OAuth2.0 - 简化模式、密码模式、客户端模式讲解

已于 2022-02-12 17:37:51 修改
阅读量9.1k 收藏 8
点赞数 2
分类专栏: 微服务 文章标签: oauth2
于 2022-01-16 16:29:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43692950/article/details/122523524
版权

一、OAuth2.0

在上篇文章中我们已经对OAuth2.0 做了讲解,以及授权码模式的认证过程,并且搭建了简单的认证服务和资源服务,由于上篇文章中我们只对授权码模式这一种认证登录模式做了讲解,本篇文章对简化模式、密码模式、客户端模式这三种模式进行下演示和讲解,下面是上篇文章的地址:

https://blog.csdn.net/qq_43692950/article/details/122521392

上篇文章的配制中,我们已经将所有的模式都放开给了c1这个客户id,所以在下面模式的演示中我们直接使用上篇文章搭建的项目即可:
在这里插入图片描述

二、简化模式

在这里插入图片描述
简化模式是相对于授权码模式来说,减少了通过授权码换取Token的步骤。

  1. 资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会附加客户端的身份信息

  2. 浏览器出现向授权服务器授权页面,之后将用户同意授权。

  3. 授权服务器将授权码将令牌(access_token)以Hash的形式存放在重定向uri的fargment中发送给浏览器。

一般来说,简化模式用于没有服务器端的第三方单页面应用,因为没有服务器端就无法接收授权码。

特点

  • 简单。流程简单
  • 适用于纯前端应用
  • 不安全。稍有不慎,Token可以被恶意脚本获取
  • Token有效期短,浏览器关闭即失效

浏览器访问:

http://localhost:8020/oauth/authorize?client_id=c1&response_type=token&scope=all&redirect_uri=http://www.baidu.com

在这里插入图片描述

在这里插入图片描述
在地址栏就可以看到返回的token:
在这里插入图片描述
下面使用Token访问资源接口:

在这里插入图片描述

三、密码模式

在这里插入图片描述

  1. 资源拥有者将用户名、密码发送给客户端
  2. 客户端拿着资源拥有者的用户名、密码向授权服务器请求令牌(access_token)

这种模式十分简单,但是却意味着直接将用户敏感信息泄漏给了client,因此这就说明这种模式只能用于client是我们自己开发的情况下。因此密码模式一般用于我们自己开发的,第一方原生App或第一方单页面应用。

特点:

  • 需要输入账号密码,极度不安全,需要高度信任第三方应用
  • 适用于其他授权模式都无法采用的情况

使用PostMan 发送POST请求:

http://localhost:8020/oauth/token?client_id=c1&client_secret=secret&grant_type=password&username=admin&password=1234

在这里插入图片描述
下面使用Token访问资源接口:
在这里插入图片描述

四、客户端模式

在这里插入图片描述

  1. 客户端向授权服务器发送自己的身份信息,并请求令牌(access_token)
  2. 确认客户端身份无误后,将令牌(access_token)发送给client

这种模式是最方便但最不安全的模式。因此这就要求我们对client完全的信任,而client本身也是安全的。因此这种模式一般用来提供给我们完全信任的服务器端服务。比如,合作方系统对接,拉取一组用户信息。

特点

  • 授权维度为应用维度,而不是用户维度。因此有可能多个用户共用一个Token的情况
  • 适用于应用维度的共享资源

使用PostMan 发送POST请求:

http://localhost:8020/oauth/token?client_id=c1&client_secret=secret&grant_type=client_credentials

在这里插入图片描述
下面使用Token访问资源接口:
在这里插入图片描述
在这里插入图片描述
喜欢的小伙伴可以关注我的个人微信公众号,获取更多学习资料!

小毕超
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一文读懂Oauth2四种客户端授权模式
ningkangming的博客
06-27 1156
Oauth是一个关于授权(authorization)的开放网络工业标准,允许用户授权第三方应用访问用户存储在其它应用上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0OAuth协议的延续版本。 本文主要介绍Oauth2四种授权模式,包括授权码模式简化模式密码模式客户端模式
阮一峰_理解OAuth 2.01
08-08
3. 密码模式客户端可以直接获取用户密码,适用于用户信任的客户端。 4. 客户端模式客户端凭自身身份获取令牌,主要用于服务器之间的API调用。 在这篇文章中,阮一峰以云冲印服务为例,详细阐述了OAuth 2.0 的...
Oauth2.0 密码模式客户端及模拟服务端手动实现
07-18
Oauth2.0 密码模式单点登录客户端及服务端实现,导入MAVEN工程,导入Client1-root ,包含7个子工程,client1-web,client2-web是客户端项目,sessmgr是服务端,运行这3个项目 ,可测试单点登录功能
Oauth2系列5:客户端凭据模式
weigeshikebi的博客
07-09 1984
Oauth2系列5:客户端凭据模式
OAuth 2.0 客户端类型
最新发布
qq_33240556的博客
06-17 539
选择合适的客户端类型和授权类型是确保OAuth 2.0授权流程安全性和适用性的关键。了解机密客户端和公共客户端的区别,以及它们各自适用的场景,可以帮助开发人员设计安全、可靠的授权机制。
SpringSecurityOauth2(四种模式
justlpf的专栏
04-14 1738
说明:客户端直接通过客户端认证(比如client_id和client_secret)从认证服务器获取访问令牌。说明:客户端直接向用户获取账号密码(不安全),之后向授权服务器获取token。说明:正宗的oauth模式,先获取授权码,在通过授权码获取token。.0是目前流行的授权机制,用于授权第三方应用,获取数据。说明 :和授权模式相比取消了授权过程,直接获取token。​​后,授权中心会要求资源所有者进行身份验证。​​,回调路径会,回调路径携带着令牌。当请求到达授权中心​​。
OAuth2.0认证和授权原理(续)
weixin_34194702的博客
10-16 269
2019独角兽企业重金招聘Python工程师标准>>> ...
微服务应用之OAuth2.0的四种授权方式
weixin_45974176的博客
09-26 3898
看完你就会懂oauth2.0的四种授权方式是如何工作的了
OAuth2四种模式介绍+项目实战
What大潘的博客
04-02 5210
OAuth2入门案例,带你快速了解OAuth2的四种模式和使用场景
Oauth2认证、登录模式
随心
10-25 276
​ redirect_uri 跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)​ redirect_uri 跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)​ redirect_uri 跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)这种模式是最方便但最不安全的模式
OAuth2.0系列四:OAuth2.0简化模式
青藤光年的博客
09-11 1972
简化模式 有些纯前端应用,必须将令牌储存在前端。那么可以使用简化模式(隐藏式)来申请授权,颁发令牌。 浏览器向授权服务器申请授权,并设置response_type=token,表示直接返回令牌 授权服务器通过校验后跳转到重定向地址并返回token 浏览器通过token去申请资源 这种方式把令牌直接传给前端是很不安全的。因此,只能用于一些安全要求不高的场景,并且令牌的有效期必须非常短,通...
oauth2密码模式分离
08-09
oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离oauth2密码模式分离
node-google-oauth-2
05-08
在深入讲解这个库之前,我们需要理解OAuth 2.0的基本流程: 1. 用户访问应用并请求访问受保护的资源。 2. 应用引导用户到Google的OAuth授权页面,用户同意授予应用一定的权限。 3. 用户授权后,Google会重定向回应用...
OAuth.2.in.Action.pdf
04-03
本书首先介绍了OAuth 2.0的基本原理和设计目标,讲解了授权码流、简化授权流、密码凭据流以及客户端凭据流等不同的授权类型。授权码流通常用于Web应用,通过重定向URL来获取授权码;简化授权流适用于移动和桌面应用...
google-clients:与Google服务进行交互的客户端
02-12
1. **身份验证**:库支持多种身份验证机制,如OAuth 2.0,这使得开发者可以安全地获取用户的授权,从而访问其Google账户下的资源。例如,你可以用它来获取用户的Google Drive文件或者发送邮件。 2. **API调用**:库...
Oauth2.0的四种模式
qq_37457564的博客
07-25 2116
1. 授权码模式 (1)资源拥有者打开客户端客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize? client_id=p2pweb&response_type=code&scope=app&redirect_uri=http://xx.xx/notify 参数列表如下: client_id:客户端接入标识。 response_type:授权码模式固定为code。 scope:客户端权限
详解.NET实现OAuth2.0四种模式(2)密码模式
lweiyue的专栏
07-20 2455
一、密码模式的认证流程 密码模式是比较简单的一种模式,其认证流程如下图所示: 二、受限资源设计 OAuth2.0设计的目的是限制某些资源的访问,用户必须认证通过之后才能访问。我们在项目中加入一个简单的Controller,作为资源示例。 右击项目,添加一个Web API控制器类(v2.1),如下图所示: 我们把这个类命名为ValuesController,在这个类中只添加一个函数: public IHttpActionResult Get() { return Ok(new s
【Spring Boot 集成应用】 OAUTH2统一认证单点登录中的各种模式说明
Mirson - 多一些分享, 多一些进步
09-24 2106
传统登陆方式是在每个服务进行登陆认证, 每个服务保存自己的用户数据, 并独立实现登陆认证逻辑。随着服务的不断扩展, 用户数据很难集中统一,开发成本不断增加, 用户交互也极为不便 。单点登陆是通过统一认证授权服务, 完成所有服务节点的登陆授权工作,需一台认证服务器,统一用户数据库, 完成用户认证授权, 控制资源访问, 支持其他服务或第三方应用接入, 扩展性强, 开发和运维成本降低。
前后端分离oauth2.0 - springsecurity + spring-authorization-server 密码模式
07-11
### 回答1: 前后端分离是一种将前端界面与后端逻辑进行分离开发的架构方式,使得前端与后端可以并行开发。OAuth 2.0是一种授权框架,用于授权和认证流程的规范化,而Spring Security是一个在Java中实现安全控制的框架,提供了大量的安全特性。Spring Authorization Server是Spring Security中用于实现授权服务器的模块,它支持OAuth 2.0的各种授权模式密码模式OAuth 2.0中的一种授权模式,它允许用户通过提交用户名和密码来获取访问令牌,然后使用该令牌来访问受保护的资源。在前后端分离的架构中,可以使用Spring Security配合Spring Authorization Server来实现密码模式的认证和授权。 在密码模式下,前端首先需要收集用户的用户名和密码,并将其发送给后端。后端使用Spring Security提供的密码编码器对密码进行加密,并验证用户名和密码的正确性。如果验证通过,则后端向客户端颁发一个访问令牌,通常是一个JWT(JSON Web Token)。前端使用获得的访问令牌来访问需要受保护的资源,每次请求将该令牌作为Authorization头的Bearer字段发送给后端进行验证。后端可以使用Spring Security的资源服务器来验证该令牌的有效性,并根据用户的权限控制对资源的访问。 使用Spring Security和Spring Authorization Server的密码模式可以实现安全的前后端分离架构。通过合理配置和使用安全特性,可以保障用户的身份认证和资源的授权,确保系统的安全性。 ### 回答2: 前后端分离是一种软件架构模式,前端和后端通过使用API进行通信,分别负责处理用户界面和数据逻辑。OAuth 2.0是一种用于授权的开放标准协议,它允许用户在第三方应用程序中授权访问其受保护的资源。Spring Security是Spring框架中的一个模块,提供了身份验证和授权功能。 在前后端分离的架构中,前端应用程序通常需要使用OAuth 2.0协议进行用户授权,以访问后端应用程序的受保护资源。为了实现密码模式,我们可以使用Spring Security的模块之一,即spring-authorization-server。 spring-authorization-server是Spring Security的一个子模块,用于实现OAuth 2.0协议中的授权服务器。密码模式OAuth 2.0协议中的一种授权模式,允许前端应用程序通过用户的用户名和密码进行授权。密码模式在安全性上有一定的风险,因此在实际应用中需要谨慎使用。 使用spring-authorization-server的密码模式,我们可以在前端应用程序中收集用户的用户名和密码,并将其提交给后端应用程序进行验证。后端应用程序将使用Spring Security进行身份验证,并向前端应用程序颁发一个访问令牌,该令牌可以用于后续的API请求。 通过使用前后端分离、OAuth 2.0和spring-authorization-server的密码模式,我们可以实现安全的用户授权和身份验证机制,确保只有经过授权的用户才能访问受保护的资源。这种架构模式能够提高系统的安全性和可扩展性,适用于各种类型的应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小毕超

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值