OAuth2.0授权原理及开发流程详解

最新推荐文章于 2024-06-27 15:26:06 发布
最新推荐文章于 2024-06-27 15:26:06 发布
阅读量6.8k 收藏 7
点赞数
分类专栏: function 框架相关

OAuth2.0授权原理及开发流程详解

程序员小强 1天前

OAuth2.0在认证和授权的过程中参与的几个角色如下:

Client - 第三方应用,

下面以小明使用qq登陆本站为例来讲解OAuth2.0授权原理(小明为Resource Owner,本站36nu.com为Client,qq授权服务器为Authorization Server,提供小明qq基本信息的服务器为Resource Server)

1 小明点击使用qq登陆本站,本站请求qq的OAuth登录页

请求的接口大致如下

https://graph.qq.com/oauth/...&client_id=100490398&redirect_uri=xxx

这个URL称为Request Token URL - 未授权的令牌请求服务地址,要带两个参数client_id和redirect_uri,client_id是在qq互联申请的appid,redirect_uri是用户账号密码输入正确后跳转到的地址。本站身份验证通过后,跳转到qq登陆页面

2 小明使用qq号登陆并授权

小明登陆成功后,QQ在回调地址中加入了一个code参数给本站,例如:

/callback?code=xxxxxx

此code即Authorization Code,有效期一般很短

3 本站通过Authorization Code获取Access Token

本站使用上一步返回的code及appid和appkey去qq获取Access Token,接口地址例如:

https://graph.qq.com/oauth2.0/token?&client_id=100490398&client_secret=xxx&code=xxx

这个URL称为User Authorization URL - 用户授权的令牌请求服务地址,client_id即appid,client_secret即appkey,code为上一步得到的code,这个接口调用成功后会返回access_token和refresh_token,access_token的是有有效期的,过期后需要用户重新授权才能获得新的Access_Token。为避免用户再次授权的操作,提升用户体验,可以使用refresh_token重新获取有效的access_token

4 使用access_token获取小明的头像,区域,性别等基本信息

使用access_token去请求qq的相关openApi(Resource Server)即可获取到需要的信息

天涯0818
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何在分布式环境中搭建单点登录系统| 第二篇:基于Oauth2.0开发SSO核心代码
u014691029的博客
05-04 344
什么是SSO 单点登录系统主要解决统一认证授权的问题,在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统。 想要完成单点登录的效果,必须先统一管理用户信息,其他应用系统必须配合完成改造和对接。 什么场景下,需要用到SSO? 较大型的企业,往往存在多套应用系统。各个应用系统都是在企业发展的某个阶段,因业务发展的需求,开发研制而成。每套系统都会有一套自己的用户体系,需要终端用户注册、登录后才能使用。 随着企业的发展,用到的系统随之增多,用户在操作不同的系统时,需要多次登录,而且每个系统
微服务应用之OAuth2.0的四种授权方式
weixin_45974176的博客
09-26 3929
看完你就会懂oauth2.0的四种授权方式是如何工作的了
教程:在Spring Boot应用中集成OAuth 2.0认证
最新发布
省赚客开发者博客
06-27 1267
通过本教程,我们学习了如何在Spring Boot应用中集成和使用OAuth 2.0认证。从添加依赖、配置OAuth 2.0客户端信息,到配置Spring Security和创建控制器处理认证后的回调,这些步骤帮助开发者快速实现安全的认证机制,并保护应用程序的资源。
OAuth 2.0的机制原理讲解及开发流程[OAuth开发]
casun_li的专栏
04-22 1023
一段时间没写关于OAuth的文章了,近期都忙于学习mysql,今天抽点时间讲下OAuth2.0的机制原理,及开发qq oauth2.0认证登录的流程,闲话少说,直入主题。。。 1、OAuth认证的简述、原理 这部分,我在  OAuth 1.0的机制原理讲解及开发流程[QQ OAuth开发] 一文中已经讲的很详细了,在此就略了,详细请查看: 点击进入 2、OAuth2.0的认
OAuth 2.0系列教程(六) 端点
Gavin0808的专栏
06-29 832
OAuth 2.0系列教程(六) 端点 原文地址:http://tutorials.jenkov.com/oauth2/endpoints.html 作者:Jakob Jenkov   译者:林浩    校对:郭蕾 OAuth 2.0定义了一系列端点。端点典型的就是web服务器上的URI。比如,一个Java Servlet, JSP page, PHP page, ASP.N
OAuth2.0开发指南
weixin_34406061的博客
08-26 158
OAuth2.0开发指南 1.认证与登录 来往开放平台支持3种不同的OAuth 2.0验证与授权流程: 服务端流程(协议中Authorization Code Flow): 此流程适用于在Web服务端调用REST API的的应用。例如:网站,站内应用 客户端流程(协议中ImplicitFlow): 此流程适用于在客户端调用REST API的应用。例如:后端无Web Server...
OAuth2.0协议入门
Daniel462038751的专栏
10-20 1645
OAuth2.0 协议原理 OAuth 2.0 协议是一种三方授权协议,目前大部分的第三方登录与授权都是基于该协议的标准或改进实现。OAuth 1.0 的标准在 2007 年发布,2.0 的标准则在 2011 年发布,其中 2.0 的标准取消所有 Token 的加密过程,并简化了授权流程,但因强制使用 HTTPS 协议,被认为安全性高于 1.0 的标准。 一. 基础应用:第三方登录 ​ 对于 OAuth2.0 协议(以下简称 OAuth 协议)的第一次接触,我相信大部分开发者都是通过对接第三方登录
OAuth 2.0 协议
09-29
### OAuth 2.0 授权框架详解 #### 一、概述 OAuth 2.0 是一个开放标准,用于实现授权机制。它不依赖于特定的身份验证机制,而是提供了一个简单的流程授权第三方应用访问用户的受保护资源。此框架主要用于网络...
Spring Security整合Oauth2实现流程详解
09-07
Spring Security 是一个强大的安全框架,它为Java应用程序提供了全面的...理解这些概念和流程对于开发涉及用户身份验证和授权的应用至关重要。希望这篇文章能帮助你更好地理解和应用Spring Security与OAuth2的集成。
php-oauth2.0 demo
04-23
**PHP OAuth 2.0 演示项目详解** ...通过这个"php-oauth2.0 demo"项目,你可以深入理解OAuth 2.0的工作原理,为实际项目中的安全授权打下坚实的基础。记得在实践中不断学习和优化,确保你的应用安全无虞。
PyOAuth:用 Flask python 编写的用于 Oauth 2.0 协议的即插即用小而高效的模板
06-23
通过理解 OAuth 2.0 的基本原理以及 PyOAuth 提供的功能,开发者可以构建安全、可靠的授权服务,为用户提供无缝的第三方应用接入体验。在实际项目中,结合压缩包中的 `PyOAuth-master` 文件,开发者可以深入研究源...
Auth2.0授权码模式
12-29
流程上看申请分为两个阶段:首先需要申请Authorization Code;之后使用Authorization Code来申请Access Token。
oauth2.0中文译本.doc
07-28
### OAuth 2.0 中文译本核心知识点详解 #### 一、背景知识与重要性 **OAuth 2.0** 是一个开放标准,用于实现应用程序间的授权过程,特别是允许第三方应用安全地获取用户的数据访问权限,而无需直接提供用户凭据。...
SpringOAuth2授权流程分析
hungteshun的专栏
08-08 2754
SpringOAuth2授权流程分析
前后端分离架构下的OAuth2.0授权流程
weixin_41866717的博客
10-02 4363
前后端分离架构下spring security oauth2.0
oauth2.0 认证和授权过程
殇沫流年的专栏
02-01 1142
oauth2.0  认证和授权过程 在认证和授权的过程中涉及的三方包括: 1、服务提供方,用户使用服务提供方来存储受保护的资源,如照片,视频,联系人列表。 2、用户,存放在服务提供方的受保护的资源的拥有者。 3、客户端,要访问服务提供方资源的第三方应用,通常是网站,如提供照片打印服务的网站。在认证过程之前,客户端要向服务提供者申请客户端标识。
oauth2.0开发总结
u013905744的专栏
12-16 222
oauth2.0协议解决什么问题? 来解决资源拥有者如何委托第三方应用访问受保护资源的问题 解决方案是什么? 用令牌代替用户名和密码 在OAuth 协议中,通过为每个第三方软件和每个用户的组合分别生成对受保护资源具有受限的访问权限的凭据,也就是访问令牌,来代替之前的用户名和密码。而生成访问令牌之前的登录操作,又是在用户跟平台之间进行的,第三方软件根本无从得知用户的任何信息。 oauth2.0中的4种角色 在OAuth 2.0的体系里面有4种角色,按照官方的称呼它们分别是资源拥有者、客户端(第三方软件)、授权
使用Owin中间件搭建OAuth2.0认证授权服务器
weixin_30284355的博客
12-15 161
前言 这里主要总结下本人最近半个月关于搭建OAuth2.0服务器工作的经验。至于为何需要OAuth2.0、为何是Owin、什么是Owin等问题,不再赘述。我假定读者是使用Asp.Net,并需要搭建OAuth2.0服务器,对于涉及的Asp.Net Identity(Claims Based Authentication)、Owin、OAuth2.0等知识点已有基本了解。若不了解,请先参考以下文...
OAuth 2.0授权协议详解
- **隐式授权流程(Implicit Grant)**:主要用于浏览器中的JavaScript应用,授权服务器直接向用户代理(通常是浏览器)返回访问令牌,避免了通过不安全的通信通道传递授权码的风险。 - **客户端凭据流程(Client ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值