在信任的应用中使用Oauth

最新推荐文章于 2023-06-13 17:52:39 发布
最新推荐文章于 2023-06-13 17:52:39 发布
阅读量1.3k 收藏
点赞数
分类专栏: oauth2

在信任的应用(Trusted Applications)中使用Oauth

摘自《OAuth2.0 Identity and Access Management Patterns》

一般在内网中使用密码模式(password grant)和客户端凭证模式(client credentials)

资源拥有者密码凭证授权模式(Resource owner password credentials grant)

密码授权流程就是,客户端带上client_idclient_secret,发送用户的用户名和密码(username and password)去获取access_token,而不需要登陆到网页进行授权(就像授权码授权一样),只需要在客户端应用的UI中直接输入用户名和密码

密码授权的关键特性:

  • 在可依赖的客户端使用
  • 使用资源拥有者(resource owner)的用户名和密码
  • 不是基于重定向(redirection-based)的授权流程,客户端应用只需要向授权服务器发送一次请求,而且用户不需要在接口之间重定向去授权请求

这里写图片描述

密码授权流程:

  • 资源拥有者(resource owner,比如用户),提供用户名和密码缎带客户端
  • 客户端应用使用用户的凭证(用户名和密码),和client_idclient_secret向授权服务器发送请求
  • 授权服务器根据客户端提供的client_idclient_secret进行认证来决策是否授权同意,并且根据提供的用户名和密码向资源拥有者进行校验,如果者认证通过,授权服务器在响应中返回access_token
请求授权

根据参数构造请求地址: 

// do POST
https://api.example-service.com/oauth/authorize?
        grant_type=password&
        client_id=CLIENT_ID_EXAMPLE&
        client_secret=CLIENT_SECRET&
        username=USERNAME&
        password=PASSWORD

请求参数:

  • grant_type: 强制参数,值是password
  • username: 强制参数,由资源拥有者提供(the user)
  • password: 强制参数,由资源拥有者提供(the user)
  • client_id: 可选参数,在客户端认证使用
  • client_secret: 可选参数,在客户端认证使用
  • scope: 可选参数,指明代表用户可以访问受保护资源的范围
授权成功

当授权服务器接收到来自客户端请求时,会校验几个地方:

  • 校验client_idclient_secret来确保客户端是否被授权
  • 校验资源拥有者(resource owner)的作证

响应参数:

  • access_token: 强制参数,实际上,客户端将保存这个值并以后使用
  • token_type: 强制参数,token的类型
  • expires_in: 可选参数,指明access_token的生命周期
  • refresh_token: 可选参数,在token将要过期的时候去获取新的token
授权错误

如果授权请求失败或者是其他原因,授权服务器将会返回包含错误信息的响应,一些错误的参数:

  • invalid_request: 当请求参数中缺少参数或者是值的时候
  • invalid_client: 当客户端认证失败,也可能发生在授权参数缺失(client_idclient_secret)或者是客户端尝试使用不支持的方法去认证
  • invalid_grant 指定的是无效的、过期的或撤销的,或者它被发送给另一个客户端
  • unauthorized_client: 授权服务器认证客户端,但没有授权
  • unsupported_grant_type: 授权服务器不支持的授权模式
  • invalid_scope: 指定的scope是无效的,未知的或者是畸形的

客户端凭证授权模式(Client credentials grant)

客户端凭证授权模式授权是不包含资源拥有者模块的,也就是说用户(the user)没有参与

在这个模式中,客户端请求access_token仅仅只是使用客户端凭证(client_idclient_secret),代表客户端本身去使用access_token,相反的,之前是代表授权用户去使用access_token

当服务提供者仅仅是提供一些API方法给客户端,而不是应用到资源拥有者使用的话,这是一个非常好的授权模式。

客户端凭证授权模式关键特性:

  • 在可依赖的客户端使用
  • 不是基于重定向(redirection_based)
  • 使用场景是,客户端直接和服务提供者交互而不是代表资源拥有者本身

这里写图片描述

客户端凭证授权模式授权步骤:

  • 客户端向授权服务器发送请求执行认证
  • 授权服务器基于客户端提供的client_idclient_secret认证并作出响应,如果授权成功,客户端将获取到access_token
请求授权(Requesting authorization)

根据参数构造请求地址: 

// do POST method
https://api.example-service.com/oauth/authorize?
        grant_type=client_credentials&
        client_id=CLIENT_ID_EXAMPLE&
        client_secret=CLIENT_SECRET

构造请求的参数:

  • grant_type: 强制参数,值是credentials
  • scope: 可选参数,指定受保护资源具体哪一部分可以被访问
  • client_id: 对于客户端认证来讲是可选参数
  • client_secret: 对于客户端认证来讲是可选参数
授权成功

如果授权成功,授权服务器将会返回access_token,返回的格式如: 

{
  "access_token":"exampleAccessTokenValue123",
  "token_type":"example",
  "expires_in":3600
}

注意,客户端凭证授权模式不会发行refresh_token

返回参数:

  • access_token: 强制参数,客户端将会存储这个access_token并在后期使用
  • token_type: 强制参数,代表token的类型
  • expires_in token的生命周期(秒)
授权错误

和密码授权模式返回的一样

重生之我是一名程序员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth专题学习-授权码模式及简化模式实例
icarusliu的专栏
02-27 1775
本文是Spring Security OAuth2学习系列文章的第四篇;主要讲解授权码模式(AuthenticationCode)及简化模式(Implicit)的使用。 关于密码模式、客户端模式及Spring Security OAuth2的一些基础知识,请移步本博客文章清单进行查看。 1. 简介 授权码模式主要使用在客户端与授权、资源服务器不在同一公司的情况;在这种场景下,客户端并不是可信的,...
oauth最后的确认按钮_做前后端分离项目前,劝你先了解 OAuth2.0 的四种授权方式...
weixin_34804926的博客
01-14 609
一、OAuth2.0 为何物OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。OAuth2.0 是OAuth 协议的一个版本,有2.0版本那就有1.0版本,有意思的是OAuth2.0 却不向下兼容OAuth1.0 ,相当于废弃了1.0版本。举个小栗子解释一下什么是 OAu...
spring cloud 问题记录(十五) Unauthorized grant type: authorization_code
zhuwei_clark的博客
07-03 7438
使用授权码的方式获取code的时候出现如下异常: org.springframework.security.oauth2.common.exceptions.InvalidClientException: Unauthorized grant type: authorization_code at org.springframework.security.oauth2.provider.t...
Spring Cloud集成Oauth2踩坑:报401错/Unsupported grant type
dream_miracle的博客
09-29 6589
整合Oauth时的踩坑记录
IdentityServer4(二):使用Client Credentials模式控制API的访问
江浙沪柯蓝
12-30 3815
IdentityServer4(1):客户端凭证
OAuth2.0 - 自定义模式授权 - 短信验证码登录
小毕超博客
01-18 8252
一、OAuth2.0 - 自定义模式授权 上篇文章我们分析了目前的情况,演示了微服务的大环境下在保证安全的情况下通过SpringGateWay实现统一的鉴权处理,但是前面的演示,我们都是基于用户名密码的方式,但是现在已经普及短信验证码登录、微信登录、QQ登录等这些第三方的登录方式,这些方式显然不在Oauth2.0提供的四种授权模式下,因此我们如果要实现第三方的登录需要自定义一个授权模式,下面我们就以短信验证码登录为例进行实现。 下面是上篇文章的地址: https://blog.csdn.net/qq_4
oauth 2 安卓使用
02-27
对于移动应用,通常使用授权码模式和简化模式,因为它们更适合在没有信任的环境运行的客户端应用。 ### 二、授权码模式 授权码模式适用于有服务器端的应用,流程如下: 1. 用户打开应用,点击授权按钮。 2. ...
OAuth2.0文参考文档
最新发布
07-25
在实际应用OAuth2.0有多种授权类型,如授权码(Authorization Code Grant)、隐式(Implicit Grant)、密码(Resource Owner Password Credentials Grant)和客户端凭证(Client Credentials Grant),每种适用...
OAuth 2.0文译本
01-28
OAuth 2.0 提供了不同类型的授权流,如授权码流(适用于Web应用)、隐式流(适用于浏览器内的JavaScript应用)、密码凭据流(适用于高度信任的客户端)和客户端凭据流(适用于服务器间通信)。 在安全性方面,OAuth...
spring boot oauth2 jwt 文文档.docx
03-03
OAuth2 流程,存在四种角色:资源所有者、资源服务器、客户端和授权服务器。资源所有者是可以授权访问受保护资源的实体,通常是最终用户。资源服务器是存储受保护资源的服务器,这是您想要访问的 API。客户端是...
OAuth_2.0_文.rar
05-20
在实际应用OAuth 2.0 常见于社交媒体登录、云存储服务的API访问等场景。理解并正确实现OAuth 2.0 协议对于开发能够安全地与各种在线服务交互的应用至关重要。 这份文文档可能会涵盖OAuth 2.0的授权流程、安全...
【Spring Security OAuth2】客户端授权模式(client credentials)~获取访问令牌
不务正业的野猴子
09-02 6875
访问路径:http://localhost:8081/oauth/token?grant_type=client_credentials&client_id=app&client_secret=app 如果我们在请求添加了scope参数则会对该参数进行校验,没设置并不会报错 112行,验证请求是否设置了grant_type参数,若没有设置则抛出异常 随后判断是否为隐式授权、是...
OAuth2.0授权 - 客户端模式(Client Credentials) + 动态client_id
xgw的专栏
08-28 1万+
OAuth 2.0定义了四种授权方式: 授权码模式(authorization code):功能最完整、流程最严密的授权模式。特点是通过第三方应用的后台服务器,与服务提供平台的认证服务器进行互动获取资源。 简化模式(implicit):不通过第三方应用服务器,直接在浏览器向认证服务器申请token令牌,跳过了授权码这个步骤。所有步骤在浏览器完成,token对用户可见,且第三方应用不需要认证。 密码模式(resource owner password credentials):用户向第三方应用提供自己的
lumen认证出现unauthorized._OAuth2.0认证解析
weixin_39526238的博客
11-26 1064
一、 什么是OAuth2.0OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。OAuth(开放授权)是一个开放标准。允许第三方网站在用户授权的前提下访问在用户在服务商那里存储的各种信息。而这种授权无需将用户提供用户名和密码提供给该第三方网站。OAuth允许用户提供一个令牌给第三方网站,一个令牌对应一个特定的第三方网站,同时该...
调用web api时,C#不支持授权类型{ “ error “:“ unsupported _ grant _ type “ }
シ❤゛甜虾的个人博客
05-09 842
使用postman 使用代码,代码如下 { " error ":" unsupported _ grant _ type " } public static string GetToken(string url,string username ,string password) { GetTokenDto getTokenDto = new GetTokenDto() { Username = username,Password = password, grant_type = "pas
Oauth2 提示Unsupported grant type
qq_43604221的博客
06-13 688
Oauth2 提示Unsupported grant type错误
Oauth支持的5类 grant_type 及说明 authorization_code — 授权码模式(即先登录获取code,再获取token) password — 密码模式(将用户名,密码传
热门推荐
mengzuchao的专栏
12-29 2万+
Oauth支持的5类 grant_type 及说明 authorization_code — 授权码模式(即先登录获取code,再获取token) password — 密码模式(将用户名,密码传过去,直接获取token) client_credentials — 客户端模式(无用户,用户向客户端注册,然后客户端以自己的名义向’服务端’获取资源) impli
11 令牌颁发方式 之 客户端凭证模式
Markix的博客
10-09 831
客户端凭证模式就是只需要客户端信息,只要通过了客户端认证那一关,就能拿到令牌。
OAuth2:客户端证书授权(Client Credentials)类型的开放授权
dream8062的专栏
04-13 6987
适应范围 认证服务器不提供像用户数据这样的重要资源,仅仅是有限的只读资源或者一些开放的API。例如使用了第三方的静态文件服务,如Google Storage或Amazon S3。这样,你的应用需要通过外部API调用并以应用本身而不是单个用户的身份来读取或修改这些资源。这样的场景就很适合使用客户端证书授权。 流程剖析 1. 用客户端证书交换访问令牌 应用程序需要向认证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值