Oauth2简介

于 2024-09-03 20:04:29 发布
阅读量415 收藏 13
点赞数 3
分类专栏: 杂谈 文章标签: github git 网络 服务器 大数据 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56438516/article/details/141870522
版权

OAuth 2.0 是一个行业标准的协议,用于授权。它允许应用程序代表用户访问服务器上的数据,而无需暴露用户的用户名和密码。OAuth 2.0 专注于简化客户端开发人员的操作,同时为Web应用、桌面应用、手机和客厅设备提供专门的认证流程。

OAuth 2.0 的核心概念:

  1. 资源所有者(Resource Owner): 指的是数据的拥有者,即用户。在OAuth 2.0中,资源所有者授权第三方应用访问其数据。

  2. 资源服务器(Resource Server): 存储受保护资源的服务器,只有经过授权的客户端才能访问这些资源。

  3. 客户端(Client): 请求访问资源所有者资源的应用程序。客户端可以是Web应用、桌面应用、手机应用等。

  4. 授权服务器(Authorization Server): 负责颁发访问令牌给客户端。授权服务器在资源所有者同意后,向客户端发放访问令牌。

  5. 访问令牌(Access Token): 一种凭据,用于访问资源服务器上的资源。访问令牌具有有效期,并可以被资源服务器验证。

  6. 刷新令牌(Refresh Token): 当访问令牌过期时,客户端可以使用刷新令牌来获取新的访问令牌,而无需再次获得资源所有者的授权。

OAuth 2.0 的授权流程:

  1. 客户端注册: 客户端向授权服务器注册,以获取客户端标识(Client ID)和客户端密钥(Client Secret)。

  2. 用户授权: 用户访问客户端,并同意授权客户端访问其数据。

  3. 客户端获取授权码: 如果用户同意授权,授权服务器会向客户端提供一个授权码(Authorization Code)。

  4. 客户端交换授权码: 客户端使用授权码向授权服务器交换访问令牌。

  5. 客户端使用访问令牌访问资源: 客户端使用获取到的访问令牌向资源服务器请求资源。

  6. 资源服务器验证访问令牌: 资源服务器验证访问令牌的有效性,如果有效,则提供资源。

OAuth 2.0 的授权模式:

  1. 授权码模式(Authorization Code Grant): 最常用的模式,适用于Web应用。它涉及客户端、用户、授权服务器和资源服务器之间的交互。

  2. 隐式模式(Implicit Grant): 适用于移动应用和JavaScript应用,它不提供刷新令牌,且访问令牌直接返回给客户端。

  3. 密码模式(Resource Owner Password Credentials Grant): 在用户将用户名和密码提供给客户端时使用,通常用于高度信任的客户端。

  4. 客户端模式(Client Credentials Grant): 当客户端需要访问自己的资源时使用,不涉及资源所有者的授权。

  5. 设备模式(Device Authorization Grant): 适用于无法通过常规流程授权的场景,如智能电视、物联网设备等。

OAuth 2.0 提供了一种安全的方式来授权第三方应用访问用户数据,同时保护用户的用户名和密码。它被广泛应用于各种应用程序和服务中,以实现安全、便捷的用户认证和授权。

OAuth 2.0 定义了四种授权模式,包括授权码模式(Authorization Code Grant)、隐式授权模式(Implicit Grant)、密码模式(Resource Owner Password Credentials Grant)和客户端模式(Client Credentials Grant)。

OpenID Connect(OIDC)则是基于 OAuth 2.0 的身份层,它不仅关注授权,还关注身份验证。OIDC 通过引入 ID 令牌(ID Token)和用户信息端点(UserInfo Endpoint)来扩展 OAuth 2.0,允许客户端验证用户的身份并获取用户的基本信息。

在授权流程上,OAuth 2.0 和 OIDC 的主要异同如下:

  1. 授权流程

    • OAuth 2.0 侧重于授权流程,允许第三方应用获取访问令牌来访问用户数据。
    • OIDC 在 OAuth 2.0 的基础上增加了身份验证流程,通过 ID 令牌来确认用户身份。

  2. 令牌类型

    • OAuth 2.0 使用访问令牌(Access Token)来访问资源。
    • OIDC 除了访问令牌外,还使用 ID 令牌来验证用户身份。

  3. 用户信息

    • OAuth 2.0 不直接提供用户信息。
    • OIDC 提供用户信息端点,客户端可以使用访问令牌获取用户信息。

  4. 角色

    • OAuth 2.0 的主要角色包括客户端、授权服务器和资源服务器。
    • OIDC 引入了额外的角色,如 OpenID 提供者(对应 OAuth 2.0 的授权服务器)和依赖方(对应 OAuth 2.0 的客户端)。

  5. 安全性

    • OAuth 2.0 通过授权码模式确保授权过程的安全性,授权码不会直接暴露给客户端。
    • OIDC 通过 ID 令牌增加了一层身份验证,确保只有经过验证的用户才能获取用户信息。

在实际应用中,如果你只需要授权访问用户数据,可以使用 OAuth 2.0。如果你需要同时进行身份验证和授权,那么 OpenID Connect 是更合适的选择。例如,用户使用 Google 或 Facebook 账号登录其他应用时,通常会使用 OIDC 来实现身份验证和授权。

Lill_bin
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oauth2简介与微信认证
jerryJavaCoding的博客
01-11 3060
简介oauth2与微信认证 开发过微信公众号的朋友应该都看过这些字眼:令牌token,凭证ticket,oauth认证等。对于只开发过传统登录认证的朋友们第一次见到都多少会有点懵逼。今天将简单讲讲oauth2和微信中各术语之间的区别与意义。 token认证与oauth2 互联网公司为了提高平台的扩展性,开放一系列API,建立自己的技术生态圈。第三方开发者可以根据其开放接口API自定义自己
OAuth2简介
白羊座的橙子
08-11 281
OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色,在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。前端应用直接获取 token,response_type 设置为 token,要求直接返回令牌,跳过授权码,WX授权通过后重定向到指定 redirect_uri。如果Web应用是没有后端的, 属于纯前端应用,无法用上边的授权码模式。这种授权方式缺点是显而易见的,非常的危险,如果采取此方式授权,该应用一定是可以高度信任的。......
OAuth2 简介
Leon_Jinhai_Sun的博客
12-17 78
OAuth2 简介
Spring Security OAuth2简介
SmilingCobra
06-24 641
最近学习了一些Spring Security OAuth2授权认证的实现过程。打算写一篇博客记录一下,毕竟自己将要参加工作了,这些技术也是需要学习的内容。 1.OAuth2是什么? 在开始正文内容之前,我想先解释一下,OAuth2是什么。 OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 OAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 OAuth 是安全的。换言
Spring Security OAuth2 简介和历史
Leon_Jinhai_Sun的博客
12-17 772
Spring Security OAuth2 简介和历史
OAuth2简介生成accessToken(一)
weixin_54889617的博客
12-10 5801
SpringSecurityOAuth2的基本Api简介和生成Access_Token
Spring Security oAuth2简介
热门推荐
京北游戏官方
02-20 2万+
概述 本章节的目的是帮助大家快速上手使用 Spring 提供的 Spring Security oAuth2 搭建一套验证授权及资源访问服务,帮助大家在实现企业微服务架构时能够有效的控制多个服务的统一登录、授权及资源保护工作 什么是 oAuth oAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 oAuth 的授权不会使第三方触及到用户的帐号信息(如用...
Spring Cloud与OAuth2整合简介
08-22
"Spring Cloud与OAuth2整合简介" Spring Cloud与OAuth2整合简介是指将Spring Cloud框架与OAuth2认证协议进行整合,以实现微服务架构中的身份验证和授权管理。OAuth2是目前最流行的身份验证和授权协议之一,广泛应用...
spring-security-oauth2文档
03-26
#### 一、Spring Security OAuth2简介 Spring Security OAuth2是Spring Security框架中的一个扩展模块,用于实现OAuth2协议的安全认证与授权功能。它为开发人员提供了一种简单的方式去实现OAuth2协议的支持,使得...
spring-facebook-oauth2:具有Spring Boot的Facebook oauth2
03-03
一、OAuth2简介 OAuth2是一种授权框架,允许第三方应用在用户授权的情况下,访问特定的资源。Facebook提供了一套基于OAuth2的API,允许开发者获取用户的公开信息,甚至包括用户的私人信息(如朋友列表、照片等),...
使用GitHub Actions的Self-hosted runner
长歌的博客
08-27 1104
配置成功```bash。
GitHub使用教程
AngeliaXue的博客
08-27 1130
创建远程仓库后,在电脑创建本地仓库,下载git并安装,使用git bash(windows命令行工具)和github建立连接,完成代码的上传下载。1) 在本地生成连接的密钥对,生成命令:ssh-keygen -t rsa -C “git账号”, 按路径找到密钥对。去本地打开bash命令行,执行clone命令,就可以执行相关的推拉等git命令了。输入命令,在选择yes后显示成功就说明绑定成功了。3) 通过git bash验证是否绑定成功。2) 绑定ssh密钥。2. GitGitHub绑定。
Gitee镜像关联GitHub仓库
yimeng_Sama的博客
08-29 410
GitHub 私人令牌用于授予 Gitee 读写 Github 仓库的权限。1)登录GitHub,通过 个人头像 >Settings> 下拉左侧菜单栏进入。2)。3)按下图填写相关信息(repo必须勾选)。4)复制生成的令牌。
githubgitlab的区别是什么
weixin_55412152的博客
09-01 1322
概述:GitLab 是一个全面的DevOps平台,不仅提供代码托管服务,还集成了持续集成/持续部署(CI/CD)、项目管理、代码审查、包管理等众多功能。GitLab 和 GitHub 都是基于 Git 版本控制系统提供服务的平台,但它们是两个不同的产品,各自有着不同的特点和目标用户群。相同点:二者都是基于web的Git仓库,在很大程度上GitLab是仿造GitHub来做的,他们都提供了分享开源项目的平台,强大的社区和开源文化:GitHub 因其庞大的开发者社区和丰富的开源项目而知名。
Github 2024-08-31 Rust开源项目日报 Top10
老孙正经胡说
08-31 1785
根据Github Trendings的统计,今日(2024-08-31统计)共有10个项目上榜。
GitHub Copilot的详细介绍
最新发布
LLZjiayou的博客
09-02 898
GitHub Copilot 是一个强大的 AI 编程助手,能够显著提升开发效率,特别是在处理常见模式、算法和编程任务时表现尤为出色。不过,它并不能完全替代开发者的思考和判断,开发者仍然需要对生成的代码进行适当的审查和优化。
C++:Github开源7.8Kstar的线程池介绍
Bobowen的博客
08-27 833
不仅帮助我理解了C++线程池的内部机制,还让我掌握了多线程编程中的一些重要技巧,如任务调度、线程同步和资源管理。在未来的编程实践中,我可以将这些知识应用到更复杂的多线程项目中,提高程序的性能和稳定性。通过学习这个线程池的实现,我深刻体会到,良好的代码设计对于解决复杂问题、提升软件质量至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值