oAuth 2.0协议解析

最新推荐文章于 2024-04-25 22:22:45 发布
最新推荐文章于 2024-04-25 22:22:45 发布
阅读量972 收藏
点赞数 1
分类专栏: 日积月累 文章标签: open oauth 授权 协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stationxp/article/details/43792111
版权

编号:OAPI-DESIGN-002
作者:刘海龙
微博:[http://weibo.com/liuhailong2008]
博客:[http://blog.csdn.net/stationxp]

协议概述

4个主体

完整的oAuth 2.0协议流包括4个主体,6个步骤。
4个主体分别是:
- 资源拥有者:可以是人,负责授权工作。对Open API来说,即发布方。发布方审批调用者的申请,通过后,即完成授权,体现为数据库中的记录。
- 客户端:一般是第三方应用程序。对于Open API来说,即调用者。
- 授权服务器:负责完成授权凭证的发放和验证工作。
- 资源服务器:负责提供资源或服务。

6个步骤

客户端要发起调用,面对对方3个角色,需要分别依次交流,每个角色一去一回,共6个步骤。

流程如下,首先是客户端和资源拥有者交流:

  1. 客户端向资源拥有者发起申请,请求许可。
  2. 资源拥有者批准申请,发送许可凭证grant_code给客户端。

客户端提交申请的时候提交了invoker uri,授权服务器可以发起如下请求,传回grant code。

http://invoker_uri?grant_code=xxxxxxxx

invoker uri在整个交互过程中要保持一致,对资源发起调用也必须来来自这个uri。

接下来就是客户端和授权服务器交互的过程了。

  1. 客户端向授权服务器发起申请,提交grant_code、client_id、invoker_uri。
  2. 授权服务器返回令牌token给客户端。

获得token之后,客户端暂时不需要直接和授权服务器打交道了。
客户端通过token,可以愉快地访问资源了,直到token过期、失效。

接下来,客户端和资源服务器交流,享受服务。

  1. 客户端向资源服务器端发起请求,携带token。
  2. 资源服务器验证token,提供服务。

支持sequence语法的MD阅读器可以看到时序图:

Created with Raphaël 2.1.2 客户端 客户端 资源拥有者 资源拥有者 授权服务器 授权服务器 资源服务器 资源服务器 1.我想要访问XX接口 2.准了,这是“授权“ 3.我想要访问X的接口,这是“授权“ 4.OK,这是“令牌“,拿好 5.1.我手续办齐了,我要访问你的XX1接口 6.1.好吧 5.2.我手续办齐了,我要访问你的XX2接口 6.2.好吧

上面的过程中,客户端直接和资源拥有者交互,oAuth 2.0推荐授权服务器为中介,客户端和资源拥有者不直接沟通。

以上即oAuth 2.0的big picture。

授权服务器规划

oAuth 2.0定义了4种授权模式,以下仅以授权码模式为例。以下假定读者熟悉授权码模式的流程。

功能设计

协议的关键是授权服务器的实现。
在规划授权服务器功能时,不要考虑任何具体业务。
授权服务器完成以下几项工作:
- 发放Token
- 更新Token
- 验证token

对外接口

发放Token

Token的发放过程如下:
首先,客户端发起申请,如下:

http://auth_server/authorize?response_type=code&client_id=xxx&state=ddd&redirect_uri=httpxxxx

发送申请的地址需要和参数redirect_uri的值一致。
成功后,返回auth_code,发回状态码302。

location: httpxxxx?auth_code=ssss&state=ddd

传回的auth_code有效期通常是10分钟,只能使用一次。
接下来,客户端发起请求,申请正式token。

http://auth_server/authorize?grant_type=authorization_code&auth_code=ddd&&redirect_uri=httpxxxx

授权服务器返回:
access_token,token_type,expires_in,refresh_token,scope

重发Token
http://auth_server/authorize?grant_type=refresh_token&refresh_token=xxxxx
验证Token
http://auth_server/authenticate?access_token=ddd&invoker_uri=xxx&scope=ss

程序设计

interface AuthorizationServer{
    /** 发token,更新token */
    Response authorize(Request request);
    /** 验证token */
    Response authenticate(Request request);
}
interface GrantHandler{
    /** 授权 */
    Response grant(Request request);
    /** 验证 */
    Response authenticate(Request request);
}
interface AuthorizationCodeGrantHandler extends GrantHandler{ 
    /** 返回auth code */
    Response authCode(Request request);
}

为了实现上述功能,授权服务器还应该实现用户注册、授权申请、授权审批、资源定义、资源组管理(即scope)、授权码管理(grant code)、Token管理等功能。

stationxp
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth 2.0:开放授权的安全认证协议
恋上、小幸福的博客
07-13 1228
OAuth 2.0是一种开放标准的授权协议,允许用户授权第三方应用程序代表其访问受保护的资源。它解决了传统的用户名和密码认证方式存在的一些问题,提供了更安全、更便捷的身份验证和授权机制。
OAuth2.0协议流程与授权模式、协议流程
m0_62019369的博客
01-05 1617
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。简化模式不通过第三方应用程序的服务器,直接在浏览器中向授权服务器申请令牌,跳过了"授权码"这个步骤,所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。(D)客户端收到授权码,附上早先的"重定向URI",向授权服务器申请令牌。
OAuth 2.0的授权认证流程
最新发布
qq_34068440的博客
04-25 1175
1、Auth2.0 协议简介2、OAuth 2.0的授权认证流程OAuth 2.0 的核心概念认证思路与流程3、OAuth2.0 的四种模式授权码模式(authorization code)隐式授权模式(Implicit Grant)资源所有者密码凭证模式(Resource Owner Password Credentials Grant)客户端凭证模式(Client Credentials Grant)4、相关文章Auth2.0 协议简介。
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 4407
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
OAuth 2.0介绍
没有简介
08-24 2866
OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式:授权码模式、隐式授权模式、密码模式和客户端模式。OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权,是目前应用最广泛的开放平台鉴权方式之一。
OAuth2.0四种授权模式及实战
热门推荐
CODEING一场空的博客
06-27 1万+
Oauth2.0具有多种授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。在源码中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证码登录或者微信扫码登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证码模式。
OAuth 2.0 的解析与应用
dosthing的博客
06-27 9059
文章目录前言授权解析如何授权使用与更新授权讲个例子总结 前言 互联网是一个巨头垄断的市场,市场资源大多被有实力的大公司支配着,比如google、Alibaba、Tencent等等,当我们想用它们的资源时,就需要用到授权。而OAuth 2.0是目前最流行的授权机制,用来授权给第三方应用,从而能够获取到授权方得用户数据信息。OAuth 2.0给第三方应用带来了巨大的便利,使我们的用户信息可以适用于整个...
OAuth 2.0 文档
weixin_40809507的博客
10-16 2590
OAuth 2.0 文档 初见OAuth2.0 ​ OAuth 2.0是一个业界标准的授权协议,其定义了四种可以适用于各种应用场景的授权交互模式:授权码模式、应用授信模式、用户授信模式、简化模式。其中,授权码模式被广泛应用于第三方互联网开放平台,通过第三方登录是其最常见应用场景之一,比如使用微信、QQ和淘宝账号进行登录。 ​ OAuth 2.0 官方文档地址:https://tools.ietf.org/html/rfc6749#section-4.3.2 一、情景再现: ​ [外链图片转存失败,源站可
微博Oauth2.0 协议用java 实现单点登录获取用户信息
05-17
微博OAuth2.0协议是微博平台提供的一种授权机制,它允许第三方应用在用户授权的情况下,安全地获取微博用户的个人信息和进行相关操作。在Java中实现微博的单点登录(Single Sign-On, SSO)功能,涉及到的主要步骤...
OAuth2.0新浪微博简单示例
12-13
通过分析这些文件,开发者可以深入理解OAuth2.0授权协议,并将其应用到其他服务的集成中。 总之,OAuth2.0是一个强大的工具,它在保护用户隐私的同时,使得第三方应用能够安全地访问用户数据。这个“OAuth2.0新浪...
Spring Security OAuth2.0
06-19
Spring Security OAuth2.0 具有良好的扩展性,可以与其他Spring生态组件如Spring Boot、Spring Cloud Security等无缝集成,同时支持多种认证协议,如OpenID Connect。 **8. 客户端库支持** Spring Security OAuth...
Oauth2.0 + JWT、JSON解析、调用三方URL.zip
12-18
在IT行业中,OAuth2.0、JWT(JSON Web Tokens)以及JSON解析是现代Web服务和API安全及数据交换的关键组成部分。下面将详细解释这些技术及其相互间的应用。 **OAuth2.0** OAuth2.0是一种授权框架,允许第三方应用在...
ASP.NET实现QQ、微信、新浪微博OAuth2.0授权登录 <font color=red>原创</font>
10-22
总的来说,ASP.NET实现OAuth2.0授权登录涉及网络请求、URL构造、参数解析、数据库操作等多个环节,需要对OAuth协议有深入理解,并且能够灵活运用ASP.NET的Web开发技术。通过封装抽象基类和子类,可以有效地复用代码...
Oauth2协议详解&OAuth2.0 授权方式
qq_43842093的博客
05-03 1273
OAuth2是一个非常常用的协议,也非常的方便,主要目的就是使第三方服务器可以获得授权范围内的用户信息OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不兼容OAuth 1.0,即完全废止了OAuth1.0。
(8)OAuth 2.0 协议详解
禅与计算机程序设计艺术
08-31 510
作者:禅与计算机程序设计艺术 1.简介 OAuth是一个开放授权协议,允许用户提供第三方应用访问其在某些网站上存储的私密信息(如照片、联系方式等),而无需将用户名或密码提供给第三方应用。OAuth 2.0 是 OAuth 1.0 的更新版本,主要是为了解决旧版 OAuth 在安全性和标准化方面的不足。本
OAuth2.0基础及分布式认证管理系统的分析
A_991128a的博客
01-12 123
OAuth是开放授权的译文,是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户的名称、密码等重要信息提供给第三方应用或分享他数据的内容;OAuth2.0是OAut协议的延续版本,但不向后兼容,即完全废弃了OAuth1.0;很多大公司如Google、Yahoo、Microsoft等都提供了OAuth认证服务;对OAuth认证简单的理解:允许项目将之前实现的认证与授权的过程叫给第三方来进行保护;而OAuth协议就是用来定义如何让这个第三方的担保有效且双方可信;
单点登录和Auth2.0
weixin_63212264的博客
11-17 1593
单点登录英文全称Single Sign On,简称SSO。指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。OAuth 2.0 是一种用于授权的开放标准协议,允许用户通过第三方应用程序授权访问其在其他网站或应用程序上存储的受保护资源,而无需将其用户名和密码提供给第三方应用程序。
【分布式技术专题】「授权认证体系」深度解析OAuth2.0协议的原理和流程框架实现指南(授权流程和模式)
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
12-23 1394
在传统的客户端-服务器身份验证模式中,客户端请求服务器上访问受限的资源(受保护的资源)时,需要使用资源所有者的凭据在服务器上进行身份验证。资源所有者为了给第三方应用提供受限资源的访问权限,需要与第三方共享它的凭据。安全问题:第三方应用需要存储资源所有者的凭据以供将来使用,该凭据通常是明文密码,服务器需要支持密码身份认证,尽管密码认证有固有的安全缺陷。权限宽泛:第三方应用获得了对资源所有者的受保护资源的过于宽泛的访问权限,从而导致资源所有者不能限制对资源的有限子集的访问时限或权限。
[转]OAuth2.0授权协议+4种认证模式了解
Admans的专栏
11-06 952
OAuth2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。对于用户而言,我们在互联网应用中最常见的 OAuth 应用就是各种。
OAuth2.0协议详解:授权流程与应用场景深度解析
OAuth2.0协议的主要目的是授权而不是认证,它定义了四种基本的授权流程,分别是: 1. 授权码授权(Authorization Code Grant):用户在授权服务器上授权后,会获得一个临时授权码,该码被用于换取长期访问令牌。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值