客户端应用使用Oauth

最新推荐文章于 2024-06-17 11:02:58 发布
最新推荐文章于 2024-06-17 11:02:58 发布
阅读量573 收藏
点赞数
分类专栏: oauth2

客户端应用使用Oauth

摘自《OAuth2.0 Identity and Access Management Patterns》

隐含授权(implicit grant)

Oauth2.0专门为客户端应用提供了面向公共客户端(public client,意味着不能可靠的保存他们的credentials,像客户端身份和密码等等)授权流,这种授权模式称为implicit grant。授权码授权(Authorization Code grant)和隐含授权(implicit grant)的不同在于,隐含授权模式没有使用两次请求(一次是请求authorization code,一次是请求access token),相反只请求一次,并且获取access token作为授权请求的结果

隐含授权模式特性:

  • 在公共客户端使用
  • 基于重定向流程(redirection-based),和授权码模式一样
  • access token会作为重定向登陆点url中的一个参数在请求成功响应之后,像在授权码模式中返回授权码(code)参数一样

这里写图片描述

授权流程分为以下几步:

  • 首先,客户端使用授权登陆点(authorization endpoint)将用户代理(user agent)重定向到授权服务器(authorization server)
  • 授权服务器谁资源拥有者(resource owner),决策同意或者是拒绝请求
  • 假定资源拥有者同意授权,将响应信息一同重定向到重定向登陆点(redirection endpoint),这个重定向登陆点就是初始用于请求提供的。响应信息包含在URL片段中,如access token和其他参数
  • 既然用户代理(user agent)已经重定向回来,包含在响应信息中的access token也就传递给了客户端应用程序

请求授权(requesting authorization)

根据重定向地址和参数构造请求地址: 

https://api.example-service.com/oauth/authorize?
        response_type=token&
        client_id=CLIENT_ID_EXAMPLE&
        redirect_uri=REDIRECT_ENDPOINT_EXAMPLE

构造请求的一些参数:

  • response_type: 强制参数,值必须为token
  • client_id: 强制参数,用户客户端身份认证
  • redirect_uri: 可选参数,用户同意授权后,授权服务器使用这个登陆点返回access token
  • scope: 可选参数,和授权码模式一样
  • state: 可选参数,和授权码模式一样
授权成功

如果用户同意请求,授权服务器将会重定向到登陆点并且在响应中包含了access_token,如: 

https://client.example.com/oauth/cb#access_token=ACCESS_TOKEN_VALUE&expires_in=3600

可以看到,OAuth2.0提供的参数是出现在这段URL的#之后,这个对于客户端开发者来讲很重要,因为必须实现从这段URL中提取参数

一些参数:

  • access_token: 强制参数,就是客户端需要的access_token的值
  • expires_in: 可选参数和推荐参数,指定access_token生命周期(单位秒)
  • token_type: 规范中指定的强制参数,但在现实场景中在响应中可以忽略,指的是token的类型
  • scope: 可选参数
  • state: 强制参数,在发送请求的时候使用,返回相同的值

另一个和授权码模式授权不同的是,在隐含授权中,refresh_token不会返回给客户端应用,当access_token过期后,客户端重新走整个隐含授权的流程

授权错误

如果用户拒绝授权,或者是redirect_uri缺失,或者是缺少client_id,都会造成客户端得到的是错误的响应,如: 

https://client.example.com/oauth/cb?error=access_denied&state=APP_STATE

错误响应参数和授权码模式中的错误响应一样:

  • invalid_request: 在请求的url中缺失参数或值
  • unauthorized_client: 客户端应用没有被授权
  • access_denied: 终端用户拒绝这授权
  • unsupported_response_type: 授权服务器不支持的请求响应类型
  • invalid_scope: 指定的scope不存在或者无效
  • server_error: 服务器内部发生错误
  • temporarily_unavailable: 在给定的时间内服务器没有处理请求

除了error参数,响应中还有其他类型:

  • error_description: 可选参数,描述了错误的信息
  • error_uri: 可选参数,uri指向一个web文档,包涵了错误信息的描述
  • state: 强制参数,和请求中指定的state一样的值
重生之我是一名程序员
关注
专栏目录
对于oauth2.0的个人理解-客户端
yanghaitian的专栏
12-13 3575
Oauth2.0 首先这次咱们来说说常用的安全认证,oauth2.0,对于在客户端调用来说,首先我们要有的一个连接器,连接器包含client_id,client_secret,redirect_uri这三个属性 用来做客户端认证,比如咱们要做一个登录QQ的认证,首先要申请一个连接器获取到 client_id,client_secret,redirect_uri 这三个属性 咱们以cs
一文读懂Oauth2四种客户端授权模式
最新发布
ningkangming的博客
06-27 1912
Oauth是一个关于授权(authorization)的开放网络工业标准,允许用户授权第三方应用访问用户存储在其它应用上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0OAuth协议的延续版本。 本文主要介绍Oauth2四种授权模式,包括授权码模式、简化模式、密码模式、客户端模式。
OAuth客户端调用
weixin_30607029的博客
02-12 200
public class OAuthClientTest { private HttpClient _httpClient; public OAuthClientTest() { _httpClient = new HttpClient(); _httpClient.BaseAddress = new Uri("http:...
构建OAuth客户端
github_38730134的博客
02-24 466
构建OAuth客户端 向授权服务器注册OAuth客户端 客户端标识符 用来标识OAuth客户端,在OAuth协议的多个组件都称其为client_id。在一个给定的授权服务器中,每个客户端的标识符必须唯一,因此客户端标识符总是由授权服务器分配,可以通过开发者门户完成,也可以通过动态客户端注册 共享密钥 client_secret用于客户端与授权服务器交互时进行身份认证 授权码许可类型获取令牌 使用授权码许可类型的交互授权形式,有客户端将资源拥有者重定向到授权服务器的授权端点,然后服务器通过redirect_u
OAUTH 2.0在客户端应用(一)
weixin_34038293的博客
02-03 112
最近项目中的一个移动APP使用到了OAUTH来进行认证,期间涉及到了OAUTH插件升级问题,借此机会重新回顾一下OAUTH的一些概念, 本篇首先介绍OAUTH基础及应用最为广泛的授权码模式。 1.首先看看OAuth是什么 OAuth(开放授权)是一个开放标准,其允许第三方应用在用户授权的前提下访问在用户在服务商那里存储的资源。并且这种授权...
OAuth 2.0 客户端,第 2 部分: 客户端凭据授权
ronon77的专栏
07-15 1046
概述 OAuth 是一个开放的授权标准,允许客户端代表一个资源所有者获得对受保护服务器资源的访问权限。资源所有者可以是另一个客户端或最终用户。OAuth 还可以帮助最终用户将对其服务器资源的访问权限授权给第三方,而不必共享其凭据,比如用户名和密码。本系列文章遵从 RFC6749 中列出的 OAuth 2.0 授权框架。可以在 Internet Engineering Task Force 的...
oauth用于在Go客户端应用中执行OAuth设备流和Web应用流的库
02-05
Go客户端应用程序的库,需要对服务器(通常为GitHub.com)执行OAuth授权。 传统上,用于Web应用程序的OAuth涉及在用户授权应用程序后重定向到URI。 虽然Web应用程序(和某些本机客户端应用程序)可以接收浏览器...
JAVA服务端和客户端功能实现 OAuth2.0
04-30
OAuth2.0是一种广泛使用的开放授权协议,它允许第三方应用在用户许可的情况下,访问特定的受保护资源。在Java环境中,实现OAuth2.0涉及到服务端(Authorization Server)和客户端(Resource Owner)的角色,以及授权...
fitgem-client:客户端使用fitgem oauth库与fitbit.com集成的示例
05-13
Fitgem客户端应用程序 基于Rails 4.2的参考应用程序,显示了如何使用查询 。 该应用程序可在上公开获得。 该站点还应成为有关如何在ruby Web应用程序中使用文档。 用法 第1步:在本地克隆参考应用程序或分叉存储库...
oauth2-client-samples:OAuth2应用程序客户端获取OAuth2受保护的资源
05-15
OAuth2应用程序客户端 目标是使用不同的技术来实现同一应用程序,以向您展示如何获取OAuth2受保护的资源。 关于TodoList OAuth2客户端 ![oauth2-client-play-todolist]( ) 如何使用它 ? 1。 首先,签出我的其他...
oauth-proxy:OAuth 安全 API 和客户端应用程序之间的代理
06-22
这是一个用 PHP 编写的独立 Web 服务器,充当您的 OAuth 安全 API 和您的客户端应用程序之间的代理。 正如的所讨论的,它基本上是 OAuth + 客户端 Web 应用程序方法的实现。 目前只支持密码授权。 部署 克隆存储库...
HiAuth:HiAuth是一个开源的基于Oauth2协议的认证,授权系统
03-11
HiAuth 介绍 HiAuth是一个开源的基于Oauth2协议的认证,授权系统,除标准的Oauth2授权流程功能外,还提供了应用管理,用户管理,权限管理。 参考HiMall项目,你可以快速的启动一个微服务项目的框架搭建,亦可以在这里找到一些技术的最佳实践,为你的项目开发提供参考。 。 如果你觉得此项目绩效,请给我点个star,谢谢! 项目地址: : 目录结构 ├─doc 文档目录,架构设计、数据库设计... ├─hi-auth-front HiAuth项目的前端代码 ├─hi-auth-web HiAuth项目的后端代码 ├─hi-mall HiMall项目,一个集成HiAuth认证、授权的Demo项目(基于Springboot的微服务) 功能 这个项目可以帮你实现基于Oauth2协议的统一认
你知道吗?OAuth2客户端有两种,认证方式有七种。
码农小胖哥
03-28 2536
OAuth2客户端按照它们与授权服务器进行安全认证的能力可以分为机密类型(Confidential)和公共类型(Public)。机密类型的自身会有个密码凭据,比如Web服务器后端程序;而公共类型则没有密码凭据,纯浏览器前端应用或者移动客户端应用大都属于这一种类型。不管是哪一种,它们都有客户端ID(client_id)。关注星标、转发、点赞、再看,请以实际行动支持原创技术分...
OAuth2.0 - 简化模式、密码模式、客户端模式讲解
小毕超博客
01-16 9430
一、OAuth2.0 在上篇文章中我们已经对OAuth2.0 做了讲解,以及授权码模式的认证过程,并且搭建了简单的认证服务和资源服务,由于上篇文章中我们只对授权码模式这一种认证登录模式做了讲解,本篇文章对简化模式、密码模式、客户端模式这三种模式进行下演示和讲解,下面是上篇文章的地址: https://blog.csdn.net/qq_43692950/article/details/122521392 上篇文章的配制中,我们已经将所有的模式都放开给了c1这个客户id,所以在下面模式的演示中我们直接使用
OAuth2:单点登陆客户端
Leon_Jinhai_Sun的博客
07-30 761
OAuth2:单点登陆客户端
OAuth2.0客户端和服务端Java实现
qq_41124175的博客
04-08 2772
本部分将开发过程中遇到的难点记录下来,具体源码参考此repo 👍。
OAuth 2.0 客户端类型
qq_33240556的博客
06-17 579
选择合适的客户端类型和授权类型是确保OAuth 2.0授权流程安全性和适用性的关键。了解机密客户端和公共客户端的区别,以及它们各自适用的场景,可以帮助开发人员设计安全、可靠的授权机制。
OAuth2客户端调用
gjhuai的专栏
10-30 959
文章目录概述认证过程 概述 OAuth2提供独立的认证服务器,并将第三方系统称为客户端。本认证服务是基于OAuth2的授权码(Authorization Code)方式实现,原理参考下面的链接。 OAuth2基本概念和运作流程 基于Oauth2的api接口开发(一) 认证过程 按照OAuth标准,授权码方式的认证过程如下: +--------+ ...
OAuth2.0实战案例(五)搭建认证服务,客户端模式,刷新token模式(两种模式)
一天不写代码难受的博客
10-16 1224
客户端模式: 用户只是和系统A 打交道,根据不知道系统B的存在,所以就是系统A自己和系统B打交道了 刷新token模式 在代码里面添加这个 之后用授权码模式进行测试 http://localhost:9001/oauth/authorize?response_type=code&client_id=one 输入之后,返回一个授权码 https://www.baidu.com/?code=pxXR5h 之后测试这个授权码,但是这个授权码只能使用一次, ...
腾讯微博Android客户端OAuth认证详解
在腾讯微博Android客户端的开发中,OAuth认证是关键的一环,因为直接使用QQ号和密码登录可能会导致用户信息泄露,OAuth则通过一种安全的授权机制解决了这个问题。OAuth1.0A是腾讯微博API所使用的版本,它允许第三方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值