初探OAuth2.0第三方认证登录

最新推荐文章于 2020-08-21 15:43:27 发布
最新推荐文章于 2020-08-21 15:43:27 发布
阅读量545 收藏
点赞数
分类专栏: java 文章标签: oauth2-0 单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenjixiang/article/details/78681799
版权

什么是OAuth2.0?

  • 假设我有一件非常重要的文件存储与于瑞士银行的私有保险柜中,如果我需要委托某个人将他提取出来,除了将密码告诉他之外别无他法,
    但是OAuth的目的却是定义一种协议帮助资源的拥有者在不提供自身凭证的前提下授权第三方应用以他的名义存取受保护的资源。OAuth的全称为“Open Authorization”,所以它是一个开放的协议,目前最新的版本为2.0。
  • OAuth2.0对OAuth1.0是完全不兼容的。目前支持OAuth的网站有t.sina.com.cn,t.qq.com,t.sohu.com,t.163.com,www.douban.com,www.twitter.com,www.facebook.com
  • 开心网open文档:http://wiki.open.kaixin001.com/index.php?id=OAuth2.0%E6%96%87%E6%A1%A3

OAuth2.0涉及角色

  • 资源拥有者(RO:Resource Owner):资源的拥有者也是授权者,如果它是一个“人”,一般就是指最终用户。由于“资源”在这个场景中表示为用户的电子邮箱地址,所以资源拥有者自然就是指最终用户。
  • 客户端应用(Client):需要取得资源拥有者授权并最终访问受保护资源的应用,对于我们的场景来说,就是我们创建的App。
  • 资源服务器(Resource Server):最终承载资源的服务器,它一般体现为一个可被调用的Web API。对于我们提供的场景来说,客户端通过调用新浪微博得Web API获得用户的电子邮箱地址,所以新浪微博就是资源服务器。
  • 授权服务器(Authorization Server):它对用户(一般情况下为资源拥有者)和客户端应用实施认证,并在用户授权的情况下向客户端应用颁发Access Token。在我们提供的场景中,资源服务器和认证服务器合二为一,均为新浪微博。

实现方案

这里面的access_token可以考虑放在缓存中而不是放在数据库中,一旦过期时间到就可以作废了
oauth2.0有许多种流程,分别适应不同的第三方应用,并且这些流程数目还在不断增加和完善中,一个网站可以实现一种或多种流程

1. Web Server Flow(适合有server的第三方使用的):web Server Flow是把oauth1.0的三个步骤缩略为两个步骤
  1. 客户端http请求authorize
  2. 服务端接收到authorize请求,返回用户登陆框页面
  3. 用户在客户端登陆
  4. 服务器端将浏览器定位到callbackurl,并同时传递Authorization Code
  5. 客户端使用https发送access_token
  6. 服务器端收到access_token请求,验证Authorization Code—生成access_token, refresh_token,和过期时间–access_token和refresh_token和过期时间入库
  7. 返回access_token和refresh_token,过期时间
  8. 用户使用HTTPS+ access_token请求开放平台接口
2.User-Agent(适合所有无server端配合的客户端):
  1. 客户端http请求authorize
  2. 服务端接收到authorize请求,返回用户登陆框页面
  3. 用户在客户端登陆
  4. 服务器端将浏览器定位到callbackurl,并同时传递access_token和过期时间
Jx0000000000000
关注
专栏目录
OAuth2.0(QQ授权第三方登录
12-21
自己练手写的第三方登录,主要重点在AfterAction中参数的配置以及方法的调用,注意Config中qqconnectin那个配置文件,里面的参数很重要
基于oauth2.0实现应用第三方登录
weixin_30636089的博客
04-12 497
OAuth2 OAuth2所涉及到的对象主要有以下四个: Client 第三方应用,我们的应用就是一个Client Resource Owner 资源所有者,即用户 Authorization Server 授权服务器,即提供第三方登录服务的服务器,如Github Resource Server 拥有资源信息的服务器,通常和授权服务器属于同一应用 OAuth2的基本流程为: 第三方应用请求用...
授权登陆(OAuth2.0认证流程)
weixin_44316800的博客
05-23 1407
链接地址: https://mp.weixin.qq.com/s/JLYen113aTFJzA29dLO5Tw
基于 Oauth 2.0 的第三方账号登录实现
qq_24101357的博客
02-18 2万+
基于 Oauth 2.0 的第三方账号登录实现 Oauth 2.0 原理与授权流程 1.刚开始的第三方应用接入其他账号登录过程:  存在问题: 1.用户账号、密码信息透露给了第三方应用,导致安全问题 2.用户要回收授权,只能通过修改密码来实现,此时如果有多个第三方应该,所有授权一起被回收 3.很难安全的实现对不同的第三方应用给予不用的权限 2.使用oauth改进的原理:  ...
OAuth 2.0 构建微服务身份认证(一):授权模式选择
kylin058的博客
08-23 1万+
从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验。为了适应架构的变化、需求的变化,身份认证与鉴权方案也在不断的变革。面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认证?面对外部的服务访问,该如何提供细粒度的鉴权方案?本文将会为大家阐述微服务架构下的安全认证与鉴权方案。 单体应用 VS 微服务 随着微服务架构的兴起,传统的单体应用场景下的身份认证
oauth2.0第三方 qq、sina、baidu、renren、osc、豆瓣 等,登陆的简易封装!
最新发布
11-05
在Web应用开发中,OAuth2.0常被用来实现社交网络平台(如QQ、新浪、百度、人人网、OSC开源中国、豆瓣等)的第三方登录功能。这种登录方式被称为“单点登录”或“统一认证”,因为它允许用户通过一个账号登录多个关联...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
浅谈PHP接入(第三方登录)QQ登录 OAuth2.0 过程中遇到的坑
10-19
首先,为了使得第三方登录功能成功集成到网站中,开发者需要遵循一系列标准化流程。这个流程包括成为开发者、创建应用程序、获取授权以及获取和使用用户信息等步骤。 在成为开发者的过程中,申请个人开发者账号时...
java Web第三方登录实现(基于OAuth2.0,包含Github和QQ登录,附源码)完整源码
02-16
本项目是基于OAuth2.0协议实现的第三方登录功能,包括GitHub和QQ的登录接口集成,同时也附带了完整的源代码。 OAuth2.0是一个授权框架,它允许第三方应用在用户的授权下获取其在特定服务上的部分数据,但不会暴露...
spring security + oauth 2.0 实现单点登录认证授权
06-26
- OAuth 2.0是一个授权框架,允许第三方应用在用户授权下访问其存储在另一服务提供商上的私有资源。在SSO中,OAuth 2.0常用于获取访问令牌,以便客户应用能够代表用户进行操作。 - OAuth 2.0的主要流程包括授权...
Spring Security Oauth 2.0第三方授权认证
XYZ
08-21 2498
在开始之前,首先介绍一下认证和授权。 身份认证 用户访问系统资源时,系统要求验证用户的身份信息,身份合法则方可继续访问。常见的用户身份认证的表现形式有: 用户名密码登陆 指纹打卡 用户授权 用户认证通过后去访问系统的资源,系统会判断当前用户是否拥有访问资源的权限,只允许访问有权限的资源,没有权限的资源无法访问。 1. 单点登陆 单点登陆是指用户在一个系统中登陆之后,就可以访问所有相互信任的应用系统。分布式系统要实现单点登陆,通常是将认证系统独立 抽取出来。 2. Oauth 2.0 OAuth(开放授
OAuth 2.0 介绍
achun2050的专栏
12-08 1003
OAuth应用提供了一种访问受保护资源的方法。在应用访问受保护资源之前,它必须先从资源拥有者处获取授权(访问许可),然后用访问许可交换访问令牌(代表许可的作用域、持续时间和其它属性)。 下面介绍3种获取Access Token的方式: A.Authorization Code:Web Server Flow,适用于所有有Server配合应用。 B.Implicit Grant:
OAuth2.0认证和授权机制讲解
05-10 772
大多数网站提供的第三方登录都遵循OAuth协议,虽然大多数网站的细节处理都是不一致的,甚至会基于OAuth协议进行扩展,但大体上其流程是一定的。今天,我们就来看看基于OAuth2的第三方登陆功能是怎样一个流程。
Apache Mina 学习
不甘愿只写代码的程序员~
11-29 282
由于项目需要,提前预备一些知识。凡是做点准备总是有好处的!!!MINA框架简介 MINA是用于开发高性能和高可用性的网络应用程序的基础框架 通过使用MINA框架可以可以省下处理底层I/O和线程并发等复杂工作,开发人员能够把更多的精力投入到业务设计和开发当中 MINA框架的应用比较广泛,应用的开源项目有Apache Directory、AsyncWeb、Apache Qpid、QuickFIX/J、O
谈谈基于OAuth 2.0的第三方认证 [下篇]
weixin_34387284的博客
12-30 276
从安全的角度来讲,《中篇》介绍的Implicit类型的Authorization Grant存在这样的两个问题:其一,授权服务器没有对客户应用进行认证,因为获取Access Token的请求只提供了客户应用的ClientID而没有提供其ClientSecret;其二,Access Token是授权服务器单独颁发给客户应用的,照理说对于其他人(包括拥有被访问资源的授权者)应该是不可见的。Aut...
使用jwt技术实现系统间的单点登录
热门推荐
05-26 2万+
单点登录(single sign on),简称sso。它的定义是多个应用系统间,只需要登录一次就可以访问所有相互信任的应用系统。下面介绍用jwt技术如何来实现单点登录。 一、JWT定义及其组成 JWT(JSON WEB TOKEN)是一个非常轻巧的规范,这个规范允许我们使用jwt在客户和服务器之间传递安全可靠的信息。 JWT由3个部分组成,分别是头部、载荷、签名。 头部
理解OAuth2.0认证与客户授权码模式详解
爱琴孩的博客
05-20 1万+
什么是OAuth协议 OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 OAuth是安全的。OAuth 是 Open Authorization 的简写 OAuth 本身不存在一个标准的实现,后开发者自己根据实际...
使用码云提供的oauth2.0接口进行第三方登录认证
dream_follower的博客
03-29 2165
文章目录1. 创建应用2 获取code3 获取token4 发送请求获取用户信息 最近在做的一个小demo,使用了基于oauth2.0进行第三方认证,示例里面使用的是github,但是网络很差,有时候github进不去,所以换成了gitee(码云)。大致步骤是一样的,几乎没啥变化,这里我使用的通过授权码模式获取token 1. 创建应用 具体可以参考:官方文档 2 获取code 请求的url: h...
oauth2.0第三方直接登录
05-18
实现第三方登录需要使用 OAuth 2.0 的授权码模式或者 implicit 模式。在授权码模式下,你的网站需要使用授权码向第三方网站请求访问令牌。在 implicit 模式下,第三方网站直接返回访问令牌给你的网站。 具体实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值