OAuth 浅析

最新推荐文章于 2022-05-24 16:24:58 发布
最新推荐文章于 2022-05-24 16:24:58 发布
阅读量210 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s493197604/article/details/105223149
版权

OAuth 浅析

OAuth是什么?

维基给出的定义如下:
OAuth is an open standard for access delegation, commonly used as a way for Internet users to grant websites or applications access to their information on other websites but without giving them the passwords.

直译就是:oauth是一个访问授权/委托的开发标准,解决如何安全的实现第三方应用授权访问用户信息的问题

OAuth应用场景

Amazon,Google, Facebook, Microsoft and Twitter 等国外企业,阿里、腾讯、百度等国内企业,他们一般会存储用户的大量信息,用户对他们也是“信任”的。

互联网时代,尤其是移动互联网时代,在大厂们的基础或平台上,各种第三方服务/应用层出不穷,可以给我们提供各种便利的、个性化的服务,满足人们的各种需求。

这就会带来一个信息共享的矛盾?
第三方服务变化日新月异,但一般都是一些小公司提供的,无法得到用户完全信任,用户不想将所有的信息与其共享。比如说提供照片美化编辑打印服务的一个第三方应用,而用户的照片等所有资料都存在百度网盘上,对于用户来说,照片是可以跟这个应用共享的,但是其它信息并不想也没有必要共享。
通过OAuth就可以解决这个问题,用户可以通过OAuth,仅给第三方应用授权/委托访问自己的照片信息。

OAuth示例

OAuth中一般有四个角色,
user:信息所有者
client:第三方应用
authentication/authorization service:鉴权服务
resource service:资源服务

示例:

  1. user使用client服务
  2. client 跳转到authentication/authorization service(例如百度网盘),service进行用户鉴权(例如输入用户名和密码)
  3. 鉴权通过后,authentication/authorization service 发送给client 一个token(这里可能有code、implicate等几种方式)
  4. client获得access token后,将token发给resource service,token验证通过后,resource service将指定信息共享给client

OAuth本质

OAuth中的“Auth”一般是指Authorizaiton,但是这样也不是很准确,看维基的解析,个人认为delegation还是比较准确的。

随着OAuth的普及,有一些场景将其用于authentication,这可能就属于滥用了,openid与OAuth的结合就可以解决这个问题。

目前微服务越来越普及,各个服务组件之间的delegation就非常适合用OAuth来解决。

s493197604
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
帮你深入理解OAuth2.0协议
SecCloud的专栏
11-16 12万+
1. 引言 如果你开车去酒店赴宴,你经常会苦于找不到停车位而耽误很多时间。是否有好办法可以避免这个问题呢?有的,听说有一些豪车的车主就不担心这个问题。豪车一般配备两种钥匙:主钥匙和泊车钥匙。当你到酒店后,只需要将泊车钥匙交给服务生,停车的事情就由服务生去处理。与主钥匙相比,这种泊车钥匙的使用功能是受限制的:它只能启动发动机并让车行驶一段有限的距离,可以锁车,但无法打开后备箱,无法使用车内其他
Oauth2单点登录
weixin_41279060的博客
12-21 2万+
OAuth 2.0是一种设计思路,不是一个框架 Oauth2的4种模式: 1、授权码模式(获取code、code换取access_token) 2、简化模式(直接换取access_token,基本不用) 3、密码模式(客户端像用户索取账号密码,然后客户端向服务端索取授权,基本不用) 4、客户端模式(客户端以自己的名义要求"服务提供商"提供服务;场景:提供接口服务) Oa
OAuth 2.0
技术至上
12-11 111
OAuth认证和授权的过程如下: 1、用户访问第三方网站网站,想对用户存放在服务商的某些资源进行操作。2、第三方网站向服务商请求一个临时令牌。3、服务商验证第三方网站的身份后,授予一个临时令牌。4、第三方网站获得临时令牌后,将用户导向至服务商的授权页面请求用户授权,然后这个过程中将临时令牌和第三方网站的返回地址发送给服务商。5、用户在服务商的授权页面上输入自己的用户名和密码,授权第三方网站访问...
OAuth2.0的简单理解与使用
03-17 1万+
最近在做小程序的开发,在调用数据接口的时候发现一个以前知道却不了解的协议OAuth2.0,只有获得授权才可以顺利调用自己想要的API,没办法只能花时间研究下咯。1.应用场景假设你想玩现在很火的一款吃鸡游戏,但是需要使用你的微信账号登录,这时就出现一个授权访问的问题,OAuth2.0协议就是应用于这种场景之下的。如图微信会告诉你,吃鸡游戏将会访问你的那些用户数据首先我们来理解下OAuth2.0协议的...
OAuth2.0Demo
03-06
OAuth2.0是一种广泛使用的开放授权协议,它允许第三方应用以安全的方式获取用户在另一服务上的资源,而无需用户在每次请求时都提供密码。在本文中,我们将深入探讨OAuth2.0的核心概念、实现机制,以及如何在Spring ...
Oauth2.0 in Action
11-26
OAuth 2 in Action teaches you the practical use and deployment of this ... You'll learn how to confidently and securely build and deploy OAuth on both the client and server sides. Foreword by
Master OAuth 2.0
03-25
OAuth 2.0工作机制的举例描述,非常适合你理解和掌握。
java oauth
01-22
Java OAuth2.0 认证服务是Web应用中广泛采用的安全认证框架,它允许第三方应用在用户授权的情况下访问受保护的资源。OAuth2.0的核心是授权流程,它定义了客户端如何请求用户的授权以及服务器如何发放访问令牌。在这...
OAuth2.0.pdf
09-05
OAuth2.0 标准英文文档。。OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0...
OAuth2.0 原理流程及其单点登录和权限控制
热门推荐
kefeng.wang 的博客
07-26 13万+
单点登录是多域名企业站点流行的登录方式。本文以现实生活场景辅助理解,力争彻底理清 OAuth2.0 实现单点登录的原理流程。同时总结了权限控制的实现方案,及其在微服务架构中的应用。 作者:王克锋 出处:https://kefeng.wang/2018/04/06/oauth2-sso/ 版权:自由转载-非商用-非衍生-保持署名,转载请标明作者和出处。 1 什么是单点登录 1....
插件学习笔记:Oauth2.0+SpringSecurity实现单点登录
Mactavish_Cui的博客
02-25 2645
概念 单点登录(Single Sign On, SSO),指的是登录一次即可访问信任的多个服务,这在微服务的架构中是十分重要的,也是业务整合的解决方案之一。在之前的学习里学了基于SpringSecurity+Oauth2.0实现的SSO,也有基于CAS实现的SSO,在本篇文章中将SSO的Oauth2.0+SpringSecurity实现单独剥离出来,给出详细的搭建步骤。在CAS实现单点登录的章节中会有二者的对比。 系统架构 下图给出了基于SpringSecurity于Oatuth2.0的单点登录解决方案,该
OAuth2.0协议及五种授权模式
晋文子上的博客
09-11 2万+
  OAuth:一个关于授权(authorization)的开放网络标准,目前版本是2.0版。   为何要使用OAuth协议呢?OAuth协议的应用场景。 第三方服务方提供服务,某些服务需要用户的同意才能够做到,好比客厅要装修,需要得到主人的同意,拿到钥匙,才能装修,提供服务。 传统做法: 把所有钥匙(账号密码)给工人。但这样,工人可能用这个钥匙开卧室的门。甚至打一个新的钥匙。 缺点...
OAuth原理
ww112233j的博客
05-24 3748
包括如下内容: 1 从简单的例子了解 OAuth 2 OAuth 的定义和组成 3 OAuth 的 Refresh Token 4 OAuth 的授权模式 从简单的例子了解 OAuth 在介绍 OAuth 2.0 之前,让我们来看一个简单的例子。假设你平时喜欢照相,将生活中的点点滴滴记录成电子照片并且存放到云盘上,每隔一段时间会将心仪的照片挑选出来进行打印保存。 同时你发现网络上面有一个款云打印照片的应用,只需要导入电子照片,这款应用就可以帮你进行打印然后将成片邮寄到你的家中。 我们将这
OAuth 原理详解(一)
weixin_39565641的博客
03-30 3660
1、OAuth的简述 OAuth(Open Authorization,开放授权)是为用户资源的授权定义了一个安全、开放及简单的标准,第三方无需知道用户的账号及密码,就可获取到用户的授权信息,并且这是安全的。 2、名词定义 在详细讲解OAuth 2.0之前,需要了解几个专用名词。它们对读懂后面的讲解,尤其是几张图,至关重要。 (1) Third-party application:第三方应用程序,...
盘点认证协议 : 普及篇之OAuth , OIDC , CAS
black-ant
08-03 4823
首先分享之前的所有文章 , 欢迎点赞收藏转发三连下次一定 >>>> ???????????? 文章合集 : ???? https://juejin.cn/post/6941642435189538824 Github : ???? https://github.com/black-ant CASE 备份 : ???? https://gitee.com/antblack/case 这一篇来聊一聊老本行 - 身份安全的相关概念 . 主要来说一说一般身份认证中
Oauth2.0认证原理
weixin_30580943的博客
01-25 410
Oauth2.0 认证协议 Oauth2.0 应用场景: 微信联合登录 授权管理 互联网开放平台互相调用保证安全 微信提供api 给toov5调用 然后就可以获取一些微信的信息 比如微信头像 开放平台有 支付宝 微信 百度等等 不同的开放平台 对接的oauth2.0协议流程都是相同,无非接口地址不同 Oauth2.0原理 (ap...
有没有必要在项目里使用Oauth2,不为了技术而技术,你可能并不需要 OAuth2
技术博客
07-10 3079
OAuth2 是一个关于 授权 (Authorization)的网络标准,在网上已经有大量的资料来解释,本文不再详细解释原理和规范的详情。关于 Authorization 和 Authentication 的区别之后会写另外一篇文章来分析。在此仅列两个比较优质的解释 OAuth2 原理的文章: 理解OAuth 2.0 —— 阮一峰 [认证授权] 1.OAuth2授权 —— blackheart 尽管如此,这里还是描述一下 OAuth2 的使用场景,以便约定和明确一下角色方便后面叙述。 角色 A (tw
048N06L-VB TO252一款N-Channel沟道TO252的MOSFET晶体管参数介绍与应用说明
最新发布
07-08
048N06L-VB TO252;Package:TO252;Configuration:Single-N-Channel;VDS:60V;VGS:20(±V);Vth:3V;RDS(ON)=12mΩ@VGS=4.5V;RDS(ON)=4.5mΩ@VGS=10V;ID:97A;Technology:Trench;
通过PostMan验证Oauth2认证过程.docx
02-23
"通过PostMan验证Oauth2认证过程,主要涉及微服务中的认证和鉴权,使用API网关和OAuth2授权服务实现安全校验。" 在微服务架构中,认证和鉴权是保障系统安全性的重要环节。Oauth2是一种广泛使用的授权框架,它允许第...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值