OAuth

最新推荐文章于 2024-04-06 19:44:19 发布
最新推荐文章于 2024-04-06 19:44:19 发布
阅读量185 收藏
点赞数
分类专栏: 个人博客迁移存档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_29963957/article/details/81256216
版权

layout: post
title: "OAuth"
date: 2016-04-25 22:42:34 +0800
comments: true
categories: [PHP]

开放式授权OAuth -Open Authorization

一、什么是OAuth

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。oAuth是Open Authorization的简写。

二、OAuth协议简介

  • OAuth 1.0 2007年年末 有漏洞
  • OAuth 2.0 2010年年初

三、三个重要步骤

  1. 请求OAuth登录页面

  2. 用户使用QQ号登录并授权

    • 验证用户密码成功后重定向到指定的url,此时可以通过$_GET['code']来获取

  3. 返回登录结果

    • 拿到加了密的code过后还需要请求 User Authorization URL -用户授权的令牌请求服务地址 用户QQ登录授权之后请求的一个带有特定参数的URL
    • 用来提高安全性。
    • 请求过后会得到一个响应数据,包含一些基本的账号信息。
    • code有生命周期(一般为几秒钟)并且只能使用一次。
    • 请求成功过后可以拿到Access Token

四、Access Token

Access Token -用户通过第三方应用访问OAuth接口的令牌

  • 在请求API时会动态生成URL 并且都离不开 Access Token
  • Access Token具有较长生命周期(十天半个月)
  • Access Token过期过后可以选择重新登录或者在请求API时使用need_refresh_token(各个平台不同)=true 来刷新Access Token
EwanRenton
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java的oauth2.0 服务端与客户端的实现 (完整源码、demo)
10-01
Java的oauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:...
springcloud集成Oauth2权限项目-oauth报错返回通用的格式(十)
穷水叮咚的博客
09-03 3071
一般后台返回数据都是统一的格式,类上code :xxx message:xxxx 像上面这种前端不好取值,所以改造下,返回通用的格式 添加三个异常类 BootOAuth2Exception.java package com.pwl.blue.auth.exception; import com.fasterxml.jackson.databind.annotation.Json...
Oauth2.0的客户端凭证模式(Client Credentials Grant)- Bad request content type. Expecting: application/x-www-
JimBo3693的专栏
03-07 4501
前情摘要: 最近在进行项目改造由传统Java Web项目改造为 微服务架构模式的系统,采用VUE+Spring Boot + Oauth2.0 + JWT的主体架构。在改造过程中出现的任何异常在此做一个简单记录,以便正在路上的小伙伴们能有参照方案。 在写好一系列认证授权模块后,测试获取token时控制台报了一个很有意思的异常: OAuthProblemException{e...
「 典型安全漏洞系列 」12.OAuth 2.0身份验证漏洞
最新发布
网络安全
04-06 1100
OAuth是一种常用的授权框架,使网站和web应用程序能够请求对另一个应用程序上的用户帐户的有限访问。OAuth允许用户在不向请求的应用程序公开其登录凭据的情况下授予此访问权限。这意味着用户可以调整他们想要共享的数据,而不必将其帐户的完全控制权交给第三方。集成需要从用户帐户访问某些数据的第三方功能(设计之初的场景)。例如,应用程序可能会使用OAuth请求访问您的电子邮件联系人列表,以便建议与之联系的人员。提供第三方身份验证服务(广泛使用的场景),允许用户使用他们在不同网站上的帐户登录。
senddr partner API -- OAuth Issues
MY Dream
06-06 1210
Overview Some common OAuth issues and explanations as to how you can fix them. Token rejectedToken expiredNonce usedTimestamp refusedSignature method rejectedSignature invalidPermission Denied
OAuth到底是什么?
Henry_Wu001的专栏
04-13 3660
这是一个很大的规范,但主要的两个组件是它的身份验证请求协议(又称Web SSO),以及它打包身份属性并对其进行签名的方式,称为SAML断言。你可以输入你的电子邮件地址,然后它会动态发现你的OIDC提供者,动态下载元数据,动态知道要使用什么证书,并允许BYOI(带上你自己的身份,Bring Your Own Identity)。这在用户的浏览器上发生。在这种情况下,最终用户与他们的身份提供者对话,身份提供者生成一个经过加密签名的令牌,并将其传递给应用程序以对用户进行身份验证。对于不同的用例,它们是分开的。
OAuth原理
ww112233j的博客
05-24 3710
包括如下内容: 1 从简单的例子了解 OAuth 2 OAuth 的定义和组成 3 OAuth 的 Refresh Token 4 OAuth 的授权模式 从简单的例子了解 OAuth 在介绍 OAuth 2.0 之前,让我们来看一个简单的例子。假设你平时喜欢照相,将生活中的点点滴滴记录成电子照片并且存放到云盘上,每隔一段时间会将心仪的照片挑选出来进行打印保存。 同时你发现网络上面有一个款云打印照片的应用,只需要导入电子照片,这款应用就可以帮你进行打印然后将成片邮寄到你的家中。 我们将这
Oauth2.0 in Action
11-26
OAuth 2 in Action teaches you the practical use and deployment of this ... You'll learn how to confidently and securely build and deploy OAuth on both the client and server sides. Foreword by
jmeter 实现oauth1.0授权认证
08-18
目前线上资源较少关于jmeter实现oauth1.0请求的方法,系统接口通过Oauth1.0方式授权登录,通过jmeter自带beanshell插件解决认证授权问题 资源附带了脚本代码和实现步骤
Oauth
03-31
Oauth
oauth
03-19
oauth
什么是OAuth
endswell的专栏
09-13 2719
Oauth
Oauth2.0的四种模式
qq_37457564的博客
07-25 2035
1. 授权码模式 (1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize? client_id=p2pweb&response_type=code&scope=app&redirect_uri=http://xx.xx/notify 参数列表如下: client_id:客户端接入标识。 response_type:授权码模式固定为code。 scope:客户端权限
OAuth使用教程(一):初识OAuth
zhuyunier的博客
01-29 7688
一、OAuth介绍   OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。   OAuth允许用户提供一个令牌给第三方网站,一个令牌对应一个特定的第三方网站,同时该令牌只能在特定的时间内访问特定的资源。 二、OAuth2 角色 OAuth 2 标准中定义了以下几种角色: 资源...
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 5325
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
OAuth 简介
热门推荐
weixin_40270125的博客
05-19 1万+
OAuth是一个在不提供用户名和密码的情况下,授权第三方应用访问Web资源的安全协议。 常用的应用 OAuth 的场景,一般是某个网站想要获取一个用户在第三方网站中的某些资源和服务。比如在人人网上,想要导入用户MSN里的好友,在没有OAuth时,可能需要用户向人人网提供MSN用户名和密码。这种做法使得人人网会持有用户的MSN账户和密码,虽然人人网承诺持有密码后的安全,但这其实扩大了攻击面,用户也...
OAuth2基础篇
Alan0517
04-19 409
OAuth协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 OAuth是安全的。OAuth是 Open Authorization的简写OAuth本身不存在一个标准的实现,后端开发者自己根据实际的需求和标准的规定实现。第三方(客户端)要求用户给予授权用户同意授权根据上一步获得的授权,第三方向认证服务器请求令牌( token)
Oauth原理和四种授权模式
qq_44507798的博客
10-20 1727
Oauth四种授权模式 1、oauth授权码模式 用户访问应用前端页面(验证是否登录)。 访问的页面将请求重定向到认证服务器。 认证服务器向用户展示授权页面,等待用户授权。 用户授权,认证服务器生成一个code(授权码)--->认证前端--->应用前端--->应用服务器。 应用服务器使用client_id、client_secret、code去认证服务器获取token,refresh_token(我们默认应用服务器和认证服务器之间的通信是安全的)。 然后,应用服务器拿到
OAUTH的理解
kaikaijin的博客
02-20 1290
1.1 什么是OAUTH OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。即允许第三方网站在用户授权的前提下访问在用户在服务商那里存储的各种信息,而这种授权无需将用户提供的用户名和密码提供给该第三方网站。 1.2.OAuth认证授权主要特点 简单:容易理解使用 安全:没有涉及到用户密钥的信息,更安全灵活
OAuth gateway
07-28
OAuth gateway是一个用于管理和保护OAuth2认证和授权的网关。它充当了客户端和资源服务器之间的中间层,负责处理认证和授权请求,并将它们转发到适当的认证服务器和资源服务器。OAuth gateway的主要功能包括验证客户端身份、生成和验证访问令牌、限制访问权限等。在实现OAuth gateway时,可以使用一些自定义的组件来增强其功能,比如使用OAuth2RequestFactory创建OAuth2Request,使用JwtTokenEnhancer自定义JWT内部信息等。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *3* [springcloud整合Gateway+Oauth2 超级详解](https://blog.csdn.net/weixin_45592424/article/details/126781478)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [【Spring Cloud】Spring Cloud Oauth2 + Gateway 微服务权限管理方案](https://blog.csdn.net/qq_36748248/article/details/125916633)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值