */
if (code 已经过期)) {
    // response: code 已经过期
}

/* 判断用户的 token 信息是否存在缓存 */
if (access_token 不存在) {
	// 1. 生成新的 access_token、refresh_token
	// 2. response 
}

/* 数据库已经存在缓存 */

/* 判断 access_token 是否过期 */
if (access_token 没有过期) {
	// 1. 刷新 access_token、refresh_token 时间(延长时间)
    // 2. response
}

/* access_token 过期 */
// 1. 生成新的 access_token、refresh_token
// 2. 更新缓存
// 3. response

 未完待续

罐装面包
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
OAuth2.0 学习(二) Server 设计
技术无止境啊
02-20 9568
服务器端的数据存储方案 OAuth2.0 机制的核心工作流程,大部分信息,如APP 信息、用户和APP 之间的授权关系、Access Token等,需要永久性存储,存储在数据库中。一些不需要永久存储的信息,如临时授权码,只使用一次,而且,在很短的时间内就要使其失效,就没有必要存储在数据库之中,可存储在譬如memcached 等缓存系统中,即提高了系统的处理速度,又减少数据库压力。数据库表
授权设计OAuth 2.0
最新发布
十维之眼的博客
09-18 758
介绍认证和授权,重点讲述OAuth 2.0授权的框架协议和具体实现。
统一认证及授权管理系统设计与实现
11-23
从知网下载下来的硕士学位论文,有兴趣的可以下来看看,我是为了积分
授权详细设计
weixin_33709590的博客
09-07 171
授权详细设计 使用场景 提供接口供其他系统使用,用于判断在某些情况下的某些人(或者系统)是否有权限调用当前函数。 名词字典 场景:业务规划的场景内容(比如用户、消息) 操作:业务规划的场景内操作(比如用户的增删改查、消息的增删改查的各个函数) 请求对象:希望调用当前函数的对象(可以是自然人:张三、李四;可以是角色:帖子的拥有者) 角色:在授权系统中充当中间数据载体的数据(操作可以赋予角色权利,请求...
基于Oauth2的平台交互设计
心若有所栖,何似风飘缈。
08-27 508
app应用运行流程设计(design by zhangzh/Mr.Haven)     ==&gt; 交互网关
架构设计(四)之OAuth2
weixin_44346687的博客
09-03 254
1.OAuth2 OAuth 2.0(/'əu 'ɔːθ/)是一个用于授权的行业标准协议,它是一种协议,而不是指具体的框架。 2.为什么需要 OAuth2?用户密码不行吗? 微信管理了上亿用户,别的公司如果需要通过微信来登录应用,就需要获取微信用户的信息,腾讯不可能把微信内部系统用户名和密码告诉第三方,更不可能把数据库提供出去。 所以,不管是用户密码,还是使用key,都不太好管理,安全性都不高,这个时候需要通过 OAuth2 协议进行资源授权,通过 OAuth2 进行统一管理,颁发,吊销令牌。 3.OAut
基于Django2.1.2的OAuth2.0授权登录
04-15
这个基于Django 2.1.2的OAuth2.0授权登录课程设计,可能是为了让学生了解如何在实际项目中整合OAuth2.0,提升Web应用的安全性和用户体验。通过学习和实践这个项目,开发者不仅可以掌握OAuth2.0的原理,还能深入理解...
OAuth2.0授权系统实现单点登录
01-13
在实现OAuth2.0授权系统时,通常有以下步骤: 1. 用户打开客户端应用,请求访问资源所有者的资源。 2. 客户端重定向用户到授权服务器,用户在此处登录并授权客户端访问其资源。 3. 授权服务器验证用户身份,如果...
一种基于OAuth2.0的微服务电力系统授权方案.pdf
08-28
"一种基于OAuth2.0的微服务电力系统授权方案.pdf" 本文主要介绍了一种基于OAuth2.0的微服务电力系统授权方案,以解决传统电力系统信息孤岛问题。该方案引入双重校验机制,同时对客户端和用户进行授权鉴权,满足电力...
Oauth2.0 协议 服务端 客户端 thinkphp5.0
02-08
OAuth2.0是一种广泛使用的开放授权协议,它允许第三方应用在用户无需透露其登录凭证的情况下,获取有限的访问权限去操作用户的资源。这个协议的主要目的是为了解决API的安全访问问题,尤其是在社交媒体、云存储和...
java版OAuth2.0实例后台Oracle数据表结构SQL
12-02
java版OAuth2.0实例后台Oracle数据表结构SQL
完整Oauth 2.0实现实例
03-06
完整Oauth 2.0 代码实现,包含数据库脚本,使用说明,导入数据库脚本,修改数据库配置可直接运行。
基于OAuth2.0的统一身份认证中心设计
weixin_30700977的博客
06-26 1272
1. 引言 公司经历多年发展后,在内部存在多套信息系统,每套信息系统的作用各不相同,每套系统也都拥有自己独立的账号密码权限体系,这时,每个人员都需要记住不同系统的账号密码,人员入职和离职时,人事部门都需要对多个系统进行账号的分配和关停,更严重的是部分系统的管理权限不在人事部门,人员离职时系统的账号未能及时关停,存在较大的安全风险。 为此,公司计划建立一个统一的身份认证中心来统一管理账号密码,由认证...
oAuth 2.0存储设计
刘海龙的专栏
02-15 2829
oAuth 2.0实现中,为了实现协议功能,实现完整的、实用的授权解决方案,需要考虑数据存储的格式。比如: token定义为获取数据的钥匙,认证信息需要保存在数据库或其他形式更高效的存储中。注册、授权申请等业务数据也需要数据存储支撑。
常见模块设计--权限管理(auth)
老罗传奇
07-07 389
DROP TABLE IF EXISTS tky_auth_role;CREATE TABLE tky_auth_role ( roleid MEDIUMINT (8) UNSIGNED NOT NULL auto_increment COMMENT '编号', title CHAR (30) NOT NULL DEFAULT '' COMMENT '名称', status TINYIN...
OAuth 2.0设计(以微信登录为例)
后面牵个人的博客
10-05 1807
在实际应用开发中,我们常常需要使用微信作为应用的登陆方式,不同于手Q登陆使用传统的ptlogin,微信登陆采用了OAuth 2.0的验证方式。本文将以微信登录为案例,具体分析介绍所采用的OAuth 2.0验证方式。 OAuth 2.0身份系统设计1. 场景介绍。2. 什么是OAuth 2.0?3. 授权码模式介绍。4. 授权码模式具体到微信登录架构设计。5. OAuth 2.0为什么不直接返回access_token? 1. 场景介绍。 作为一个第三方应用,用户通过微信登录应用,应用方想获取用户的一些私密信
Oauth2介绍
minjor的博客
06-25 2087
Oauth2介绍 文章目录Oauth2介绍1. 简介2. 场景3. 架构4. 流程4.1 OAuth2 平台开发流程4.2 应用开发接入流程5. 示例6. 联系6.1 相关联系6.2 相对联系7. 参考7.1 支持OAuth2的常用平台7.2 参考相关文档 1. 简介 OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。 OAuth2.0OAuth的第二代协议,也是目前普遍使用的协议。
使用Oauth做权限认证
阿松的博客
05-17 514
spring security5 之后常用的密码加密方式: {bcrypt} {noop} {pbkdf2} {scrypt} {sha256} 比如使用bcrpt: new BcryptPasswordEncoder().encode("123456"); 加密得到的密文: $2a$10$mfWCB3ELdpZurWRZNXEvYeRECg8Lzt85I3WRLfVoQ5bn525...
OAuth2.0 - 使用数据库存储客户端信息 及 授权
小毕超博客
01-18 6797
一、OAuth2.0 上篇文章我们介绍了使用JWT替换Token使得认证服务的压力减小,但是向客户端信息,和授权码都是存储在了内存中,一旦认证服务宕机,那客户端的认证信息也随之消失,而且客户端信息是在程序中写死的,维护起来及不方便,每次修改都需要重启服务,如果向上述信息都存于数据库中便可以解决上面的问题,其中数据我们可以自定义存到noSql或其他数据库中,SpringOauth2也为我们提供了数据库的解决方案。 下面是上篇文章的地址: https://blog.csdn.net/qq_43692950/a
OAuth 2.0 授权协议详解
然而,它也存在一些潜在的风险,如令牌泄露可能导致资源被非法访问,因此在设计和实现OAuth 2.0系统时,需要充分考虑安全措施。 OAuth 2.0是现代互联网中不可或缺的一部分,它为开发者提供了一种安全、灵活的方式来...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罐装面包

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值