OAuth2.0说明文档

最新推荐文章于 2024-05-19 21:34:53 发布
最新推荐文章于 2024-05-19 21:34:53 发布
阅读量57 收藏
点赞数
文章标签: java http linux python ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skey_chen/article/details/121571943
版权

OAuth2.0说明文档

1OAuth 2.0 简介

OAuth为应用提供了一种访问受保护资源的方法。在应用访问受保护资源之前,它必须先从资源拥有者处获取授权(访问许可),然后用访问许可交换访问令牌(代表许可的作用域、持续时间和其它属性)。应用通过向资源服务器出示访问令牌来访问受保护资源。

下图中的名词说明

Resource Owner:用户

User-Agent:浏览器

Client:应用服务器

Authorization Server:认证服务器(用户信息存放服务的认证服务器)

Resource Server:资源服务器(用户真正信息存放的服务器,需要通过access_token进行访问)

Web-Hosted Client Resource:web托管的客户端资源(这个确切的说,我也不知道叫啥才适合)

OAuth2.0服务支持以下5种获取Access Token的方式:(图片来源:OAuth2.0协议草案 )

1.1APP密钥模式(Client Credentials Flow)

直接使用app密钥,不另作说明

 

1.2Resource Owner Password Credentials Flow

直接使用用户密码,不另作说明

 

1.3Authorization Code Flow

授权码模式

 

流程简单表述为,当用户访问应用服务器

(A)应用服务器返回带有授权信息的重定向链接,浏览器拿到链接,转为访问认证服务器(见下面:获取Authorization Code)

(B)认证服务器提供界面给用户进行确认授权,用户确认授权

(C)用户确认授权后,认证服务器返回带有code的重定向链接,浏览器拿到链接,转为访问应用服务器

(D)应用服务器拿到code,访问认证服务器(见下面:通过Authorization Code获取Access Token)

(E)认证服务器验证后,返回access_token给应用服务器

授权码是应用弹出窗口,并将用户引导到授权服务器,传入标识符、请求作用域、本地状态,和一个重定向URI。授权服务器验证用户,获得授权,然后用重定向URI引导回应用,并传回授权码给应用。因为终端用户只在授权服务器上进行验证,所以终端用户的用户名和密码从来不用分享给应用。

获取Authorization Code

参数名

必选

介绍

client_id

True

创建应用时获得的App Key

response_type

True

此值固定为“code”

redirect_uri

True

授权后要回调的URI,即接收Authorization Code的URI, 其值可以是“oob”。 非“oob”值的redirect_uri所在域名必须与开发者注册应用时所提供的回调地址的域名相匹配

scope

False

以空格分隔的权限列表,若不传递此参数,代表请求默认的basic权限。(目前只有basic权限)

state

False

hash,用于预防CSRF,用于保持请求和回调的状态,授权服务器在重定向到“redirect_uri”时,会在Query Parameter中原样回传该参数

/authorize?client_id=ABCDEFGHIJKLMNOP&response_type=code&redirect_uri=http://www.example.com/oauth_redirect&scope=basic&state=mytest

如果用户在此页面同意授权,则将重定向用户浏览器到指定的“redirect_uri”,并附带上表示授权服务所分配的Authorization Code的code参数(假设为“0987654321“),以及state参数(如果有),验证通过后,认证服务器将重定向用户浏览器到“http://www.example.com/oauth_redirect?state=mytest&code=0987654321”

说明:每一个Authorization Code的有效期为60秒(可根据需求调长一些,但原则上应尽可能短),并且只能使用一次,再次使用将无效。

通过Authorization Code获取Access Token

通过上面第一步获得Authorization Code后,便可以用其向认证服务器换取一个Access Token。

参数名

必选

介绍

grant_type

True

此值固定为“authorization_code”

code

True

通过上面第一步所获得的Authorization Code

client_id

True

创建应用时获得的App Key

client_secret

True

应用的App Secret

redirect_uri

True

redirect_uri所在域名必须与开发者注册应用时所提供的回调地址的域名匹配

/access_token?grant_type=authorization_code&code=0987654321&client_id=ABCDEFGHIJKLMNOP&client_secret=abcdefg...&redirect_uri=http://www.example.com/oauth_redirect

若参数无误,服务器将返回一段JSON文本,包含以下参数:

参数名

必选

介绍

access_token

True

获取的Access Token

token_type

False

令牌类型“bearer”或“mac”,暂无很明确的说明,通常是brearer或省略

expires_in

True

Access Token的有效期,以秒为单位

refresh_token

False

用于刷新Access Token 的 Refresh Token

scope

False

Access Token最终的访问范围,即用户实际授予的权限列表,用户在授权页面时,有可能会取消掉某些请求的权限,通常只作或只有登录认证的话,可忽略

示例:Content-Type: application/json

{"access_token":"uuvvwwxxyyzz","expires_in":"3600", "scope":"basic","refresh_token":"qwertyuiop"}

1.4Implicit Grant Flow

简化模式,该模式下,通常client和user-agent是在一起的,如手机app等

 

流程简单表述为,当用户访问应用服务

(A)应用服务返回带有授权信息的重定向链接,浏览器拿到链接,转为访问认证服务器

(B)认证服务器提供界面给用户进行确认授权,用户确认授权

(C)假设资源所有者授予访问权限,则认证服务器返回带有获取access_token的令牌的链接

(D)浏览器链接重定向到一个web客户端资源,访问资源服务器

(E)返回一个网页(通常是一个嵌入式脚本的HTML文档)

(F)浏览器从脚本中提取access_token(包括其他参数)

(G)浏览器带着access_token重定向到应用服务器,应用服务器到浏览器传来的access_token

采用Implicit Grant方式获取Access Token的授权验证流程又被称为User-Agent Flow,适用于所有无Server端配合的应用(由于应用往往位于一个User Agent里,如浏览器里面,因此这类应用在某些平台下又被称为Client-Side Application),如手机/桌面客户端程序、浏览器插件等,以及基于JavaScript等脚本语言实现的应用。

1.5Refreshing an Expired Access Token

令牌刷新方式,适用于所有有Server端配合的应用,其实就是更新access_token

 

获取Access Token,都会拿到有效期为14天的Refresh Token,和2分钟有效期的Access Token。对于这些应用,只要用户在14天内登录,应用就可以使用Refresh Token获得新的Access Token。

要使用Refresh Token获得新的Access Token,需要应用在其服务端发送请求(推荐用POST方法)到开放平台OAuth2.0授权服务的以下地址: “/access_token”,并带上以下参数:

参数名

必选

介绍

grant_type

True

必须为“refresh_token”

refresh_token

True

用于刷新Access Token用的Refresh Token

client_id

True

创建应用时获得的App Key

client_secret

True

应用的App Secret

scope

False

以空格分隔的权限列表,若不传递此参数,代表请求默认的basic权限。注:通过Refresh Token刷新Access Token时所要求的scope权限范围必须小于等于上次获取Access Token时授予的权限范围

示例:

/access_token?grant_type=refresh_token&refresh_token=qwertyuiop&client_id=ABCDEFGHIJKLMNOP&client_secret=abcdefg...&scope=basic

若请求成功服务器将返回一段JSON文本,包含以下参数

示例:Content-Type: application/json

{ "access_token":"uuvvwwxxyyzz","expires_in":"120","scope":"basic","refresh_token":" qwertyuiop"}

2、使用access_token调用API

获取access_token以后,就可以使用access_token调用API接口。

调用API的URL“/json”传递需要的参数,参数的详细介绍请参照以上描述

例:/json?access_token=uuvvwwxxyyzz

寒歆川
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OAuth2.0 全面介绍
oscar999的专栏
01-08 1162
OAuth 是一种授权协议, 通过他, 用户可以授权第三方应用访问自己保存在资源服务器上的资源。 OAuth 目前使用的版本是2.0。
OAuth 2.0官方文档内容归纳
weixin_44543578的博客
12-07 3857
OAuth 2.0 授权框架 Abstract OAuth 2.0授权框架使第三方应用程序能够代表资源所有者获得对HTTP服务的有限访问权,方法是协调资源所有者和HTTP服务之间的批准交互,或者允许第三方应用程序代表自己获得访问权。本规范取代并废除RFC 5849中描述的OAuth 1.0协议。 1. 介绍 OAuth通过引入授权层并将客户端角色与资源所有者角色分离来解决这些问题。在OAuth中,客户端请求访问由资源所有者控制并由资源服务器托管的资源,并且得到与资源所有者不同的一组凭据 客户机没有使用资源所
OAuth 2.0 官方文档 阅读理解
崔二旦
03-17 2044
OAuth 2.0 学习记录
OAuth 2.0 文档
weixin_40809507的博客
10-16 2557
OAuth 2.0 文档 初见OAuth2.0 ​ OAuth 2.0是一个业界标准的授权协议,其定义了四种可以适用于各种应用场景的授权交互模式:授权码模式、应用授信模式、用户授信模式、简化模式。其中,授权码模式被广泛应用于第三方互联网开放平台,通过第三方登录是其最常见应用场景之一,比如使用微信、QQ和淘宝账号进行登录。 ​ OAuth 2.0 官方文档地址:https://tools.ietf.org/html/rfc6749#section-4.3.2 一、情景再现: ​ [外链图片转存失败,源站可
OAuth 2.0设计规范
一叶知春秋
05-20 1410
OAuth2.0接口设计规范说明 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务器提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。
SpringSecurity整合OAuth2.0
玩转Java
12-10 9427
springsecurity整合aoth2.0
PHP oauth2.0框架,搭建OAuth2.0
weixin_29274969的博客
03-11 652
前奏系统:Ubuntu语言:PHP7框架:YAFOAuth2.0:bshaffer/oauth2-server-phpOAuth2.0 有很多开源代码库Github 排名前两位thephpleague/oauth2-serverbshaffer/oauth2-server-php本文使用的是第二个:bshaffer。原因:使用简单,可以很快上手,文档齐全,功能完善。引入 OAuth2.0 的 Se...
Oauth2.0认证:salesforce Oauth2.0接入实例
weixin_38370441的博客
11-10 812
文章目录参考文档Postman接入实例 参考文档 SF Oauth2.0:https://help.salesforce.com/s/articleView?id=sf.remoteaccess_oauth_web_server_flow.htm&language=zh_CN&r=https%3A%2F%2Fwww.google.com.hk%2F&type=5 SF postman:https://www.postman.com/salesforce-developers/work
认证服务---OAuth2.0基本介绍,微博登录测试【上篇】
做笔记\记录遇到的程序bug
04-11 342
比如说你要使用一个从来未注册过的软件,一般来讲你需要先注册成为这个软件的用户,然后登录后才可以使用该软件。但是为了方便起见,现在的大部分软件会允许你第三方登录。比如说、你可以通过微信、微博、QQ等其它社交软件辅助登录,这样就可以在不进行**“注册”**的情况下进行登录该软件。
OAuth2.0协议中文版.pdf
03-27
OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
OAUTH2.0+OpenLDAP技术框架
01-09
OAUTH2.0+OpenLDAP技术框架,及适用场景,综合价值等PPT文档,可修改!!!
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
OAuth 2.0中文译本
01-28
OAuth 2.0很可能是下一代的“用户验证和授权”标准,目前在国内还没有很靠谱的技术资料。为了弘扬“开放精神”,让业内的人更容易理解“开放平台”相关技术,进而长远地促进国内开放平台领域的发展,笔者特意将OAuth...
OAuth2.0中文参考文档
07-25
OAuth2.0中文参考文档
jar包增量更新分析
junlaiyan的专栏
05-16 320
借助jdeps分析出jar包的增量文件
java实现拼图小游戏
monkey108的博客
05-16 678
本文主要提供用java实现的拼图小游戏源代码。
分布式锁2-Zookeeper分布式锁实战
最新发布
qq_43676797的博客
05-19 162
使用curator操作Zookeeper进行实战;:Apache Curator包含一套高级API框架和工具类,它 是Apache ZooKeeper 的Java 客户端库。
命令执行漏洞(二)
XLbb的博客
05-15 937
POST方法,S2-045-bypass-2漏洞存在!,程序更改为S2-045-bypass-2漏洞测试模式, 响应码: 200。POST方法,S2-046-bypass漏洞存在!POST方法,S2-045-bypass漏洞存在!POST方法,S2-046-1漏洞存在!POST方法,S2-046-2漏洞存在!POST方法,S2-046-3漏洞存在!POST方法,S2-045-1漏洞存在!POST方法,S2-045-3漏洞存在!POST方法,S2-045-2漏洞存在!POST方法,S2-045-4漏洞存在!
oauth2.0协议中文文档
10-18
以下是OAuth 2.0协议中文文档的一些重要内容: 1. 术语解释:文档解释了OAuth 2.0协议中使用的一些术语,例如“资源所有者”(资源的拥有者,即用户)、“客户端”(需要访问资源的应用程序)以及“授权服务器”...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值