OAuth 2.1 的进化之路

最新推荐文章于 2024-06-19 19:09:51 发布
最新推荐文章于 2024-06-19 19:09:51 发布
阅读量847 收藏
点赞数
文章标签: 网络 java 大数据 安全 js
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654086872&idx=1&sn=7b38ff55e16d37ada9e4a36f13161b6d&chksm=80d8028db7af8b9b98d66c473ad8cda62c57c7ed6173a944cff9ecb9bb0d277616d53a7bd50d&scene=126&&sessionid=0
版权
f275de10e127ae8fd48f32c094722d2b.png

背景

2010年, OAuth 授权规范 1.0 (rfc 5849) 版本发布, 2年后, 更简单易用的 OAuth 2.0 规范发布(rfc 6749), 这也是大家最熟悉并且在互联网上使用最广泛的版本, 在2012年的时候, iPhone 5 是全新的, 微软最新的浏览器还是 IE9, 单页面应用在当时还被称作 "Ajax 应用", CORS(跨域资源共享)还不是一个W3C标准。

到现在, 网络和移动领域发生了巨大的变化, 当时发布的授权协议标准已经远远不能满足现在的场景和需求, 为了应对这种不断变化的局面, OAuth 社区多年来一直在修补和扩展 OAuth 规范, OAuth 的格局也不断扩大, 越来越多的围绕 OAuth 2.0 core 的扩展授权规范出现, 也让 OAuth 2.0 整体看起来就像一个迷宫一样。

e4de7da8f717407ec7df635a9fe7da97.png

不断进化的 OAuth 2.0

在 OAuth 2.0 核心规范 (RFC 6749)中, 定义了四种授权类型:授权码、隐式、密码和客户端凭据, 如下:

21922f8ebabe96027a505690c2fa1d57.png

相信大家都很熟悉, 在 OAuth 2.0 中,最安全也是使用最普遍的就是授权码模式, 而对于本地应用,移动应用来说, 通常会使用隐式和密码授权, 这两种本身就是不安全的, 因为这些属于公开的客户端, 本身没有能力保护客户端机密, 但是当时并没有其它好的方案。

为了解决 OAuth 2.0 对公开客户端的授权安全问题, PKCE (RFC 6379)协议应运而生, 全称是 Proof Key for Code Exchange,PKCE 的原理是, 对于公共的客户端, 如果不能使用客户端秘钥(client_secret), 那客户端就提供一个自创建的证明 (code_verifier) 给授权服务器,其中使用了加密算法, 授权服务器通过它来验证客户端。

3f9e09b897e431b987d1bde46e3dabb2.png

后来,"OAuth 2.0 for Native Apps"(RFC 8252)规范发布,推荐原生应用也使用授权码 + PKCE。

8b6bf83514755f5235bf766ddade7c7c.png

随着技术不断地发展, 出现了设备授权的场景, 这里设备指智能电视,打印机等, 和传统的PC或者手机不同, 这种设备是缺少浏览器或者键盘的,那 OAuth 2.0 常规的授权模式肯定是不能满足的, 于是就出现了设备授权(Device Grant) 。

1ed394ccc6b597546758c628fde14765.png

在 OAuth 2.0 安全最佳实践(Security BCP)中, 弃用了隐式和密码授权,并且推荐所有的客户端都应该使用 Authorization Code + PKCE 的组合。

823519e317b9659cd88c750b782bc7a3.png

最终, 调整后的 OAuth 授权模式会更加精简, 转换成下面三种, 这也是 OAuth 2.1 的思想, 参考安全最佳实践(BCP),取其精华, 去其糟粕。

fe3f1e6dc7a7b2bad30c5d6681153ada.png

总结

归根结底, OAuth 2.1 并不是要推翻 OAuth 2.0,而是根据其安全最佳实践(BCP), 移除不安全的授权流程, 并且对扩展协议进行整合, 让原本复杂如迷宫的 OAuth 2.0 规范成为更易用,更安全的授权规范。

87970d433b73cc2636a58242b11c5e95.png

References

The OAuth 1.0 Protocol[1]
The OAuth 2.0 Authorization Framework[2]
The OAuth 2.1 Authorization Framework draft-ietf-oauth-v2-1-04[3]
It's Time for OAuth 2.1[4]
OAuth 2.0 for Native Apps[5]
OAuth 2.0 Device Authorization Grant[6] Proof Key for Code Exchange by OAuth Public Clients[7]

1fba4b3616761e5a9ec7478d19136aed.png

相关链接

[1] The OAuth 1.0 Protocol: https://datatracker.ietf.org/doc/html/rfc5849
[2] The OAuth 2.0 Authorization Framework: https://www.rfc-editor.org/rfc/rfc6749
[3] The OAuth 2.1 Authorization Framework draft-ietf-oauth-v2-1-04: https://datatracker.ietf.org/doc/draft-ietf-oauth-v2-1/
[4] It's Time for OAuth 2.1: https://aaronparecki.com/2019/12/12/21/its-time-for-oauth-2-dot-1
[5] OAuth 2.0 for Native Apps: https://www.rfc-editor.org/rfc/rfc8252.html
[6] OAuth 2.0 Device Authorization Grant: https://datatracker.ietf.org/doc/html/rfc8628
[7] Proof Key for Code Exchange by OAuth Public Clients: https://www.rfc-editor.org/rfc/rfc7636.html

dotNET跨平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
支持 OAuth 2.1 JWT 授权的支付宝小程序开发组件
10-26
OAuth 2.1 JWT 授权在支付宝小程序开发中的应用 OAuth 2.1 是一个授权框架的升级版本,它在 OAuth 2.0 的基础上增强了安全性,并引入了 JSON Web Token (JWT) 这一轻量级的身份认证和授权机制。在支付宝小程序开发...
基于SpringAuthorizationServer适配OAuth2.1协议的企业级技术中台微服务架构与服务能力开发和管理平台
最新发布
06-22
基于Spring Authorization Server全新适配OAuth2.1协议的企业级技术中台微服务架构与服务能力开发和管理平台,Dante Cloud 国内首个支持阻塞式和响应式融合的微服务 。以「高质量代码、低安全漏洞」为核心,采用领域...
Spring Authorization Server入门 (一) 初识SpringAuthorizationServer和OAuth2.1协议
云逸的博客
06-01 1万+
Spring authorization server是由社区推动的一个项目,在Spring security团队的领导下基于Nimbus库重头编写,其目的主要是为 Spring 社区提供 OAuth 2.0 授权服务器支持,替代已被废弃的Spring Security OAuth框架。Spring authorization server提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现。
Spring Security Oauth2.1 最新版 1.1.0 整合 (基于 springboot 3.1.0)gateway 完成授权认证
热门推荐
Ricardo.M.Yu的博客
06-14 1万+
Spring Boot 3.1 提供了一个 spring-boot-starter-oauth2-authorization-server 启动器,可以支持 Spring Authorization Server 的自动配置,轻松配置基于 Servlet 的 OAuth2 授权服务器,同时@EnableAuthorizationServer这些注解也早已废弃。用这个请求来模拟客户端,实际开发中,其实是先访问资源服务,由资源服务来拼接这几个参数来重定向到授权服务的,参数意义如下,
spring-authorization-server系列--Oauth2.1自定义模式
qq_16033193的博客
06-19 755
前面几篇文章分析,找到Oauth2.1支持的自定义入口OAuth2AuthorizationServerConfigurer中的tokenEndpoint方法,通过这个入口我们可以将自定义的模式注入到Oauth2.1框架中。/***/
SpringCloud搭建微服务之OAuth2.1认证和授权
liu320yj的博客
10-10 6505
Spring Boot新版本已经不在支持Spring Security OAuth,而是将资源服务和客户端集成到Spring Security 5.2.x版本中,认证服务单独成一个项目为Spring Authorization Server
Spring Authorization Server 1.0 提供 Oauth 2.1 和 OpenID Connect 1.0 实现
xuejianxinokok的专栏
12-30 2408
在引入Java 社区两年半之后,VMWare发布了Spring Authorization Server 1.0。Spring 授权服务器项目构建在Spring Security之上,支持创建身份提供者和OAuth 2.1授权服务器。该项目取代了不再维护的 Spring Security OAuth项目。Spring Authorization Server 也是基于并且需要 Java 17 作为最低版本。该项目支持功能列表中所述的授权授予、令牌格式、客户端身份验证和协议端点。
关于OAuth2.0 Authorization Code+PKCE flow在原生客户端(Native App)下集成的思考
dotNET跨平台
03-30 1989
Working with Proof Key for Code Exchange (PKCE) - DEV Community写在前面前几天看了园友的一篇文章被广泛使用的OAuth2.0的密码模式已经废了,放弃吧 被再次提起:Implicit Flow Password Grant,均已被标记为Legacy,且OAuth2.1里面已经删除了,目前OAuth2.1只剩三种...
微服务+spring授权服务器(OAuth2.1)+eureka+spring网关.zip
10-13
在"微服务+spring授权服务器(OAuth2.1)+eureka+spring网关.zip"这个压缩包中,我们可以推测这是一个基于Spring Cloud的微服务系统,其中包含了一个使用OAuth2.1授权协议的安全机制,以及Eureka服务发现和Spring ...
基于Spring Security的OAuth2.1和OIDC1.0认证服务器设计源码
06-02
本源码提供了一个基于Spring Security框架的OAuth2.1和OIDC1.0认证服务器实现。项目包含102个文件,主要使用Java(51个文件)、JSP(12个文件)、XML(10个文件)、HTML(9个文件)等编程语言和标记语言开发。此外,...
OAuth2.1授权服务器Spring Authorization Server正式孵化成功进入Spring项目家族
码农小胖哥
08-17 2100
今天Spring官方宣布 Spring Authorization Server 已正式退出实验状态并进入Spring 项目的产品家族!官方声明此举恰逢本周的 0.2.0 版本发布,这是第...
OAuth2 实现单点登录 SSO
茅坤宝骏氹的博客
04-06 945
转载自OAuth2 实现单点登录 SSO 1. 前言 技术这东西吧,看别人写的好像很简单似的,到自己去写的时候就各种问题,“一看就会,一做就错”。网上关于实现SSO的文章一大堆,但是当你真的照着写的时候就会发现根本不是那么回事儿,简直让人抓狂,尤其是对于我这样的菜鸟。几经曲折,终于搞定了,决定记录下来,以便后续查看。先来看一下效果 2. 准备 2.1. 单点登录 最常见的...
Oauth2系列7:授权码和访问令牌的颁发流程是怎样实现的?
weigeshikebi的博客
08-07 1279
Oauth2系列7:授权码和访问令牌的颁发流程是怎样的?
NET Core中JWT+OAuth2.0实现SSO,附完整源码(.NET6)
xwnxwn的专栏
10-15 1612
https://www.cnblogs.com/wei325/p/16316004.html
【最佳实践】OAuth标准和基于OAuth2.0实现Github 授权单点登录的保姆级教程
追寻上飞的博客
04-20 1043
OAuth)是一种授权标准,允许第三方应用程序通过授权访问用户的受保护资源,而无需获取用户的用户名和密码。OAuth标准旨在解决用户在使用第三方应用程序时需要提供自己的用户名和密码的安全性和隐私问题。OAuth2.0是一种用于授权的开放标准,旨在为客户端应用程序提供访问受保护资源的安全机制。它是OAuth 1.0的升级版,OAuth2.0的起源可以追溯到2006年,当时Twitter发布了一个名为Twitter OAuth的开放API,该API使用OAuth1.0作为其授权机制。
手把手OAuth2授权码模式(Authorization Code)
xuejianxinokok的专栏
04-30 6190
手把手入门OAuth2授权码模式(Authorization Code) 1.简单介绍 OAuth2 授权码模式模式基本上是用用户凭证获取token 后来获取资源的访问权限。其交互步骤如下图: 交互过程如下: 用户在客户端程序上操作某些功能希望从资源服务器获取数据 客户端程序重定向浏览器请求到授权服务器要求授权,在重定向之前客户端程序会给授权服务器传递一个参数作为回调地址 授权服务器请求用户同意,这个步骤一般需要用户先登录,如果已经登录则可能弹出一个交互页面请求用户同意授权 用户决定同意授权 授权服务器
.NET 6 OAuth2.0 IdentityServer4 4.X PasswordToken(创建Token) RefreshToken(刷新Token) RevokeToken(撤销Token
KingCruel的专栏
11-16 4469
.NET Core OAuth IdentityServer4 AllowAnonymous Policy 白名单 .NET 5 IdentityServer4 4.X版本 1、Program.cs using AuthService; using AuthService.CoreLibrary; using AuthService.Filters; using System.Data; using System.Data.SqlClient; var builder = WebApplication
Oauth2授权码模式
qq_43530309的博客
05-31 307
SpringCloud Oauth2授权码模式
iOS实现OAuth2.1
05-04
OAuth2.1OAuth2.0的一个扩展协议,它增加了一些额外的安全措施,例如公共客户端的验证和授权服务器的证书绑定。在iOS上实现OAuth2.1,您可以使用第三方库或自己编写代码来处理授权流程和令牌管理。 以下是使用第三方库实现OAuth2.1的步骤: 1. 添加OAuth2.1依赖库到您的项目中。常用的库有Auth0、Okta和AppAuth。这些库提供了OAuth2.1的实现,并且已经集成了大多数授权服务器的配置信息。 2. 配置应用程序和授权服务器。您需要在应用程序和授权服务器之间设置正确的重定向URI和客户端ID。这些信息将在授权流程中使用。 3. 实现授权流程。使用第三方库提供的方法来执行授权流程。通常,您需要向授权服务器发送请求以获取授权代码,并将授权代码交换为访问令牌。一些库提供了UI控件来处理授权流程,使它们更容易集成到您的应用程序中。 4. 存储和管理访问令牌。一旦您获得了访问令牌,您需要存储它并在需要时使用它来访问受保护的资源。您可以使用Keychain或其他安全存储机制来保存令牌。 5. 处理令牌过期和刷新。访问令牌有一个有效期,在过期之前,您需要使用刷新令牌来获取新的访问令牌。您可以使用库提供的方法来处理令牌过期和刷新。 使用第三方库可以简化OAuth2.1的实现,但您需要确保库与您的授权服务器兼容,并且符合您的安全要求。如果您需要更高的安全性和控制权,您可以编写自己的代码来处理OAuth2.1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值