Auth2.0原理

最新推荐文章于 2022-01-07 13:54:12 发布
最新推荐文章于 2022-01-07 13:54:12 发布
阅读量1.6w 收藏 46
点赞数 6
分类专栏: Auth2.0原理 文章标签: Auth2.0原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010251897/article/details/80708498
版权

OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。目前Auth2.0已经得到了广泛应用,比如微信登录、微博、QQ等。

一、为什么要使用OAuth

为了理解OAuth的适用场合,让我举一个假设的例子。
有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。
问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
传统方法是,用户将自己的Google用户名和密码,告诉"云冲印",后者就可以读取用户的照片了。这样的做法有以下几个严重的缺点。
(1)"云冲印"为了后续的服务,会保存用户的密码,这样很不安全。
(2)Google不得不部署密码登录,而我们知道,单纯的密码登录并不安全。
(3)"云冲印"拥有了获取用户储存在Google所有资料的权力,用户没法限制"云冲印"获得授权的范围和有效期。
(4)用户只有修改密码,才能收回赋予"云冲印"的权力。但是这样做,会使得其他所有获得用户授权的第三方应用程序全部失效。

(5)只要有一个第三方应用程序被破解,就会导致用户密码泄漏,以及所有被密码保护的数据泄漏。

OAuth就是为了解决上面这些问题而诞生的。


二、OAuth2.0授权流程

关于OAuth2.0协议的授权流程可以参考下面的流程图


其中Client指第三方应用,Resource Owner指用户,Authorization Server是我们的授权服务器,Resource Server是API服务器。

解释一下上述流程:

(A)用户打开客户端以后,客户端要求用户给予授权。
(B)用户同意给予客户端授权。
(C)客户端使用上一步获得的授权,向认证服务器申请令牌。
(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。
(E)客户端使用令牌,向资源服务器申请获取资源。
(F)资源服务器确认令牌无误,同意向客户端开放资源。

三、授权模式

客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。OAuth 2.0定义了四种授权方式。
授权码模式(authorization code)
简化模式(implicit)
密码模式(resource owner password credentials)
客户端模式(client credentials)

四、授权码模式

授权码模式(authorization code)是功能最完整、流程最严密的授权模式。


它的步骤如下:
(A)用户访问客户端,后者将前者导向认证服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

下面是上面这些步骤所需要的参数。
A步骤中,客户端申请认证的URI,包含以下参数:
response_type:表示授权类型,必选项,此处的值固定为"code"
client_id:表示客户端的ID,必选项
redirect_uri:表示重定向URI,可选项
scope:表示申请的权限范围,可选项
state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。

下面是一个例子。

[html]  view plain   copy
  1. GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz  
  2.         &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1  
  3. Host: server.example.com  
C步骤中,服务器回应客户端的URI,包含以下参数:
code:表示授权码,必选项。该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。
state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。
下面是一个例子。

[html]  view plain   copy
  1. HTTP/1.1 302 Found  
  2. Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA  
  3.           &state=xyz  
D步骤中,客户端向认证服务器申请令牌的HTTP请求,包含以下参数:
grant_type:表示使用的授权模式,必选项,此处的值固定为"authorization_code"。
code:表示上一步获得的授权码,必选项。
redirect_uri:表示重定向URI,必选项,且必须与A步骤中的该参数值保持一致。
client_id:表示客户端ID,必选项。

下面是一个例子。

[html]  view plain   copy
  1. POST /token HTTP/1.1
最低0.47元/天 解锁文章
沈荣荣
关注
  • 6
    点赞
  • 46
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0认证和授权机制讲解
05-10 744
大多数网站提供的第三方登录都遵循OAuth协议,虽然大多数网站的细节处理都是不一致的,甚至会基于OAuth协议进行扩展,但大体上其流程是一定的。今天,我们就来看看基于OAuth2的第三方登陆功能是怎样一个流程。
OAuth 2.0的授权认证流程
最新发布
qq_34068440的博客
04-25 1077
1、Auth2.0 协议简介2、OAuth 2.0的授权认证流程OAuth 2.0 的核心概念认证思路与流程3、OAuth2.0 的四种模式授权码模式(authorization code)隐式授权模式(Implicit Grant)资源所有者密码凭证模式(Resource Owner Password Credentials Grant)客户端凭证模式(Client Credentials Grant)4、相关文章Auth2.0 协议简介。
OAuth 2.0 的四种方式
勿忘初心
04-24 1705
OAuth 2.0 是一种授权机制,主要用来颁发令牌(token)。 RFC 6749 OAuth 2.0 的标准是 RFC 6749 文件。该文件先解释了 OAuth 是什么。 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。…资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。 这段话的意思就是,OAuth 的核心就是向第三方应用颁发令...
OAuth2.0基本原理及应用
weixin_30920091的博客
09-11 226
OAuth2.0基本原理及应用 一.OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 在详细讲解OAuth 2.0之前,需要了解几个专用名词,理解它们对理解OAuth2.0的基本原理很重要。 (1) Third-party application:第三方应用程序,本文中又称"客户端"(client)。 (2)HTTPservi...
OAuth2.0协议(二) - 密码类型、隐式许可类型、客户端类型、PKCE
it_lihongmin的博客
01-07 926
前提是在理解的OAuth2.0授权码许可流程(最完整的授权流程)后,再来理解其他的授权许可类型和每种类型的使用场景。 资源拥有者凭据许可类型 资源拥有者凭据许可类型虽然名字比较拗口,但确是我们最熟悉的使用 用户名密码直接换取token的流程。与授权码许可流程相比,这里减少了获取授权码的流程和两次重定向的过程,之前我们也分析过增加授权码流程就是为了增加安全性和用户体验,但前提是三方服务本身并不被信任。 但是如果都是本公司不同团队(甚至是同一团队)开发的三方服务,比如电商系统与配送系统(京东到...
auth2.0 安装包及资料学习(包含个版本的php_oauth.dll)
06-25
这个“auth2.0 安装包及资料学习”压缩包提供了多种资源,帮助开发者理解和实践 OAuth 2.0 的实现,特别强调了与 PHP 和 MySQL 的集成。 1. **OAuth 2.0 概述** OAuth 2.0 是一个开放标准,允许用户让第三方应用在...
基于Spring Cloud、OAuth2.0、Vue的前后端分离的系统
12-11
在构建基于Spring Cloud、OAuth2.0和Vue的前后端分离系统时,我们涉及了多个核心技术和实践,这些技术在现代分布式系统中扮演着至关重要的角色。以下是对这些知识点的详细说明: 1. **Spring Cloud**: Spring ...
c# OAuth2.0
05-25
OAuth2.0是一种授权框架,广泛应用于Web应用和API接口的安全访问控制,允许第三方应用在用户许可的...通过这个项目,开发者可以学习到OAuth2.0的原理,以及如何在实际开发中应用这些概念,提高应用的用户体验和安全性。
springboot OAuth2.0-demo
12-17
通过分析和运行这个项目,你可以深入理解OAuth2.0的工作原理及其在Spring Boot中的实现。同时,也可以作为模板,为自己的项目添加OAuth2.0认证功能。在实际开发中,还可以考虑添加刷新令牌功能,以及更复杂的权限...
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring Security和OAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录(SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
auth:通过oauth2进行身份验证
02-03
auth-通过oauth2,直接和电子邮件进行身份验证 该库提供与Github,Google,Facebook,Microsoft,Twitter,Yandex,Battle.net和Telegram的“社交登录”,以及自定义身份验证提供程序和电子邮件验证。 可以同时使用多个oauth2提供程序 专门的dev提供商可以进行本地测试和开发 JWT存储在具有XSRF保护的安全cookie中。 Cookies只能是会话的 仅用户名,ID和图片(头像)的最小作用域 使用用户提供的凭据检查器直接认证 用户提供的发件人(电子邮件,即时消息等)的经过验证的身份验证 定制的oauth2服务器以及使用任何第三方提供程序的能力 具有FS,boltdb和gridfs存储的集成化身代理 支持用户定义的头像存储 默认头像的标识符 黑名单和用户定义的验证器 支持多种音频(听众) 使用可自定义的SecretReader安全密钥 能够将额外的信息存储到令牌并在登录时进行检索 预身份验证和后身份验证挂钩可处理自定义用例。 易于集成到http路由器的中间件 包装器从请求中提取用户信息 基于角色的访问控制 安装 g
OAuth认证实现机制及单点登录原理
李昊轩的博客
02-27 6634
OAuth认证 OAuth认证是为了做到第三方应用在未获取到用户敏感信息(如:账号密码、用户PIN等)的情况下,能让用户授权予他来访问开放平台(主要访问平台中的资源服务器Resource Server)中的资源接口。 其流程主要是: 用户首先要保持登录,即已认证通过的状态 第三方应用请求用户授权(我理解是弹出一个显示的操作界面让用户确认给第三方授权) 用户授权成功之后会向Authori...
4种认证(authentication)或授权(authorization)方式
热门推荐
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
OAuth2
qq_44772414的博客
02-01 104
OAuth2是什么? *OAuth2是针对特定问题的一种解决方案 *OAuth2主要可以解决两个问题 1.开放系统间的授权。 2.分布式访问问题。
深入浅出OAuth 2.0授权机制
weixin_34416649的博客
07-13 230
前言 举个简单的例子。新浪微博是你的家,有时候你会想让一些人(第三方应用)去你的家里帮你办点事情,或者取点东西。你可以直接复制一把钥匙(用户名和密码)给他们,但这里存在几个问题: 别人拿了钥匙后可以去你家里的所有房间。 别人拿到你的钥匙后也许会不小心丢到,甚至故意送到它人手里。这样你都不知到谁有你家钥匙。 过一段时间你也许会想要回自己的钥匙,但别人不还怎么办? 总结起来就是两个问题:其一,...
Auth权限管理
彳亍
10-15 1万+
1. 简介Auth权限管理比RBAC更加灵活,auth对权限的控制更为精细。Auth的特性: 是对规则进行认证,不是对节点进行认证。用户可以把节点当作规则名称实现对节点进行认证。auth=newAuth();auth=new Auth(); auth->check(‘规则名称’,’用户id’) 可以同时对多条规则进行认证,并设置多条规则的关系(or或者and)。auth=newAuth();aut
auth权限
c634479523的博客
10-31 5920
tp_admin管理员表 ----id:主键 ,username:管理员,password:管理员密码   tp_auth_rule,规则表,(如:系统设置,友情链接,链接列表,添加链接等等) ---id:主键,name:规则唯一标识, title:规则中文名称 status 状态:为1正常,为0禁用,condition:规则表达式,为空表示存在就验证,不为空表示按照条件验证
auth2.0+jwt+spring security
08-29
Auth2.0是一种用于授权的开放标准,它允许用户授权第三方应用访问他们的资源,而无需直接分享他们的凭据。这种授权方式对于保护用户敏感信息非常有用。 JWT(JSON Web Token)是Auth2.0中使用的一种令牌格式。它由...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值