Web - OAuth2 认证流程

最新推荐文章于 2024-06-07 16:52:20 发布
最新推荐文章于 2024-06-07 16:52:20 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: Web 文章标签: oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sssssuuuuu666/article/details/115935677
版权

令牌与密码的区别

令牌(token)与密码(password)的作用是一样的,都可以进入系统,但是主要有以下几点区别:

令牌密码
有效时长令牌到期自动失效用户不修改就长期有效
谁可撤销数据所有者撤销即失效一般不允许他人撤销
权限范围令牌具有权限范围,可限制操作一般为完整权限

注:只要知道了令牌,就能进入系统。系统一般不会再次确认身份,所以令牌必须保密,泄漏令牌与泄漏密码的后果是一样的。 这也是为什么令牌的有效期,一般都设置得很短的原因。

认证流程

OAuth2.0运行流程

(A)用户打开客户端以后,客户端要求用户给予授权。

(B)用户同意给予客户端授权。

(C)客户端使用上一步获得的授权,向认证服务器申请令牌。

(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。

(E)客户端使用令牌,向资源服务器申请获取资源。

(F)资源服务器确认令牌无误,同意向客户端开放资源。

也可参考下图帮助理解。

OAuth2流程图

举例

模拟用户使用第三方微信登录京东的授权认证过程

准备工作:

在京东支持微信第三方登录之前,京东需要在微信开放平台上注册,微信给京东发放一个client_id以及 app secert的密钥

流程:

  1. 用户访问京东官网进行登录,跳转到登录页面,此时京东要求用户授权

  2. 此时用户选择第三方微信登录,会跳转到如下链接。并显示一个提供用户扫码登陆的二维码。用户需要同意登录,生成code

    https://open.weixin.qq.com/connect/qrconnect?appid=wx827225356b689e24&state=45451A684ED6970EEE1692B2C496DB7DDF432EBC9B5C30CAC583E22FA6391A2B37D033535639574F25A84B9DDDC72546&redirect_uri=https%3A%2F%2Fqq.jd.com%2Fnew%2Fwx%2Fcallback.action%3Fview%3Dnull%26uuid%3Db37301f413f74cac980757a5d3b885b9&response_type=code&scope=snsapi_login#wechat_redirect

    其中主要有以下几个参数

    appid: 客户端id
state: 表示客户端当前状态
redirect_uri:https%3A%2F%2Fqq.jd.com%2Fnew%2Fwx%2Fcallback.action%3Fview%3Dnull%26uuid%3Db37301f413f74cac980757a5d3b885b9
response_type: code //代表采用授权码模式进行授权
scope: snsapi_login#wechat_redirect //申请的权限范围

    此时用户需要做的就是扫码登录

    image-20210420214856231

  3. 假如用户登录成功,那么微信的授权服务器会重定向回客户端的URI,并附上一个授权码(code)和之前提供的本地状态(state)

    https://qq.jd.com/new/wx/callback.action?view=null&uuid=b37301f413f74cac980757a5d3b885b9&code=001y0oyV0nwdq229vKzV05pdyV0y0oyA&state=45451A684ED6970EEE1692B2C496DB7DDF432EBC9B5C30CAC583E22FA6391A2B37D033535639574F25A84B9DDDC72546

    主要参数有

    uuid: b37301f413f74cac980757a5d3b885b9
code: 生成的code,用于下一步获取tokenn

  4. 京东收到授权码后,附上最先重定向的URI,向微信授权服务器申请令牌,此时的请求参数包含

    client_id:在微信开放平台申请的应用 ID
client_secret:在微信开放平台申请时提供的APP Secret
grant_type:需要填写authorization_code
code:上一步获得的 code
redirect_uri:回调地址,需要与注册应用里的回调地址以及第一步的 redirect_uri 参数一致

    总之简化后的步骤就是:京东拿到用户登录授权成功后的 code 码,请求微信授权服务器换取token。响应可参考

    {
 "access_token": "ACCESS_TOKEN",//Token 的值
 "expires_in": 1234,//过期时间
 "uid":"12341234"//当前授权用户的UID。
}

  5. 最终京东使用获取到的token去请求微信开发的资源

四种授权方式

  1. 授权码(authorization-code)

    第三方应用先申请一个授权码,然后再用该码获取令牌。

  2. 隐藏式(implicit)

    允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)“隐藏式”(implicit)

  3. 密码式(password)

    如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)。

  4. 客户端凭证(client credentials)

    适用于没有前端的命令行应用,即在命令行下请求令牌。

    第一步,A 应用在命令行向 B 发出请求。

    https://oauth.b.com/token?
grant_type=client_credentials&
client_id=CLIENT_ID&
client_secret=CLIENT_SECRET

    上面 URL 中,grant_type参数等于client_credentials表示采用凭证式,client_idclient_secret用来让 B 确认 A 的身份。

    第二步,B 网站验证通过以后,直接返回令牌。

    这种方式给出的令牌,是针对第三方应用的,而不是针对用户的,即有可能多个用户共享同一个令牌。

注:不管哪一种授权方式,第三方应用申请令牌之前,都必须先到系统备案,说明自己的身份,然后会拿到两个身份识别码:客户端 ID(client ID)和客户端密钥(client secret)。这是为了防止令牌被滥用,没有备案过的第三方应用,是不会拿到令牌的。

参考

https://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

Suhw
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-oauth2
03-17
Spring Security OAuth2将两者结合,为开发人员提供了一种安全、灵活的方式来实现OAuth2授权流程。 一、Spring Security OAuth2概述 Spring Security OAuth2是Spring Security框架的一个扩展,旨在支持OAuth2协议...
OAuth2认证流程
Relievedz的博客
03-16 5975
在前边我们提到微信扫码认证,这是一种第三方认证的方式,这种认证方式是基于OAuth2协议实现,OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。
电子商务网站建设中的安全认证与防护策略
light86的专栏
01-14 413
在数字化时代,电子商务网站的建设已经成为了许多企业取得商业成功的关键因素之一。然而,随着电子商务的快速发展,网络安全问题也日益严重。为了保护用户隐私和确保交易安全
OAuth认证流程、Access Token以及Refresh Token简介
最新发布
C18298182575的博客
06-07 722
为 Refresh Token 是保存在客户端的服务器上的,当前的 Access Token 失效或者过期时,Refresh Token 就会去获取一个新的 Token,Refresh Token 也是一个对客户端不透明的字符串。很多的网站、APP 都弱化了甚至没有搭建属于自己的账号体系,而是使用其它社会化的第三方登陆的方式,比如在登陆某个网站的时候选择通过 github 或者微信、微博等方式登陆,这样不仅免去了用户注册账号的麻烦,还可以获取用户的好友关系来增强自身的社交功能。
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 9280
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
SpringBoot OAuth2.0认证管理流程详解
热门推荐
u012477420的博客
12-12 1万+
OAuth2.0是一个开放的授权协议,可以用来实现第三方应用对我们API的访问控制,OAuth2.0中定义的角色包括: 1) Resource Owner(资源拥有者) 2) Client (第三方接入平台,请求者) 3) Resource Server (服务器资源: 数据中心) 4) Authorization Server (认证服务器) 授权认证的基本流程包括: 首先Client需要向Resource Ow......
OAuth2认证授权流程解析
lixiang987654321的专栏
08-02 4643
oAuth2授权服务4中认证授权模式流程及代码跟踪与解析》 在阅读该文章前,需要对oAuth2的使用有一定的了解才能更好的阅读代码和理解对应流程 一、介绍 其实,关于系统认证授权的开源组件有很多,包括Shiro、Security和OAuth2等,这些组件各自有各自的优点,shiro配置比较简单,而OAuth2配置和实现相对而言就比较复杂一些,但是功能更强大,此处,我只讲解OAuth2相关技术,关于OAuth2的使用,我在csdn上已经写过几篇文章,大致已经将所有的流程说的比较明白,但是一直没有出一片比
性能优化-OAuth2.zip
12-01
OAuth2 是一种授权框架,广泛应用于现代Web服务和API的安全性。它允许用户授权第三方应用访问他们存储在另一服务上的信息,而无需分享他们的用户名和密码。在这个"性能优化-OAuth2.zip"压缩包中,重点是关于如何优化...
Django初窥门径-oauth登录认证
11-06
在IT行业中,Django是一...总结来说,Django中的OAuth登录认证涉及到多个组件和步骤,包括库的安装、设置配置、客户端管理、授权流程的实现以及安全性考虑。理解并掌握这些知识点对于开发安全、健壮的web应用至关重要。
springBoot-springSecurity-OAuth2
01-16
SpringBoot、SpringSecurity和OAuth2是Java开发领域中非常重要的技术组件,它们分别在Web应用的快速开发、安全控制和授权认证方面发挥着关键作用。本文将深入探讨这些技术的结合使用,以及如何在实际项目中实现它们...
Spring-Security-Oauth2
07-09
Spring Security Oauth2 是一个广泛使用的Java安全框架,用于构建安全、授权的Web应用。Oauth2 是一个开放标准,它定义了授权流程,允许第三方应用访问资源服务器上的受保护资源,同时确保用户数据的安全。在这个...
spring-Security-oauth2.zip
05-26
总之,"spring-Security-oauth2.zip" 包含的资料将指导开发者如何在Spring Security环境中配置和使用OAuth2,实现安全的身份验证和授权,为Web应用提供更高级别的安全保护。通过理解OAuth2的工作原理和Spring ...
django-oauth-toolkit:Djangonauts的OAuth2好东西!
02-05
标题强调了这个库是 "好东西",暗示它在实现 OAuth2 认证和授权流程方面非常实用且功能强大。 **描述分析:** 描述与标题相同,再次确认了这是 Djangonauts 为 Django 开发的 OAuth2 工具。"好东西" 的表述可能意味...
shiro-jwt-oauth权限认证
11-11
2. **基于Shiro-JWT-OAuth认证方式**:这是更复杂的一种认证策略,结合了Shiro的权限管理功能和JWT以及OAuth2.0的授权流程。用户首先通过OAuth2.0流程获取访问令牌,然后使用该令牌获取JWT。Shiro负责处理JWT的...
web-api-oauth
04-29
在"web-api-oauth-master"这个文件夹中,可能包含了实现OAuth认证Web API项目源代码,包括控制器(Controllers)、模型(Models)、视图(Views)以及配置文件等。开发者可以通过分析这些代码学习如何设置授权端点...
go-oauth2-server:使用Golang编写的独立的,符合规范的OAuth2服务器
02-02
由于这是基于重定向的流程,因此客户端必须能够与资源所有者的用户代理(通常是Web浏览器)进行交互,并且能够(通过重定向)接收来自授权服务器的传入请求。 +----------+| Resource || Owner || |+----------+ ^ ...
SpringBoot 基于 OAuth2 统一身份认证流程详解
专注基础架构领域
12-23 9290
了解OAUTH2统一认证基本概念, 各种角色与协议流程, 了解OAUTH2支持的四种模式, 以及各种模式的不同应用场景。了解整体服务设计, 完成认证服务的搭建配置, 通过postman对功能进行验证, 实现TOKEN的申请与刷新功能。完成用户服务的配置的改进以及 Spring Security的集成, 核心类的处理实现;在整个项目中, 存在公用的地方, 要做统一处理, 比如统一异常和统一接口数据返回, 复用方便, 直观清晰, 便于维护与扩展。
OAuth2,web页面开发,职场中的中年危机
m0_59117112的博客
03-19 593
1、登录需求1,登录采取弹出层的形式2,登录方式:(1)手机号码+手机验证码(2)微信扫描3,无注册界面,第一次登录根据手机号判断系统是否存在,如果不存在则自动注册4,微信扫描登录成功必须绑定手机号码,即:第一次扫描成功后绑定手机号,以后登录扫描直接登录成功5,网关统一判断登录状态,如何需要登录,页面弹出登录层2、OAuth22.1、OAuth2解决什么问题。
使用PostMan测试OAuth2认证流程
在这个过程中,PostMan作为一个强大的API测试工具,可以用来模拟客户端,验证Oauth2的认证流程流程如下: 1. 用户首先需要通过API网关访问OAuth2认证授权服务,请求一个Access Token。这个过程通常涉及到用户的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值