我与OAuth 2.0那点荒唐的小秘密

最新推荐文章于 2025-08-01 11:45:53 发布
转载 最新推荐文章于 2025-08-01 11:45:53 发布 · 294 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://www.cnblogs.com/cloudman-open/p/12228593.html

本文深入解析OAuth2.0协议,阐述认证与授权的区别,详细介绍四个核心角色:资源拥有者、资源服务器、客户端及授权服务器的功能,以及访问令牌的作用。同时,文章提供了协议流程图,清晰展示各角色间的交互过程,最后比较了四种授权方式的特点。

OAuth2.0这个名词你是否在项目中时常听到呢?是否觉得好像懂,又好像不太懂呢?

最近一直想写篇关于OAuth2.0的东西,记录下我的学习与感悟,然各种理由的拖延,直到今日才静下心来写下这篇博客。当然,这里仅代表个人理解,如有纰漏之处,望园内大佬们不吝赐教~

好了,话不多说,干货顶上。

几个基本概念

认证(Authentication)和授权(Authorization)

在接触OAuth2.0时是否常听到认证和授权这两个名词呢?

刚接触时,一直以为这两个词是一个意思,只是大家说法的不同而已。然,在看完官方开发文档后才知道,这根本就是两个东西,不能混为一谈。下面详细说说:

  • 认证:主要用于验证身份。比如,我们进出火车站,身份证证明自己是张三而不是李四,这就是认证。
  • 授权:主要用于判断是否拥有相应的权限。比如,我们进出火车站,火车票证明我们有乘坐列车的权限,这就是授权。

现在看看,是不是挺简单的概念,顿时清晰起来?

OAuth定义的四个角色

  • 资源拥有者:受保护资源的拥有者,可以对他人授权,让其访问该资源。
  • 资源服务器:托管受保护资源的服务器,只要认证和授权通过,便可响应该资源。
  • 客户端:提出请求受保护资源的应用程序。
  • 授权服务器:当认证和授权成功后,给客户端发布访问令牌(access token)。

访问令牌

访问令牌,其实就是可以访问受保护资源的一个凭证。一般而言,这是串加密过的字符串,颁发给客户端,用于替换用户名和密码,避免每次请求都携带用户名密码,增加安全风险。

协议流程

上面这张图便是OAuth 2.0抽象的协议流程,描述了其定义的四个角色之间的交互关系。我将这个流程分为了前期准备和获取资源两个部分,详细如下:

前期准备(这是一次性操作,可通过界面申请,与资源拥有者的用户代理沟通等):

  • 客户端向资源拥有者申请受保护资源的访问权限;
  • 客户端得到拥有者的授权,表示客户端可以访问该受保护资源。

获取资源(Restful请求,每次访问资源都得经过该操作):

  • 客户端携带用户名、密码或clientId、secret等方式,向授权服务器发起认证和授权;
  • 授权通过,授权服务器向客户端返回访问令牌(access token);
  • 客户端携带访问令牌,向资源服务器访问受保护资源;
  • 资源服务器验证访问令牌的有效性之后,向客户端返回受保护资源。

授权

授权成功其实就是资源拥有者颁发的可以访问受保护资源的凭证。当然客户端直接拿着凭证是无法访问资源的,还需拿着这个凭证去授权服务器拿访问令牌,凭着令牌便可直接访问受保护资源。

OAuth 2.0官方给出的规范,授权的具体方式共有四种(可自定义):资源拥有者密码凭证,客户端凭证,授权码和隐式授权,;当然自定义机制也是支持的。

资源拥有者凭证授权

资源拥有者密码凭证的授权方式仅适用于资源拥有者和客户端高度信任的场景。

  • 资源拥有者提供客户端密码凭证(resourId: secret)
  • 客户端携带密码凭证直接去授权服务器获取访问令牌

客户端凭证授权

客户端携带自身凭证(clientId: secret)直接去授权服务器获取访问令牌

授权码授权

www.wityx.com

一次性操作(授权码只需要获取一次即可):

  • 客户端重定向URI和身份信息直接访问资源拥有者或者拥有者的用户代理(一般为前端)
  • 用户代理拿着客户端身份信息和重定向URI,重定向至访问授权服务器;
  • 授权服务器对客户端的信息进行认证和授权;
  • 认证和授权通过后,将授权码返回至用户代理;
  • 用户代理将授权码返回给客户端

获取资源:

  • 客户端拿着授权码和去授权服务器获取访问令牌;
  • 客户端携带访问令牌,向资源服务器访问受保护资源;
  • 资源服务器验证访问令牌的有效性之后,向客户端返回受保护资源。

优势:对客户端进行认证;访问令牌没有直接返回至客户端,所以没有经历第三方(用户代理),减少暴露令牌的可能。

隐式授权

隐士授权是个简化的授权流程,适用于前端页面由脚本语言(如Javascript)编写的场景,对于React,Angular等编写的前端,建议使用授权码的授权方式。

  • 客户端携带身份信息和重新向URI(一般为前端主界面地址)访问用户代理;
  • 用户代理将客户端身份信息和重定向URI发往授权服务器,并进行用户认证;
  • 认证授权通过后,将访问令牌拼进重定向URI,并将这个新的URI发往用户代理;
  • 用户代理直接重定向至新的URI,加载主界面(所需数据,可根据访问令牌去资源服务器获取);
  • 用户代理将访问令牌返回客户端。

注意:一般隐式授权,可以利用重定向URI进行客户端认证。

作者:吴家二少

博客地址:https://www.cnblogs.com/cloudman-open/

本文欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接

may_walkaway
关注
13、微服务安全:SSLOAuth 2.0详解
r7s8t的博客
08-05 47
本文详细探讨了微服务架构中的安全机制,重介绍了SSL和OAuth 2.0在保护微服务中的作用。内容涵盖SSL的工作原理、OAuth 2.0的规范实现、客户端类型配置、安全实施建议以及未来安全趋势。通过本文,读者可以掌握构建安全微服务架构的核心知识,为实际项目提供安全保障。
OAuth2.0系列之基本概念和运作流程(一)
Nicky's blog
06-04 6693
OAuth2.0系列之基本概念和运作流程 [OAuth 2.0](https://oauth.net/2)是目前最流行的授权机制,用来授权第三方应用 > OAuth是一种开放协议, 允许用户让第三方应用以安全且标准的方式获取该用户在某一网站,移动或者桌面应用上存储的秘密的资源(如用户个人信息,照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。
OAuth 2.0:现代应用程序的授权标准
DC1020的博客
06-17 1669
随着互联网和移动应用的发展,应用程序之间的交互变得越来越普遍。用户希望通过单一的身份认证在多个平台上无缝体验,这就要求不同的应用程序能够安全地共享用户数据。而 OAuth 2.0 正是为了解决这一问题而设计的,它提供了一种标准机制,允许用户授权第三方应用访问其资源,而无需暴露其密码。
OAuth 2.0官方文档内容归纳
weixin_44543578的博客
12-07 4427
OAuth 2.0 授权框架 Abstract OAuth 2.0授权框架使第三方应用程序能够代表资源所有者获得对HTTP服务的有限访问权,方法是协调资源所有者和HTTP服务之间的批准交互,或者允许第三方应用程序代表自己获得访问权。本规范取代并废除RFC 5849中描述的OAuth 1.0协议。 1. 介绍 OAuth通过引入授权层并将客户端角色资源所有者角色分离来解决这些问题。在OAuth中,客户端请求访问由资源所有者控制并由资源服务器托管的资源,并且得到资源所有者不同的一组凭据 客户机没有使用资源所
OAuth2.0系列博客教程汇总
Nicky's blog
07-24 2124
OAuth2.0简单说就是一种授权的协议,OAuth2.0在客户端服务提供商之间,设置了一个授权层(authorization layer)。客户端不能直接登录服务提供商,只能登录授权层,以此将用户客户端区分开来。然后客户端在登录时候不使用账号密码,而是使用会自动过期的令牌token。定义比较难理解,可以举个例子,假如我们要登录豆瓣网,可以你是没账号的,又不想注册,然后这时候可以用QQ登录,登录时候会转跳到QQ登录页面,这个就是QQ就是一个认证服务器,豆瓣是服务提供商,也可以说是资源服务器.......
服务认证授权:OAuth2.0
热门推荐
轻松的小希
02-13 1万+
目录第一章 OAuth2.0的预备篇1.1、Base641.1.1、Base64的介绍1.1.2、Base64的演示1.2、JWT1.2.1、JWT的介绍1.2.2、JWT的组成1.2.3、JWT的特1.2.4、JWT的演示1.2.5、JWT的隐患1.3、RSA1.3.1、RSA的介绍1.3.2、公钥私钥的介绍1.3.3、公钥私钥的生成1.4、SSO1.4.1、SSO的介绍1.4.2、SSO的实现第二章 OAuth2.0的介绍篇2.1、OAuth2.0的概述2.2OAuth2.0的模式2.2.1、授权码
移动OAuth 2.0的安全性
cullen2012的博客
09-10 1152
Popularity of mobile applications continues to grow. So does OAuth 2.0 protocol on mobile apps. It's not enough to implement standard as is to make OAuth 2.0 protocol secure there. One needs to cons...
29、OAuth 2.0 协议扩展新型令牌探索
rgv23456789的博客
08-01 32
本文探讨了 OAuth 2.0 协议在医疗保健(HEART)和政府系统(iGov)领域的扩展应用,以及对新型令牌机制(如 PoP 令牌)的探索。通过定义特定领域的配置文件,HEART 和 iGov 提高了各自生态系统的安全性和互操作性。同时,随着对承载令牌安全缺陷的认识加深,PoP 令牌和 TLS 令牌绑定等新型令牌机制成为研究热。文章还展望了 OAuth 技术的未来发展方向,并为开发者提供了学习和实践建议。
使用OAuth 2.0访问谷歌的API
知无涯
11-23 3972
使用OAuth 2.0访问谷歌的API 谷歌的API使用的OAuth 2.0协议进行身份验证和授权。谷歌支持常见的OAuth 2.0场景,如那些Web服务器,安装,和客户端应用程序。 首先,获得来自OAuth 2.0用户端凭证谷歌API控制台。那么你的客户端应用程序请求从谷歌授权服务器的访问令牌,提取令牌从响应,并发送令牌到谷歌的API,您要访问。对于使用OAuth 2.0谷歌的互动演示(...
Oauth2.0 协议 服务端 客户端 thinkphp5.0
02-08
OAuth2.0是一种广泛使用的开放授权协议,它允许第三方应用在用户无需透露其登录凭证的情况下,获取有限的访问权限去...在这个小demo中,我们可以学习到如何在实际项目中应用OAuth2.0,提高应用程序的健壮性和安全性。
OAuth:.NET 5中的OAuth 2.0实现
04-03
这个库为.NET 5应用程序提供了OAuth 2.0服务器交互的能力,例如获取访问令牌、刷新令牌以及处理用户身份验证。 **OAuth 2.0基本概念:** 1. **客户端(Client)**:请求访问资源的第三方应用。 2. **资源所有者...
cbmdf-wordpress-plugin-oauth:WordPress插件,允许在通用OAuth 2.0服务器上进行身份验证
04-09
2. **管理员页面**:在WordPress后台,有一个专门的管理面板,管理员可以在这里配置OAuth服务器的URL、客户端ID、秘密以及其它相关设置,确保选定的OAuth服务器顺利通信。 3. **小部件设置**:插件提供了小部件,...
使用matlab进行质心计算
11-10
使用matlab进行质心计算
PythonOpenCV实现手写体作业本图像生成系统:源码解析项目实践
11-10
本项目提供了一套基于PythonOpenCV技术实现的手写体练习册图像自动生成系统,可作为计算机相关专业学生的课程实践课题、学期综合任务或工程实训案例。该方案在学术评审环节获得了接近满分的优异评价,具体技术实现包含以下核心模块: 系统采用分层架构设计,首先通过随机参数生成器创建差异化的页面布局模板,包括行间距波动、页边距随机偏移及文本区域动态划分。在笔迹模拟层面,程序整合了多种手写字体库,并引入墨水扩散模拟算法书写压力变化模型,使生成的文字呈现自然书写的不规则特性。 针对作业本背景合成,系统实现了网格线矢量绘制引擎,支持线宽抖动、颜色渐变及纸张纹理叠加。同时加入基于概率模型的页面折痕生成器光照不均匀模拟器,进一步提升图像的真实感。输出模块提供多分辨率适配功能,可批量生成适用于不同应用场景的练习册样本。 本方案已通过教育领域专家的多维度评估,在算法创新性、工程完备性及实用价值方面均获得高度认可,特别适合作为计算机视觉入门到进阶的过渡实践项目。所有代码均采用模块化封装,配备完整的参数配置接口可视化调试工具。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
复现并-离网风光互补制氢合成氨系统容量-调度优化分析【Cplex求解】(Matlab代码实现)
11-10
内容概要:本文档围绕“并_离网风光互补制氢合成氨【复现】并_离网风光互补制氢合成氨系统容量-调度优化分析【Cplex求解】(Matlab代码实现)系统容量-调度优化分析”的Matlab代码实现展开,重介绍基于Cplex求解器对该系统进行容量配置调度优化的技术路径。该研究融合风能、太阳能等可再生能源,通过电解水制氢并进一步合成氨,构建绿色能源转化链条,并分别针对并网离网两种运行模式开展优化建模。文档提供了完整的Matlab代码实现方案,涵盖目标函数设定、约束条件构建、变量定义及Cplex调用流程,旨在实现系统经济性、稳定性和可持续性的综合最优。同时,文中提及多个相关研究方向,如虚拟电厂多时间尺度调度、储能优化、风光预测误差处理等,展示了该领域广泛的科研应用场景和技术延展性。; 适合人群:具备一定电力系统、优化理论和Matlab编程基础的研究生、科研人员及工程技术人员,尤其适合从事新能源系统规划、综合能源系统优化、氢能利用等相关领域的研究人员。; 使用场景及目标:①掌握风光互补制氢合成氨系统的建模方法优化思路;②学习如何使用Matlab结合YALMIP工具箱调用Cplex求解器解决混合整数线性规划问题;③应用于科研项目复现、论文写作支撑或实际工程项目前期仿真分析;④拓展至虚拟电厂、微网调度、碳交易机制下的能源系统优化等关联领域研究。; 阅读建议:建议读者结合文档中提供的网盘资源下载完整代码案例数据,按照目录顺序逐步学习,重关注模型构建逻辑代码实现细节之间的对应关系。在复现过程中应深入理解约束条件的物理意义,并尝试调整参数或扩展模型结构以增强实战能力。同时,可将本案例作为模板迁移至其他能源系统优化问题中,提升科研效率创新能力。
用于静态接收机安全测试的GNSS异步欺骗捕获率分析附Matlab代码.rar
11-10
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行。 3.代码特:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计
考虑阶梯式碳交易机制电制氢的综合能源系统热电优化(Matlab代码实现)
11-10
内容概要:本文围绕“考虑阶梯式碳交易机制电制氢的综合能源系统热电优化”展开,通过Matlab代码实现对综合能源系统的热电联合优化调度进行建模仿真。研究引入阶梯式碳交易机制,以激励低碳运行,并结合电解水制氢技术提升系统对可再生能源的消纳能力,增强能源系统的灵活考虑阶梯式碳交易机制电制氢的综合能源系统热电优化(Matlab代码实现)性环保性。文中构建了包含电、热、氢等多种能量形式耦合的优化模型,综合考虑设备运行约束、能量平衡、碳排放成本等因素,旨在降低系统运行总成本并减少碳排放。; 适合人群:具备一定电力系统、能源系统背景知识,熟悉Matlab编程优化建模的研究生、科研人员及工程技术人员。; 使用场景及目标:①用于综合能源系统(IES)的多能协同优化调度研究;②适用于含可再生能源接入、氢能存储碳交易机制的低碳能源系统建模仿真;③为实现“双碳”目标下的能源系统转型提供技术路径量化分析工具。; 阅读建议:建议读者结合Matlab代码文档内容同步学习,重关注目标函数构建、约束条件设置及阶梯式碳交易机制的数学表达,可通过修改参数进行敏感性分析,进一步深化对多能系统优化运行机制的理解。
IT系统规划方案.doc
最新发布
11-10
IT系统规划方案.doc
电气控制原理图纸PT切换单元原理图(二)
11-10
电气控制原理图纸PT切换单元原理图(二)
OAuth2.0分布式系统实战:环境搭建流程解析
- Spring Security OAuth2OAuth2.0的一个强大实现,可以方便地Spring Cloud集成,简化开发过程。 8. **微服务架构**: - 系统通常采用微服务架构,将各个组件如认证授权服务、资源服务等拆分成独立的服务,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值