Oauth授权的学习与总结

最新推荐文章于 2023-12-06 12:30:08 发布
最新推荐文章于 2023-12-06 12:30:08 发布
阅读量554 收藏
点赞数
原文链接:https://cloud.tencent.com/developer/article/1332649
版权

Oauth:授权(authorization)的开放网络标准,目前版本是2.0版。作用就是让"客户端"安全可控地获取"用户"的授权,与"服务商提供商"进行互动。

Oauth2.0 提供了四种授权模式,开发者可以根据自己的业务情况自由选择。

  • 授权码授权模式(Authorization Code Grant)
  • 隐式授权模式(简化模式)(Implicit Grant)
  • 密码授权模式(Resource Owner Password Credentials Grant)
  • 客户端凭证授权模式(Client Credentials Grant)

Oauth2.0运行流程如下图:

1、 用户打开客户端,客户端要求用户给予授权。

在客户端web项目中构造一个oauth的客户端请求对象(OAuthClientRequest),在此对象中携带客户端信息(clientId、accessTokenUrl、response_type、redirectUrl),将此信息放入http请求中,重定向到服务端。此步骤对应上图步骤1

2、用户同意给予客户端授权。

在服务端web项目中接受第一步传过来的request,从中获取客户端信息,可以自行验证信息的可靠性。同时构造一个oauth的code授权许可对象(OAuthAuthorizationResponseBuilder),并在其中设置授权码code,将此对象传回客户端。此步骤对应上图步骤2

3、客户端使用上一步获得的授权(一般是Code),向认证服务器申请令牌TOKEN。

在客户端web项目中接受第二步的请求request,从中获得code。同时构造一个oauth的客户端请求对象(OAuthClientRequest),此次在此对象中不仅要携带客户端信息(clientId、accessTokenUrl、clientSecret、GrantType、redirectUrl),还要携带接受到的code。再构造一个客户端请求工具对象(OAuthClient),这个工具封装了httpclient,用此对象将这些信息以post(一定要设置成post)的方式请求到服务端,目的是为了让服务端返回资源访问令牌。此步骤对应上图步骤3。另外OAuthClient请求服务端以后,会自行接受服务端的响应信息。

4、 认证服务器对客户端进行认证以后,确认无误,同意发放令牌。

在服务端web项目中接受第三步传过来的request,从中获取客户端信息和code,并自行验证。再按照自己项目的要求生成访问令牌(accesstoken),同时构造一个oauth响应对象(OAuthASResponse),携带生成的访问指令(accesstoken),返回给第三步中客户端的OAuthClient。OAuthClient接受响应之后获取accesstoken,此步骤对应上图步骤4。

5、 客户端使用令牌,向资源服务器申请获取资源(用户信息等)。

此时客户端web项目中已经有了从服务端返回过来的accesstoken,那么在客户端构造一个服务端资源请求对象(OAuthBearerClientRequest),在此对象中设置服务端资源请求URI,并携带上accesstoken。再构造一个客户端请求工具对象(oAuthClient),用此对象去服务端靠accesstoken换取资源。此步骤对应上图步骤5。

6、 资源服务器确认令牌无误,同意向客户端开放资源。

在服务端web项目中接受第五步传过来的request,从中获取accesstoken并自行验证。之后就可以将客户端请求的资源返回给客户端了。

授权码模式(authorization code)

功能最完整、流程最严密的授权模式。

特点是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。

另中文参考图片如下:图转自https://blog.csdn.net/qq_34190023/article/details/82629092

步骤如下:

(A)用户访问客户端,后者将前者导向认证服务器。

(B)用户选择是否给予客户端授权。

(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。 (D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。

(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

下面是上面这些步骤所需要的参数。

A步骤中,客户端申请认证的URI,包含以下参数:

  • response_type:表示授权类型,必选项,此处的值固定为"code"
  • client_id:表示客户端的ID,必选项
  • redirect_uri:表示重定向URI,可选项
  • scope:表示申请的权限范围,可选项
  • state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。用于防止恶意攻击。

 例子:

get请求

https://service.example.com/oauth2/authorize?response_type=code&client_id=clientid&state=STATE&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

C步骤中,服务器回应客户端的URI,包含以下参数:

  • code:表示授权码,必选项。该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。
  • state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。 

例子:

https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz


D步骤中,客户端向认证服务器申请令牌的HTTP请求,包含以下参数:

  • grant_type:表示使用的授权模式,必选项,此处的值固定为"authorization_code"。
  • code:表示上一步获得的授权码,必选项。
  • redirect_uri:表示重定向URI,必选项,且必须与A步骤中的该参数值保持一致。
  • client_id:表示客户端ID,必选项。

例子:

post请求

https://service.example.com/oauth2/access_token?grant_type=authorization_code&client_id=clientid&code=Splx10BeZQQYbYS6WxSbIA&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

E步骤中,即上一部的返回值,认证服务器发送的HTTP回复,包含以下参数:

  • access_token:表示访问令牌,必选项。
  • token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
  • expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
  • refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。
  • scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。

例子:

{

"access_token":"ACCESS_TOKEN", //网页授权接口调用凭证,注意:此access_token与基础支持的access_token不同

"expires_in":7200,  // access_token接口调用凭证超时时间,单位(秒)

"refresh_token":"REFRESH_TOKEN", //用户刷新access_token

"openid":"OPENID",  //用户唯一标识

"scope":"SCOPE"  //用户授权的作用域,使用逗号(,)分隔

 }

简化模式(implicit grant type)

不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过"授权码"这个步骤。所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证

步骤如下:

(A)客户端将用户导向认证服务器。

(B)用户决定是否给于客户端授权。

(C)假设用户给予授权,认证服务器将用户导向客户端指定的"重定向URI",并在URI的Hash部分包含了访问令牌。

(D)浏览器向资源服务器发出请求,其中不包括上一步收到的Hash值。

(E)资源服务器返回一个网页,其中包含的代码可以获取Hash值中的令牌。

(F)浏览器执行上一步获得的脚本,提取出令牌。

(G)浏览器将令牌发给客户端。

下面是上面这些步骤所需要的参数。

A步骤中,客户端发出的HTTP请求,包含以下参数:

  • response_type:表示授权类型,此处的值固定为"token",必选项。
  • client_id:表示客户端的ID,必选项。
  • redirect_uri:表示重定向的URI,可选项。
  • scope:表示权限范围,可选项。
  • state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。

 请求与授权码模式的请求参数相同,不同之处为response_type授权类型不同。

例子:

get请求

https://server.example.com/authorize?response_type=token&client_id=clientid&state=STATE&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb 

C步骤中,认证服务器回应客户端的URI,包含以下参数:

  • access_token:表示访问令牌,必选项。
  • token_type:表示令牌类型,该值大小写不敏感,必选项。
  • expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
  • scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。
  • state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。

 此步骤与授权码模式的E步骤中,认证服务器发送的HTTP回复参数大致相同,此处多一个state参数。

例子:

HTTP/1.1 302 Found Location:

http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA &state=STATE&token_type=example&expires_in=3600

认证服务器用HTTP头信息的Location栏,指定浏览器重定向的网址。注意,在这个网址的Hash部分包含了令牌。

根据D步骤,下一步浏览器会访问Location指定的网址,但是Hash部分不会发送。接下来的E步骤,服务提供商的资源服务器发送过来的代码,会提取出Hash中的令牌。

 密码模式(Resource Owner Password Credentials Grant)

用户向客户端提供自己的用户名和密码。客户端使用这些信息,向"服务商提供商"索要授权。在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,比如客户端是操作系统的一部分,或者由一个著名公司出品。而认证服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式。整个过程中,客户端不得保存用户的密码。

步骤如下:

(A)用户向客户端提供用户名和密码。

(B)客户端将用户名和密码发给认证服务器,向后者请求令牌。

(C)认证服务器确认无误后,向客户端提供访问令牌。

B步骤中,客户端发出的HTTP请求,包含以下参数:

  • grant_type:表示授权类型,此处的值固定为"password",必选项。
  • username:表示用户名,必选项。
  • password:表示用户的密码,必选项。
  • scope:表示权限范围,可选项。

例子:

post请求

https:// server.example.com/token?grant_type=password&username=xiaoming&password=123qwe 

C步骤中,认证服务器向客户端发送访问令牌,例子如下。

HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache

{ "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" }

access_token:表示访问令牌,必选项。

token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。

expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。

refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。

scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。

 客户端模式(Client Credentials Grant)

客户端以自己的名义,而不是以用户的名义,向"服务提供商"进行认证。严格地说,客户端模式并不属于OAuth框架所要解决的问题。在这种模式中,用户直接向客户端注册,客户端以自己的名义要求"服务提供商"提供服务,其实不存在授权问题。

步骤如下:

(A)客户端向认证服务器进行身份认证,并要求一个访问令牌。

(B)认证服务器确认无误后,向客户端提供访问令牌

A步骤中,客户端发出的HTTP请求,包含以下参数:

  • granttype:表示授权类型,此处的值固定为"clientcredentials",必选项。
  • scope:表示权限范围,可选项。

例子:

post方法

 https:// server.example.com/grant_type=client_credentials

认证服务器必须以某种方式,验证客户端身份。

B步骤中,认证服务器向客户端发送访问令牌,例子如下。

HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "example_parameter":"example_value" }

更新令牌

如果用户访问的时候,客户端的"访问令牌"已经过期,则需要使用"更新令牌"申请一个新的访问令牌。

客户端发出更新令牌的HTTP请求,包含以下参数:

  • granttype:表示使用的授权模式,此处的值固定为"refreshtoken",必选项。
  • refresh_token:表示早前收到的更新令牌,必选项。
  • scope:表示申请的授权范围,不可以超出上一次申请的范围,如果省略该参数,则表示与上一次一致。
一抹胭脂冷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TokenRequestBuilder、AuthenticationRequestBuilder、OAuthBearerClientRequest的区别:
u011280067的博客
02-26 953
相同点: 1、OAuthBearerClientRequest和TokenRequestBuilder、AuthenticationRequestBuilder都继承了OAuthRequestBuilder类 2、实例化这些对象的目的都是给OAuthClientRequest的parameters赋值,然后通过父类方法 都是通过OAuthRequestBuilde...
oauth2.0 java_【oauth2.0】【2】JAVA 客户端模式
weixin_33476149的博客
02-12 467
含义:用户直接向客户端注册,客户端以自己的名义要求"服务提供商"提供服务,其实不存在授权问题步骤:(A)客户端向认证服务器进行身份认证,并要求一个访问令牌(token)。(B)认证服务器确认无误后,向客户端提供访问令牌。(C)用令牌请求资源服务器的资源摘要:1,JAVA代码中访问2,Postman中访问3,Swagger中访问正文:1,JAVA代码中访问我的环境是Spring Boot,实现代码:...
前言技术之Oauth2具体实用
m0_53151031的博客
03-29 1568
目录 前言 一、Oauth2授权码认证方式的工作流程 工作流程 二、客户端(Client) 三、资源所有者(Resource Owner) 四、授权服务者(Authorization Server) 五、资源服务者(Resource Server) 六、授权码认证方式工作流程 授权码认证方式工作流程所调用方法的逻辑 1、首先客户端发送一个请求到资源所有者拿取到授权码(调用getcode方法,跳转到资源所有者的sendCod...
Oauth2.0客户端服务端示例
爱琴孩的博客
05-26 7823
前言 前面的理解OAuth2.0认证与客户端授权码模式详解,我们大致了解了Oauth2.0授权模式四种的授权码模式,清楚了授权码模式的大致流程。这里简单的模拟一下基于授权码模式的客户端和服务端代码实现(这里服务端包含的验证服务端和资源服务端,都是在同一个应用中)。 回顾大致授权流程 图中步骤1,请求授权,例如我们要登录csdn,这里我们想用qq账号登录,这时候就需要腾讯开放平台进行...
Java的oauth2.0 服务端与客户端的实现
qq_27173485的博客
03-28 293
oauth原理简述 oauth本身不是技术,而是一项资源授权协议,重点是协议!Apache基金会提供了针对Java的oauth封装。我们做Java web项目想要实现oauth协议进行资源授权访问,直接使用该封装就可以。 整个oauth2.0 的协议实现原理,所有的技术层面的开发都是围绕这张图。 整个开发流程简述一下: 1、 在客户端web项目中构造一个oauth的客户端请求对...
支持 OAuth 2.1 JWT 授权的微信小程序开发组件.zip
最新发布
03-11
总结来说,【小程序名称】凭借其小巧便携、快捷高效的特性,不仅节省了用户的手机存储空间,更为用户提供了无缝衔接的便利服务,是现代生活中不可或缺的一部分,真正实现了“触手可及”的智能生活新体验。...
spring security 学习总结文档
12-11
【Spring Security 学习总结】 Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于 Java 的应用程序。本学习总结文档主要针对初学者,旨在剖析一个不安全的应用程序并阐述如何通过 ...
MVC3学习教程
07-08
9. 用户身份验证与授权 ASP.NET MVC3支持身份验证和授权功能,可以实现登录、注册、记住我等功能。通过集成Windows身份验证、Forms身份验证或OAuth等方式,可以确保用户安全访问应用程序。 总结,ASP.NET MVC3提供...
SpringCloud学习.pptx
09-13
总结来说,SpringCloud提供了一套完整的微服务解决方案,包括服务注册与发现(Eureka)、服务间通信(RestTemplate)、服务网关(Zuul)以及服务安全(OAuth2)。通过这些组件,开发者可以构建出高可用、可扩展的云...
Dash-Security-Architecture-Overview_Whitepaper.pdf
10-30
1. 身份验证:Dash 使用 OAuth 2.0 授权流程来授予用户身份验证和授权。 2. 数据加密:Dash 使用加密技术来保护用户数据的隐私和安全。 3. 访问控制:Dash 实现了细粒度的访问控制,确保了用户只能访问自己授权的...
OAuth Server和OAuth Client(JAVA实现,eclipse环境)
04-02
资源为在eclipse开发环境中使用Java搭建OAuth Server和OAuth Client 参考代码为http://code.google.com/p/oauth/ OAuth Server为遵守OAuth 1.0协议的OAuth认证服务器 OAuth Client分为Desktop版本和Webapp版本
spring-oauth-server 数据库表说明
wx2007xing的博客
02-21 439
  以下对spring-oauth-server项目中的oauth.ddl文件(位于/others/database目录)中的表字及段进行说明, 内容包括字段说明与使用场合 表名 字段名 字段说明 oauth_client_details client_id 主键,必须唯一,不能为空.  用于唯一标识每一个客户端(client); 在注册时必须填写(也可由服务...
自定义的方式,使用oauth2生成token+token续命
m0_56356631的博客
05-14 5217
使用oauth2生成 token 的流程+续命
OAuthClientRequest源码解析
u011280067的博客
02-26 2591
OAuth2.0客户端通过构建OAuthClientRequest对象可以和服务端之间做交互 OAuthClientRequest内部方法之间的调用请参考文章: http://blog.csdn.net/u011280067/article/details/79374699%20TokenRequestBuilder%E3%80%81AuthenticationRequestBuilder%...
OAuth2系列】Spring Cloud Gateway 作为OAuth2 Client接入第三方单点登录代码实践
c18213590220的博客
12-06 2083
Spring Cloud Gateway是Spring Cloud生态系统中的一个组件,主要用于构建微服务架构中的网关服务。它提供了一种灵活而强大的方式来路由请求、过滤请求以及添加各种功能,如负载均衡、熔断、安全性等。通过将Spring Cloud Gateway作为OAuth2 Client,可以实现用户在系统中的统一认证体验。用户只需要一次登录,即可访问多个微服务,避免了在每个服务中都进行独立的认证,下游微服务只需要专注自己的业务代码即可。
CloseableHttpClient 设置授权信息
javahepeng的专栏
07-25 4585
CloseableHttpClient 设置授权 CloseableHttpClient 设置用户信息
Spring Security OAuth Client配置加载源码分析
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-12 1562
这一节我们以前面默认的OAuth2 客户端集成为例,来了解下配置文件的加载,示例见第二、第三节。要学习一个新框架,我一般会按照如下步骤来实施:(1)根据官方文档搭建Demo,先跑起来,有一个整体观(2)分析源码,从Demo的功能配置入手,找到突破口(3)每次分析源码,要带着问题看(4)根据源码分析出来的思路,画架构图、流程图(5)学习框架的实现思路,取其精华去其糟粕码农小胖哥的2022版PDF。............
构建OAuth客户端
github_38730134的博客
02-24 433
构建OAuth客户端 向授权服务器注册OAuth客户端 客户端标识符 用来标识OAuth客户端,在OAuth协议的多个组件都称其为client_id。在一个给定的授权服务器中,每个客户端的标识符必须唯一,因此客户端标识符总是由授权服务器分配,可以通过开发者门户完成,也可以通过动态客户端注册 共享密钥 client_secret用于客户端与授权服务器交互时进行身份认证 授权码许可类型获取令牌 使用授权码许可类型的交互授权形式,有客户端将资源拥有者重定向到授权服务器的授权端点,然后服务器通过redirect_u
Sping+SpringMvc+Mybatis+OAuth2.0服务器与客户端实现(第三方登录)(二)
qq_31183297的博客
02-26 9890
接续上一部分,过了个年,忘得差不多了,正好记录整理一下。简要说明下。oauth的原理不做详细介绍,可自行百度。简单步骤总结。客户端部分:1、客户端向服务端请求Code,请求中携带着部分必须信息。2、客户端的回调中接收服务端产生的Code,继续向服务端请求资源授权AccessToken。3、客户端得到资源授权后,再去请求对应的资源。代码如下            package com.yzz.oa...
OAuth 授权服务器 请求授权接口跨域
06-09
OAuth 2.0 授权服务器的请求授权接口跨域问题可以通过以下解决方法: 1. 使用代理(Proxy)方式解决跨域问题。在授权服务器和客户端之间增加一个代理层,将客户端的请求代理到授权服务器上,授权服务器的响应也通过代理返回给客户端,这样就能避免跨域问题。 2. 在授权服务器端设置允许跨域访问的响应头。可以在授权服务器端设置 Access-Control-Allow-Origin 响应头,允许指定的客户端跨域访问授权服务器接口。例如,设置 Access-Control-Allow-Origin: http://localhost:8080 表示只允许来自 http://localhost:8080 的客户端跨域访问授权服务器接口。 3. 在客户端使用 JSONP 解决跨域问题。JSONP 是一种跨域请求技术,通过在客户端动态创建一个 script 标签,将请求参数作为查询字符串拼接在 script 标签的 src 属性中,然后在服务端返回一个 JavaScript 函数调用,将数据作为参数传递给该函数,从而实现跨域请求。需要注意的是,JSONP 只支持 GET 请求。 以上是几种常见的解决 OAuth 2.0 授权服务器请求授权接口跨域问题的方法,可以根据具体情况选择合适的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值