OAuth2

最新推荐文章于 2024-07-21 16:40:08 发布
最新推荐文章于 2024-07-21 16:40:08 发布
阅读量407 收藏 1
点赞数
分类专栏: 登录业务 工作必修 文章标签: 微信 java oauth2 qq 微博
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43175022/article/details/119948019
版权

OAuth2

OAuth2基础

  1. OAuth2是什么

    1. OAuth

      OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。

      • OAuth协议

        OAuth协议,是一种授权协议,不涉及具体的代码,只是表示一种约定的流程和规范。OAuth协议一般用于用户决定是否把自己在某个服务商上面的资源(比如:用户基本资料、照片、视频等)授权给第三方应用访问

    2. OAuth2

      OAuth 2.0授权框架支持第三方支持访问有限的HTTP服务,通过在资源所有者和HTTP服务之间进行一个批准交互来代表资源者去访问这些资源,或者通过允许第三方应用程序以自己的名义获取访问权限。

      为了方便理解,可以想象OAuth2.0就是在用户资源和第三方应用之间的一个中间层,它把资源和第三方应用隔开,使得第三方应用无法直接访问资源,从而起到保护资源的作用。

      为了访问这种受保护的资源,第三方应用(客户端)在访问的时候需要提供凭证。即,需要告诉OAuth2.0你是谁你要做什么。

      你可以将用户名和密码告诉第三方应用,让第三方应用直接以你的名义去访问,也可以授权第三方应用去访问。

      可以联想一下微信公众平台开发,在微信公众平台开发过程中当我们访问某个页面,页面可能弹出一个提示框应用需要获取我们的个人信息问是否允许,点确认其实就是授权第三方应用获取我们在微信公众平台的个人信息。这里微信网页授权就是使用的OAuth2.0。

      • OAuth主要有OAuth 1.0a和OAuth 2.0两个版本,1.0a版本过于复杂,2.0版本已得到广泛应用,故二者完全不同,且不兼容。OAuth2.0 是目前广泛使用的版本,我们多数谈论OAuth时,为OAuth2.0。

  2. OAuth2实现的基本逻辑和功能

    https://www.cnblogs.com/meibaorui/p/9182660.html

  3. 典型过程案例

    黑马程序员网站使用微信认证的过程

    1. 过程的简要描述

      用户借助微信认证登录黑马程序员网站,用户就不用单独在黑马程序员注册用户,怎么样算认证成功吗?黑马程序员网站需要成功从微信获取用户的身份信息则认为用户认证成功,那如何从微信获取用户的身份信息?用户信息的拥有者是用户本人,微信需要经过用户的同意方可为黑马程序员网站生成令牌,黑马程序员网站拿此令牌方可从微信获取用户的信息。

    2. 实现过程

      1、客户端请求第三方授权
      用户进入黑马程序的登录页面,点击微信的图标以微信账号登录系统,用户是自己在微信里信息的资源拥有者。

      image-20210817162936067

      点击“微信”出现一个二维码,此时用户扫描二维码,开始给黑马程序员授权。

      image-20210817163436607

      2、资源拥有者同意给客户端授权
      资源拥有者扫描二维码表示资源拥有者同意给客户端授权,微信会对资源拥有者的身份进行验证, 验证通过后,微信会询问用户是否给授权黑马程序员访问自己的微信数据,用户点击“确认登录”表示同意授权,微信认证服务器会颁发一个授权码,并重定向到黑马程序员的网站。

      image-20210817163541447

      3、客户端获取到授权码,请求认证服务器申请令牌
      此过程用户看不到,客户端应用程序请求认证服务器,请求携带授权码。
      4、认证服务器向客户端响应令牌
      微信认证服务器验证了客户端请求的授权码,如果合法则给客户端颁发令牌,令牌是客户端访问资源的通行证。
      此交互过程用户看不到,当客户端拿到令牌后,用户在黑马程序员看到已经登录成功。
      5、客户端请求资源服务器的资源
      客户端携带令牌访问资源服务器的资源。
      黑马程序员网站携带令牌请求访问微信服务器获取用户的基本信息。
      6、资源服务器返回受保护资源
      资源服务器校验令牌的合法性,如果合法则向用户响应资源信息内容。

    3. 以上认证授权详细的执行流程如下:

      image-20210817163712999

    4. 官方文档认证流程图

      image-20210817163848695

  4. 另一个例子说明OAuth2运行流程

    https://www.cnblogs.com/meibaorui/p/10981988.html

    • 注意文末提及的OAuth2新增的Refresh_Token机制

      Refresh_Token

OAuth 中心组件

https://zhuanlan.zhihu.com/p/89020647

  • Scopes and Consent
  • Actors
  • Clients
  • Tokens
  • Authorization Server
  • Flows
特别注意Tokens中两个流程,是OAuth实现的两个重点

这里的两个流程对应下面重要文档4.1的4个小点

OAuth Actors

  1. 客户端Third-party Application:
    本身不存储资源,需要通过资源拥有者的授权去请求资源服务器的资源,比如:Android客户端、Web客户端(浏览器端)、微信客户端等。

  2. 资源拥有者Resource Owner:
    通常为用户(User),也可以是应用程序,即该资源的拥有者。例如:我是一名Facebook的用户,我拥有我的Facebook 个人简介的信息。

  3. 授权服务器(也称认证服务器)Authorization Server:
    OAuth的主要引擎,授权服务器,获取token。它用于服务提供商对资源拥有的身份进行认证、对访问资源进行授权,认证成功后会给客户端发放令牌(access_token),作为客户端访问资源服务器的凭据。本例为微信的认证服务器。

  4. 资源服务器Resource Server:
    存储用户信息的API Service,即存储资源的服务器,本例子为微信存储的用户信息。一般用于接口的形式返回第三方应用请求的资源。它可以与授权服务端属于同一个应用,也可以分别属于不同的应用。

    • 现在还有一个问题,服务提供商能允许随便一个客户端就接入到它的授权服务器吗?
      • 答案是否定的,服务提供商会给准入的接入方一个身份,用于接入时的凭据:
        client_id:客户端标识 client_secret:客户端秘钥
        因此,准确来说,授权服务器对两种OAuth2.0中的两个角色进行认证授权,分别是资源拥有者、客户端。

    Actors

OAuth Flow

也叫授权模式

  • 授权码模式(authorization code):这是功能最完整,流程最严密的模式。现在主流的使用OAuth2.0协议授权的服务提供商都采用了这种模式,我在下面举例也将采取这种模式。
  • 简化模式(implicit):跳过了请求授权码(Authorization Code)的步骤,直接通过浏览器向授权服务端请求令牌(Access Token)。这种模式的特点是所有步骤都在浏览器中完成,Token对用户可见,且请求令牌的时候不需要传递client_secret进行客户端认证。
  • 密码模式(resource owner password credentials):用户向第三方客户端提供自己在授权服务端的用户名和密码,客户端通过用户提供的用户名和密码向授权服务端请求令牌(Access Token)。
OAuth2拓展知识点

OpenID Connect

https://zhuanlan.zhihu.com/p/89020647 中的OpenID Connect

重要文档

https://www.cnblogs.com/cjsblog/p/9174797.html?wework_cfm_code=MtW5u0qrFy0F7Q6pwCwml7reQxAZOu%2FwqLnmx05V2p3kzdRV9HhiNanOdp6JFQMQOPRsnyxvv82f4R3HqnoyMFGujJtPxz%2B%2BJXCd6u20MpB0

上述文档有一处错误

4.1.3. Access Token Request

  • redirect_uri:如果在授权请求的时候包含"redirect_uri"参数,那么这里也需要包含"redirect_uri"参数。而且,这两处的"redirect_uri"必须完全相同。

此处的uri是可以不同的,前面半句话是正确的

  • 着重注意
    1. 2. Client Registration
    2. 6. Refreshing an Access Token
    3. 4.1. Authorization Code Grant
  • 其他补充
    • 其他全文

OAuth2实现案例

使用授权码模式(authorization code)实现百度账号登录:https://www.zifangsky.cn/1309.html

  1. 授权码模式(authorization code)授权的流程

    采用Authorization Code获取Access Token的授权验证流程又被称为Web Server Flow,适用于所有有Server端的应用,如Web/Wap站点、有Server端的手机/桌面客户端应用等。一般来说总体流程包含以下几个步骤:

    1. 通过client_id请求授权服务端,获取Authorization Code
    2. 通过Authorization Code、client_id、client_secret请求授权服务端,在验证完Authorization Code是否失效以及接入的客户端信息是否有效(通过传递的client_id和client_secret信息和服务端已经保存的客户端信息进行匹配)之后,授权服务端生成Access TokenRefresh Token并返回给客户端。
    3. 客户端通过得到的Access Token请求资源服务应用,获取需要的且在申请的Access Token权限范围内的资源信息。

  2. 实现流程和代码

OAuth2进阶

OAuth2实现SSO单点登录

https://blog.51cto.com/u_15023237/2647396

https://www.cnblogs.com/cjsblog/p/10548022.html?wework_cfm_code=M8t00ZCzRYen9lXLJBmwSW0YtwL2W%2ByaLzWj3PklNl8d2C%2BIWMBrLE78mYccLEs2sq4GUbq8ztvBDI4TNHEZQ4C3fwg7Ocs0HTInQi1QjutC

Jancy丶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2入门
weixin_66202611的博客
02-01 796
OAuth2.0是目前使用非常广泛的授权机制,用于授权第三方应用获取用户的数据。用户可以通过选择其他登录方式来使用gitee,这里就使用到了第三方认证。OAuth引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。
gin-oauth2:还希望使用OAuth2的Gin Framework用户的中间件
05-06
Gin-OAuth2 Gin-OAuth2专为也希望使用OAuth2的用户而设计。 它是由Go开发人员创建的,他们需要Gin中间件才能使用OAuth2,但找不到任何中间件。 项目背景和功能 在选择Go框架时,对于使用什么有很多困惑。 场景非常...
OAuth 2.0 认证的原理与实践
weixin_34138056的博客
03-24 609
原文同步至https://waylau.com/principle...
OAuth2系列】集成微信小程序登录到 Spring Security OAuth 2.0
最新发布
c18213590220的博客
07-21 2714
本文将详细介绍如何在 Spring Security OAuth 2.0 中扩展支持微信小程序登录,通过自定义授权方式实现无缝登录。
Oauth2
wyqiang的专栏
12-23 199
-- used in tests that use HSQL create table oauth_client_details ( client_id VARCHAR(256) PRIMARY KEY, resource_ids VARCHAR(256), client_secret VARCHAR(256), scope VARCHAR(256), authorized...
Oauth2和单点登录(SSO)的区别及联系
General_zy的博客
06-03 672
第三方登录是应用开发中的常用功能,通过第三方登录,可以更加容易的吸引用户来到我们的应用中。现在,很多网站都提供了第三方登录的功能,在他们的官网中,都提供了如何接入第三方登录的文档。大多数网站提供的第三方登录都遵循OAuth协议,虽然大多数网站的细节处理都是不一致的,甚至会基于OAuth协议进行扩展,但大体上其流程是一定的。
yii2-league-oauth2-server:Yii 2.0 实现 PHP 联盟 OAuth2 服务器接口
05-30
OAuth2是一种授权协议,它允许第三方应用在用户授权的情况下访问受保护的资源。在Yii 2.0中实现OAuth2服务器接口,可以帮助开发者为他们的API提供安全的认证和授权机制。 首先,我们需要安装`league/oauth2-server`...
OAuth2-Go:使用Go的OAuth2示例应用
05-17
OAuth2-Go示例应用 已使用Go编程语言编写了此OAuth 2.0示例应用程序,以提供OAuth 2.0概念的有效示例以及如何与Intuit端点集成。 目录 要求 为了成功运行此示例应用程序,您需要做一些事情: 去安装 一个帐户 上的...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现网关登录授权验证是一个复杂而关键的过程,它涉及到现代微服务架构中的安全性设计。OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为...
bitnami-docker-oauth2-proxy:用于OAuth2代理的Bitnami Docker映像
04-04
什么是OAuth2代理? 反向代理和静态文件服务器,使用提供程序(Google,GitHub和其他提供商)提供身份验证,以通过电子邮件,域或组验证帐户。 TL; DR $ docker run --name oauth2-proxy bitnami/oauth2-proxy:...
oauth2
柳明哲的博客
05-21 353
1.什么是OAuth2 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0致力于简化客户端开发人员的工作,同时为Web应用程序,桌面应用程序,移动电话和客厅设备提供特定的授权流程。 是开放授权的一个标准,允许用户授权B应用不提供帐号密码的方式去访问该用户在A应用服务器上的某些特定资源。 OAuth2是用于REST/APIs的代理授权框架(delegated authorization framework) 是基于令牌Token的授权,在无需暴露用户密码的情况下,是应用能获取对用户数据有限访问权限
OAuth2.0
Meiko记录
06-21 262
一、OAuth2.0 为何物 OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。 OAuth2.0 是OAuth 协议的一个版本,有2.0版本那就有1.0版本,有意思的是OAuth2.0 却不向下兼容OAuth1.0 ,相当于废弃了1.0版本。 举个小栗子解释一下什么是 OAuth 授权? 在家肝文章饿了定了一个外卖,外卖小哥30秒火速到达了我家楼下,奈何有门禁进不来,可以
OAuth2实战:Manning版
"Manning出版的《OAuth 2 in Action》由Justin Richer和Antonio Sanso撰写,这本书深入探讨了OAuth 2.0协议及其在实际应用中的使用。" OAuth 2.0是一种授权框架,它允许第三方应用在用户许可的情况下访问其私有资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值