OAuth2.0

我敲BUG

已于 2023-04-04 11:26:20 修改

阅读量153

点赞数 1

文章标签： java 开发语言

于 2022-05-24 13:44:22 首次发布

本文链接：https://blog.csdn.net/qq_58804301/article/details/124945185

版权

OAuth2.0是一种广泛使用的授权机制，用于允许第三方应用安全地访问用户数据。它涉及四个关键角色：资源所有者、资源服务器、客户端和授权服务器。流程包括资源所有者授权、客户端获取授权码、认证服务器发放令牌以及客户端使用令牌访问资源服务器。OAuth2.0提供了四种授权方式：授权码、隐式、密码和客户端凭据。令牌具有时效性、可撤销和权限范围限制等特点，增强了安全性。

摘要由CSDN通过智能技术生成

1.什么是OAuth2.0

OAuth2.0是目前使用非常广泛的授权机制，用于授权第三方应用获取用户的数据。

OAuth 引入了一个授权层，用来分离两种不同的角色：客户端和资源所有者。

...... 资源所有者同意以后，资源服务器可以向客户端颁发令牌。客户端通过令牌，去请求数据。

2. OAuth2中的角色

1. 资源所有者

能够授予对受保护资源的访问权限的实体，如果资源的所有者为个人，也被成为最终用户

2. 资源服务器

存储有受保护资源的服务器，能够接受并验证访问令牌，并响应受保护资源的访问请求

3. 客户

需要被授权，然后再访问受保护资源的实体。客户这个术语，并不是特指应用程序，服务器，计算机

等。

4. 授权服务器

验证资源所有者并获取授权成功后，向客户发出访问令牌

3. 认证流程

4. 令牌的特点

使用令牌方式的优点：

1.令牌又时效性，一般是短期的，且不能修改，密码一般是长期有效的

2.令牌可以由颁发者撤销，且即时生效，密码一般可以不用修改而长期有效

3.令牌可以设定权限的范围，且使用者无法修改

在使用令牌时需要保证令牌的保密，令牌验证有效即可进入系统，不会再做其他的验证。

5. OAuth2授权方式

由于互联网有多种场景，OAuth2定义了四种获取令牌的方式，可以选择合适与自己的方式

授权码（authorization-code）

隐藏式（implicit）

密码式（password）：

客户端凭证（client credentials）

6. 流程

6.1 资源所有者

资源所有者接到客户的请求，需要返回授权码

6.2客户

编写一个controller，向资源所有者发送请求来获取授权码

6.3客户

资源所有者生成授权码后，需要回调客户的一个接口，将授权码传回，客户得到授权码后，需要向认证

服务器发出请求，申请令牌

6.4 认证服务器

认证服务器接到客户请求，生成令牌，并返回令牌数据

6.5 客户

客户获取了令牌，并使用令牌向资源服务器请求数据

6.6 资源服务器

资源服务器接到请求，返回数据