OAuth2.0

最新推荐文章于 2024-08-23 15:54:50 发布
最新推荐文章于 2024-08-23 15:54:50 发布
阅读量373 收藏
点赞数
分类专栏: OAuth2 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43382364/article/details/103660011
版权

简单的理解:
OAuth 2.0授权框架支持第三方支持访问有限的HTTP服务,通过在资源所有者和HTTP服务之间进行一个批准交互来代表资源者去访问这些资源,或者通过允许第三方应用程序以自己的名义获取访问权限。

OAuth定义了四种角色:

1.resource owner(资源所有者)
2.resource server(资源服务器)
3.client(客户端):代表资源所有者并且经过所有者授权去访问受保护的资源的应用程序
4.authorization server(授权服务器):在成功验证资源所有者并获得授权后向客户端发出访问令牌

图解流程
在这里插入图片描述
A:授权请求,客服端向资源所有者
B:资源所有者向客户端发送授权许可
C:客户端拿着授权许可访问授权服务器
D : 授权服务器认证授权许可,发放token
E : 客户端拿着token请求资源服务器
F: 资源服务器返回 受保护的资源

一个授权许可是一个凭据,它代表资源所有者对访问受保护资源的一个授权,是客户端用来获取访问令牌的。

Authorization Grant

授权类型有四种:authorization code, implicit, resource owner password credentials, and client credentials

1.3.1. Authorization Code
授权码是授权服务器用来获取并作为客户端和资源所有者之间的中介。代替直接向资源所有者请求授权,客户端定向资源所有者到一个授权服务器,授权服务器反过来指导资源所有者将授权码返回给客户端。在将授权码返回给客户端之前,授权服务器对资源所有者进行身份验证并获得授权。因为资源所有者只对授权服务器进行身份验证,所以资源所有者的凭据永远不会与客户机共享。

1.3.2. Implicit
隐式授权是为了兼顾到在浏览器中用诸如JavaScript的脚本语言实现的客户端而优化的简化授权代码流程。在隐式授权流程中,不是发给客户端一个授权码,而是直接发给客户端一个访问令牌,而且不会对客户端进行认证。隐式授权提高了一些客户端(比如基于浏览器实现的客户端)的响应能力和效率,因为它减少了获得访问令牌所需的往返次数。

1.3.3. Resource Owner Password Credentials
资源所有者的密码凭据(比如,用户名和密码)可以直接作为授权许可来获取访问令牌。这个凭据只应该用在高度信任的资源所有者和客户端之间(比如,客户端是系统的一部分,或者特许的应用),并且其它授权模式不可用的时候。

1.3.4. Client Credentials
客户端凭据通常用作授权许可

1.3.5. Access Token
访问令牌是用来访问受保护的资源的凭据。一个访问令牌是一个字符串,它代表发给客户端的授权。令牌代表资源所有者授予的对特定范围和访问的时间(PS:令牌是有范围和有效期的),并由资源服务器和授权服务器强制执行。访问令牌可以有不同的格式、结构和使用方法。

1.3.6. Refresh Token
Refresh Token是用于获取Access Token的凭据。刷新令牌是授权服务器发给客户端的,用于在当前访问令牌已经失效或者过期的时候获取新的访问令牌。刷新令牌只用于授权服务器,并且从来不会发给资源所有者。

====================================================================================================
在这里插入图片描述

授权码请求

对应于步骤 (A) 和 (B) 的授权码请求如 图 1 所示。在步骤 (A) 中,客户端采用 application/x-www-form-urlencoded 格式向授权服务器发出一个请求,如 清单 1 所示。

清单 1. 授权码请求的示例

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

该请求必须包含以下参数:

1.response_type:必选项。该值必须设置为 code。
2.client_id:必选项。客户端 ID。
3.redirect_uri:必选项。用于用户代理重定向。
4.scope:可选项。访问请求的范围。
5.state:可选项。保持请求和回调之间的状态。

在授权服务器验证请求后,服务器将一个 HTTP 重定向代码 302 响应发送回客户端。该响应还将在 http Location 标头中包括一个重定向 URI。在步骤 (B) 中,客户端必须将用户代理(通常是 Web 浏览器)重定向到此 URI。这种重定向 URI 通常是一个登录页面,资源所有者可以使用其凭据进行登录,并批准/撤销客户端的访问请求。

授权码响应

授权码响应该如 图 1 的步骤 © 中所示。如果资源所有者批准了访问请求,授权服务器会发出一个授权码。授权服务器将用户代理重定向到步骤 (A) 中作为请求的一部分的重定向 URI,并将授权码包含为重定向 URI 的查询组件的一部分,这里采用的是 application/x-www-form-urlencoded 格式。

URI 参数如下:

Code:必选项。由授权服务器生成的授权码。该代码是临时的,并且必须在生成后很快过期。客户不得多次使用授权码。使用相同代码进行的任何进一步请求都应该被授权服务器撤销。授权码被绑定到客户端标识符和重定向 URI。
State:必选项。如果客户端的授权码请求中存在 state 参数,此参数必须设置为与从客户端接收的值完全相同。
访问令牌请求
这对应于 图 1 中的步骤 (D)。客户端采用 application/x-www-form-urlencoded 格式向令牌端点(授权服务器)发出一个请求,如 清单 2 所示。

清单 2. 访问令牌请求的示例

POST /token HTTP/1.1
Host: server.example.com
Authorization:Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom&client_id=c342

访问令牌请求必须设置下列参数:

grant_type:必选项。该值必须设置为 authorization_code。
client_id:必选项。客户端 ID。
client_secret:可选项。密码,用于与授权服务器进行身份验证。
code:必选项。从服务器收到的授权码。
redirect_uri:必选项。在步骤 (A) 中发送的完全一样。
授权服务器验证该代码和重定向 URI 是有效的。在存在机密性客户端的情况下,授权服务器也使用在其请求的主体或 Authorization 标头中传递的客户端凭据来对客户端进行身份验证。

访问令牌响应

这对应于 图 1 中的步骤 (E)。如果访问令牌请求是有效的,而且获得了授权,授权服务器会在一个访问令牌响应中返回访问令牌。成功的响应示例如 清单 3 所示。

清单 3. 成功的访问令牌响应示例

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
“access_token”:“2YotnFZFEjr1zCsicMWpAA”,
“token_type”:“Bearer”,
“expires_in”:3600,
“refresh_token”:“tGzv3JOkF0XG5Qx2TlKWIA”,
“example_parameter”:“example_value”
}
如果请求无效,或者未经授权,那么授权服务器将会使用代码返回一个相应的错误消息。

刷新访问令牌请求

这是一个可选步骤,如果客户端请求离线访问,并在访问令牌请求中提供一个 refresh_token,则可以此阿勇此步骤。访问令牌是暂时性的,通常在一个小时后到期。访问令牌到期后,客户端需要重复身份验证过程,资源所有者需要进行登录,并提供授权,让客户可以再次发出访问令牌请求。

如果客户需要刷新访问令牌,而资源所有者没有位于浏览器上,无法进行登录和身份验证,则客户端可以采用离线访问。客户端可以在发出第一个授权码请求时请求离线访问(参见步骤 (A))。根据这项计划,除了访问令牌之外,授权服务器还会返回刷新令牌。刷新令牌是一个长寿令牌,不会过期,除非明确由资源所有者撤销。每当访问令牌到期时,客户端可以使用刷新令牌来重新生成一个访问令牌,资源所有者无需登录和授权访问请求。

客户端采用 application/x-www-form-urlencoded 格式向令牌端点(授权服务器)发出一个请求,如 清单 4 所示:

清单 4. 请求令牌端点

POST /token HTTP/1.1
Host: server.example.com
Authorization:Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
请求参数的定义如下:

grant_type:必选项。该值必须设置为 refresh_token。
refresh_token:必选项。这是之前从访问令牌请求获得的令牌。
scope:可选项。访问请求的范围。
授权服务器验证刷新令牌并发出一个新的访问令牌。

刷新访问令牌响应

如果请求成功,授权服务器将会返回一个新的访问令牌。成功的响应示例如 清单 5 所示。

清单 5. 刷新访问令牌响应

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
“access_token”:“2YotnFZFEjr1zCsicMWpAA”,
“token_type”:“Bearer”,
“expires_in”:3600,
“example_parameter”:“example_value”
}
如果请求无效,或者未经授权,那么授权服务器将会使用代码返回一个相应的错误消息。

================================================================================================

在这里插入图片描述

参考的博客
//oauth2.0的说明
https://www.cnblogs.com/cjsblog/p/9174797.html
//授权机制说明
https://open.weibo.com/wiki/%E6%8E%88%E6%9D%83%E6%9C%BA%E5%88%B6
https://www.ibm.com/developerworks/cn/java/se-oauthjavapt3/

qq_43382364
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
27-令牌自省OAuth2TokenIntrospectionEndpointFilter
码农小胖哥
03-21 6101
OAuth2TokenIntrospectionEndpointFilter同样直接由OAuth2AuthorizationServerConfigurer进行配置,负责令牌自省,在OAuth2中这个功能是提供给Resource Server做令牌校验用的。对于Resource Server来说令牌自省不是一个必须的功能。今天我们来简单研究一下这个过滤器。 OAuth2TokenIntrospectionEndpointFilter OAuth2TokenIntrospectionEndpointFilte
Oauth2
分享身边生活经验blog
06-26 775
四、优化 优化点如下: 兼容性问题: 因为既要兼容原始登陆模块,又要兼容新建的管理员模块,所以需要判断是原始用户还是管理员用户。 验证token时需要判断是认证服务颁发的令牌还是老登陆系统颁发的令牌并分别验证。 分布式问题:ExceptionTransactionFilter中将request请求信息保存到session中,如果是分布式部署,会有访问不到session的问题发生。 异常返回问题:资源服务器自定义异常返回。 4.1 兼容性优化 生成令牌 逻辑 音箱作为第三方需要通过授
OAuth2.0 详解
XT4625的专栏
01-13 1877
OAuth2.0 的授权简单理解其实就是获取令牌(token)的过程,OAuth 协议定义了四种获得令牌的授权方式(authorization grant ):授权码(authorization-code)、简单式(implicit)、密码式(password)、客户端凭证(client credentials),一般常用的是授权码和密码模式。发布于 2022-05-04 18:16。
图解OAuth 2.0协议族(九):令牌内省 introspect token
yunyun1886358的专栏
11-06 1858
OAuth 2.0协议:令牌内省introspect token 此协议让收资源保护服务可以通过授权服务器提供的内省API获取访问令牌的所有信息,包括是否激活,过期,权限范围,受众,签发者等等。替代了强耦合的共享数据库方式,又有效的减小了令牌本身的数据大小,并且可以集中管理令牌。 response type:code grant type: authorization code token type: bearer token: access token ...
[认证授权] 2.OAuth2授权(续) & JWT(JSON Web Token)
weixin_34034261的博客
04-03 202
1 RFC6749还有哪些可以完善的? 1.1 撤销Token 在上篇[认证授权] 1.OAuth2授权 中介绍到了OAuth2可以帮我们解决第三方Client访问受保护资源的问题,但是只提供了如何获得access_token,并未说明怎么来撤销一个access_token。关于这部分OAuth2单独定义了一个RFC7009 - OAuth 2.0 Token Revocation来解决撤销T...
Oauth 2.0介绍
等风来也chen
12-11 198
Oauth 2.0 Oauth2.0是一种授权机制,用来授权第三方应用,获取用户数据。例如快递需要进入小区送货但是没有门卡进入相同。这里相当于给了快递小哥权限进入小区权限,每次进入都需要征求户主同意一样。 token 与password的区别: token是短期的,到期就会自动失效,用户无法自己修改,password长期有效,用户不进行修改,就不会发生变化 token可以被数据所有者撤销,会立即失...
Javaoauth2.0 服务端与客户端的实现 (完整源码、demo)
10-01
Javaoauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:...
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
oauth2.0.zip_oauth2.0
09-20
这个压缩包文件"oauth2.0.zip_oauth2.0"包含了深入理解OAuth 2.0的基础知识,特别是针对初学者的入门介绍。其中的"oauth2.0.pdf"文档很可能是详细阐述OAuth 2.0概念、工作流程和实际应用的教程。 OAuth 2.0的核心...
webapi基于Owin中间件的oauth2.0身份认证
10-07
**OAuth2.0简介** OAuth2.0是一种授权框架,广泛应用于Web API的身份验证和授权。它允许第三方应用在用户授权的情况下,访问该用户的特定资源,而无需获取用户的用户名和密码。OAuth2.0的核心是将认证和授权分离,...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
OAuth 2.0 / RCF6749 协议解读
weixin_30633507的博客
05-28 124
  OAuth是第三方应用授权(Authorization)的开放标准,目前最新版本是2.0,以下将要介绍的内容和概念主要来源于该版本。恐篇幅太长,OAuth 的诞生背景就不在这里赘述了,可参考The OAuth 2.0 Authorization Framework。   四种角色定义: Resource Owner:资源所有者,即终端用户 Resource server:资源服务...
oauth2.0授权协议中授权服务的功能及工作原理分析
u013905744的专栏
12-16 499
授权这个大动作的前提,肯定是第三方软件要去平台那里“备案”,也就是注册。注册完后,开放平台就会给第三方软件app_id和app_secret等信息,以方便后面授权时的各种身份校验。 同时,注册的时候,第三方软件也会请求受保护资源的可访问范围。 授权服务可以说是整个OAuth 2.0体系中的 “灵魂” 组件,任何一种许可类型都离不开它的支持,它也是最复杂的组件。它将复杂性尽可能地“揽在了自己身上”,才使得第三方软件接入OAuth 2.0的时候更加便捷。 授权服务器组成 提供4个端点 endpoint
OpenStack理论
weixin_45724795的博客
03-06 882
前言:OpenStack是一个由NASA(美国国家航空航天局)和Rackspace合作研发并发起的,以Apache许可证授权的自由软件和开放源代码项目。 OpenStack支持几乎所有类型的云环境,项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。OpenStack通过各种互补的服务提供了基础设施即服务(IaaS)的解决方案,每个服务提供API以进行集成。 OpenStack云...
openstack token
weixin_30615767的博客
08-10 265
在openstack的token中,包含如下:   'domain',               {'id': None, 'name': None}'expires',               datetime.datetime(2017, 8, 9, 6, 35, 56, 920984, tzinfo=<iso8601.iso8601.Utc object at 0x7f2...
开发多线程程序时,需要注意那些问题
最新发布
OO_SEN的博客
08-23 543
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
Yolov8:模型部署到安卓端
m0_70694811的博客
08-21 786
下载安装jdk-8u202-windows-x64.exe,这篇文章有百度网盘资源链接,直接下载,并按照这篇文章的JDK步骤进行安装和环境变量配置。C:\Program Files\Java\jdk-1.8\bin和C:\Program Files\Java\jdk-1.8\jre\bin。比如因为我的jdk路径是C:\Program Files\Java\jdk-1.8,所以这两个相对路径就改成。参考这边文章的USB驱动设置和手机端设置。同意协议后,下载相应版本的JDK。
笔记redis
风止的博客
08-22 1052
Redis(Remote Dictionary Server)是用C语言开发的一个基于的数据库。
OAuth 2.0入门指南
"Getting Started with OAuth 2.0" 是一本由 Ryan Boyd 撰写的书籍,主要介绍了OAuth 2.0的使用和概念。OAuth 2.0 是OAuth协议的升级版本,它不与之前的OAuth 1.0兼容,并且在2012年10月正式成为RFC标准。 OAuth ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值