oAuth2.0简单使用与Demo

最新推荐文章于 2024-06-05 22:27:13 发布
最新推荐文章于 2024-06-05 22:27:13 发布
阅读量4.7k 收藏 7
点赞数 3
文章标签: oAuth2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014463199/article/details/90511146
版权

一、关于oAuth2.0
关于什么是oAuth2.0,以及相关的名词网上有很多解释,再次不做赘述,本文将直接结合一个实例,来描述oAuth2.0的原理流程。

二、前提说明
本文的案例的环境为SpringBoot(其实这个并不重要),以使用码云的账号登录为例子,所以需要先注册一个码云的账号。

三、Demo
首先创建一个WEB项目,并且写一个最简单的登录页面。
在这里插入图片描述
这是一个简单到不能在简单的登陆页面了,用户别无选择,只能使用码云的账号登陆我们的网站或系统。
码云登录
整个页面的代码只有超链接,注意着链接的访问地址后面带有三个参数,第一个参数是我们当前的应用在码云上注册的时候获取的Id,第二个参数是一个回调地址,第三个参数是一种固定写法,表示我们使用授权码的方式获取令牌。
关注点(1):当我们自己的网站应用需要提供使用第三方账号登陆的功能的时候,比如使用QQ,微信,微博,码云等等,首先需要做的是在对应的网站上去注册我们的应用。
在这里插入图片描述
比如上面,是我在码云上注册的当前Demo,在注册的时候,我们只需要填写我们应用的网址,回调地址(这个后面说),应用描述以及希望获取那些用户信息,然后提交申请之后,码云会给我们ClientID和ClientSecret这两个字符串,其中ClientID就是我们的应用在码云认证服务上的唯一标识,也是我们在登陆页面超链接后面附带的client_id的值。

关注点(2):当用户在我们的网站登录页点击“码云登录”后,相当于网站将用户的浏览器重定向到码云的授权许可页面(这也是网上很多原理图中描述的第一次重定向)
在这里插入图片描述
上面这个就是重定向之后的码云的授权页面,(其他的诸如QQ,微信等等,差不多都是类似的页面)。这个页面里用户可以选择同意授权。
用户选择同意授权后是不是就能获取到 用户在码云上注册的用户信息呢?肯定不是!接下来将会多个步骤,而这些步骤对于用户来说是无法感知的,所有的交互度都发生在我们自己网站的后台。
1.首先,码云确认用户同意授权后,会发放一个授权码给我们的网站,那码云是怎么发给我们的网站呢?它实际上使用的就是回调地址。这个回调地址我们在码云上注册应用的时候就会让我们填写,我们在首页的“码云登录”链接也需要加入这个参数,这个回调地址就是告诉码云(认证服务器),如果用户同意授权了,那么你应该让浏览器跳转到哪个地址上去。
也就是说这里是发生了第二次重定向,码云让用户的浏览器重定向到了我们的回调地址上,并且加上授权码作为参数。
在我们的DEMO中,我们只需要在后台写一个requestMapping去相应回调地址的请求即可:
在这里插入图片描述
到了这一步,我们网站的后台就能拿到码云传递给我们的授权码。上面的两次重定向的作用分别是让浏览器去访问码云(认证服务器)的授权许可页面,以及授权成功后再让浏览器重定向回我们自己网站的某个页面。
拿到授权码后,我们的后台需要再次向码云发起请求,用授权码去换令牌,这里可能会有疑问,为什么要多此一举,用户同意授权后直接把令牌发给我们网站不就行了吗?最显而易见的一个原因就是,码云让浏览器重定向回我们自己的网站的时候,浏览器的地址栏是可以看到回调地址以及绑定参数的,也就是说如果将令牌像授权码一样直接绑定到回调地址的参数后,令牌是会泄露的。
所以我们需要在后台先获取授权码,然后在后台去申请交换令牌。
在这里插入图片描述
上面的代码只有参考意义,可以有不同的实现方式。在代码中,换取令牌的请求地址以及需要传递哪些参数,在认证服务提供方的接入说明页面都会由详细的API和介绍流程,每个厂家的地址都不一样。我们需要注意的是在这次请求中,我们除了需要附上授权码,client_id,回调地址外,还需要附上client_sercret,这个参数的值,在注册应用的时候会由认证服务提供方给我们。
请求发送之后,我们就可以拿到令牌,也就是accessToken。
可以看到在上面的步骤中,除了需要验证授权码外,还要再次验证被授权方(也就是我们的网站)的身份,通过client_id和client_secret来实现,整个过程包括client_secret和获取到的令牌的值都只在我们网站的后台发生和出现,用户根本无法得知,从而进一步保证了oAuth2.0协议的安全性。
拿到令牌后,我们就可以去访问用户的资源,不同的厂家会提供不同的资源访问地址(查各个厂家提供的API),但是都会要求在请求地址后面加上令牌。
在这里插入图片描述
获取成功后,我们就能拿到用户的信息,从而让用户登录系统,跳转到指定页面。
在这里插入图片描述
所以对于用户而言,实际上他能看到的就是点击“码云登录”后,浏览器跳转到了码云的授权许可页面,点击同意授权后,浏览器又跳回了网站的登录成功欢迎页面,这个中间网站与码云之间的几次交互对于用户是完全透明的,用户实际上也不知道令牌是什么。
当然,上面这个Demo中,浏览器的地址不是很友好,我们还可以在回调请求方法最后再次重定向,将浏览器重定向到我们网站的首页或主页,
在这里插入图片描述
在这里插入图片描述
这样对于用户而言,完全就无法感知到点击完权人授权之后发生的一系列的事情,他只能看到登录成功并且进入网站主页了。

奋斗的w
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
C# 微信企业号--OAuth2.0验证
蓝思创工作室知识库
11-02 4250
身份接口包含OAuth验证接口和userid与openid互换接口 OAuth验证接口 企业应用中的URL链接(包括自定义菜单或者消息中的链接),可以通过OAuth2.0验证接口来获取成员的身份信息。 通过此接口获取成员身份会有一定的时间开销。对于频繁获取成员身份的场景,建议采用如下方案: 1、企业应用中的URL链接直接填写企业自己的页面地址 2、成员跳转到企业页面时,企业校验是否有代表成员身份的cookie,此cookie由企业生成 3、如果没有获取到cookie,重定向到OAuth
OAuth2.0Demo
03-06
在`OAuth2.0Demo`项目中,你可能已经看到了这些组件的实现,包括配置类、控制器、安全配置等。项目分为server端和client端,server端主要负责处理授权和认证,client端则展示如何安全地获取和使用访问令牌来访问受...
Oauth2协议及自定义Demo的实现
weixin_51743274的博客
09-07 850
结合Oauth2的特性和Spring Security的部分源码的讲解,深入的了解token的创建流程。主要分为客户端信息的存储 -> 授权码请求的发起 -> 授权码的生成 -> 授权码的存储 -> accessToken和RefreshToken的生成存储 -> 接口验证通过 -> 访问服务
springsecurity Oauth2.0 + jwt 极简入门demo
asfasfasgjkl的博客
08-18 1480
springsecurity Oauth2.0 服务器和客户端 极简入门demo
一文搞懂OAuth2.0
最新发布
沈洋的博客
06-05 779
2.此时该游戏APP后台会请求授权服务器(附上回调URL),游戏界面会跳转到微信授权页面,提示你需要向该游戏授权你的个人信息,例如用户昵称,手机号,好友信息等(这些其实就是需要做授权保护的资源)。2.此时该网页会请求授权服务器(附上回调URL),跳转到微信授权页面,提示你需要向该游戏授权你的个人信息,例如用户昵称,手机号,好友信息等(这些其实就是需要做授权保护的资源)。4.微信的授权服务器将通过调用请求中的回调URL,直接向该游戏颁发一个令牌(与授权码模式不同,此处直接给令牌,而非授权码)
OAuth2实战,简单的入门demo
Roooosy的博客
12-19 390
OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无须将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站在特定的时段内访问特定的资源。这样,OAuth 让用户可以授权第三方网站灵活地访问存储在另外一些资源服务器的特定信息,而非所有内容。目前主流的 qq,微信等第三方授权登录方式都是基于 OAuth2 实现的。
Oauth2.0实现SSO单点登录的CAS方式和相关Demo演示
架构师的成长之路的博客
08-29 844
SSO介绍# 什么是SSO# 百科:SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。 简单来说,SSO出现的目的在于解决同一产品体系中,多应用共享用户session的需求。SSO通过将用户登录信息映射到浏览器cookie中,解决其它应用免登获取用户session的问题。 为什么需要SSO# 开放平台业
NET Core中JWT+OAuth2.0实现SSO,附完整源码(.NET6)
xwnxwn的专栏
10-15 1572
https://www.cnblogs.com/wei325/p/16316004.html
oauth2.0 学习案例demo_给大家整理了几个开源免费的 Spring Boot + Vue 学习资料
weixin_39827034的博客
11-26 154
最近抽空在整理前面的文章案例啥的,顺便把手上的几个 Spring Boot + Vue 的学习资料推荐给各位小伙伴。这些案例有知识点的讲解,也有项目实战,正在做这一块的小伙伴们可以收藏下。案例学习javaboy-video-samples项目地址:https://github.com/lenve/javaboy-video-samples这个是松哥录制的 Spring Boot2 系列视频教程的案...
springboot OAuth2.0-demo
12-17
在"springboot OAuth2.0-demo"这个项目中,开发者已经实现了一个简单OAuth2.0授权流程的示例。这个项目可能包含以下组件: - `AuthorizationServerConfig`:配置OAuth2.0授权服务器,定义令牌策略和范围。 - `...
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
oauth2 demo
11-07
基于OAuth2.0协议,在spring security oauth2.o的基础上搭建的 1、全部基于数据库存储用户信息,tokens 2、md5密码salt加密 3、https(没有配) 4、memcache(没有配) 如果3、4有需要可以联系我,大家一起讨论一下QQ549854733
oauth2-demo.7z
12-26
OAuth2-Demo分为三个模块:oauth2-authentication-server(作为授权认证中心)、oauth2-resource-server(作为资源服务器)、oauth-client(作为第三方应用,模拟如何获取Token访问资源)
oauth2-demo-client:oauth2-demo-client
04-02
OAuth2客户端演示 目录 关于申请 该应用程序演示了如何实现由OAuth2保护的Spring Boot客户端应用程序。 它执行以下操作: 保护所有HTTP访问,除非另行列入白名单 使用OAuth2身份验证代码流处理登录过程 使用OIDC ID令牌获取个人资料信息 充当资源服务器中托管的后端API的启动点。 它将自动将授权令牌附加在从客户端应用程序到资源服务器的API调用的请求标头中 版本历史 编辑 版本 日期 描述 张柏霖 1.0.0 2021年4月2日 初始发行
zifangsky-OAuth2.0Demo-master.zip
03-14
OAuth2.0协议入门(二):OAuth2.0授权服务端从设计到实现 详情:https://www.zifangsky.cn/1313.html
Java的oauth2.0 服务端与客户端的实现 (完整源码、demo
09-14
Java的oauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:...
spring oauth2.0 demo入门分析
HMC20071120015的专栏
11-20 9637
这里不对如何实现oauth2.0分析,也不对security做分析,读者可以google下security相关的知识,这里主要列出看oauth2.0demo时流程流转存在的疑惑。 1.oauth 2.0中的四个角色,资源拥有者,资源服务器,授权服务器,客户端。 2.spring security限制访问受限资源 3.client请求资源过程流转分析 1.oauth
oauth2.0 学习案例demo_Vue3教程:用 Vue3 开发小程序,这里有一份实际的代码案例!...
weixin_39940154的博客
11-16 437
寻寻觅觅冷冷清清,凄凄惨惨戚戚。Vue 3 发布以后,最近也在学习和写一些 Vue3 的 demo 和项目,我也一直想着什么时候能在小程序里使用新特性?于是我翻遍了市面上的小程序框架,如 uni-app、wepy、mpvue,目前(截止至2020年11月5日)还都没能做到兼容 Vue 3 的写法,直到我发现了一个很骚的东西,Taro居然支持 Vue 3。很惊喜!1开整!冲冲冲废话少说,...
基于Oauth 2.0的一个登录注册demo
夜空中最亮的星
12-21 3998
一、百度平台的第三方登录功能实现1、先到http://developer.baidu.com 注册一个开发者账号,然后点“应用管理”=》“创建工程”,进入如下界面:注意这里的应用名称是会在授权页面展示给用户的。创建完成之后,显示如下: 点安全设置,填写好授权URL
写一个oauth2.0单点登录的demo
04-30
OAuth2.0 单点登录是一个相对复杂的实现,需要多个步骤和不同的组件。以下是一个简单Demo,演示了如何使用 OAuth2.0 实现单点登录。 **步骤1:注册 OAuth2.0 应用程序** 首先,您需要注册一个 OAuth2.0 应用程序,以便其他应用程序可以使用它来进行单点登录。注册过程将根据您使用的身份验证提供程序而有所不同,但一般来说,您需要提供以下信息: - 应用程序名称 - 应用程序描述 - 回调 URL - OAuth2.0 提供程序的客户端 ID 和密钥 **步骤2:设置回调 URL** 回调 URL 是 OAuth2.0 提供程序将授权码发送回您的应用程序的 URL。您需要在您的应用程序中设置回调 URL,以便 OAuth2.0 提供程序可以将授权码发送回您的应用程序。 **步骤3:获取授权码** 在单点登录过程中,用户需要授权您的应用程序访问其信息。为了获取授权,您需要将用户重定向到 OAuth2.0 提供程序的授权 URL。用户将在此页面上输入其凭据,然后选择是否授权您的应用程序访问其信息。 当用户授权您的应用程序时,OAuth2.0 提供程序将重定向用户到您的应用程序的回调 URL,并为您的应用程序提供一个授权码。 以下是获取授权码的示例代码: ```python import requests client_id = 'your_client_id' client_secret = 'your_client_secret' authorization_base_url = 'https://example.com/oauth2/authorize' redirect_uri = 'https://localhost:8000/callback' token_url = 'https://example.com/oauth2/token' session = requests.Session() session.verify = False authorization_url, state = session.authorization_url( authorization_base_url, redirect_uri=redirect_uri) print('Please go here and authorize,', authorization_url) redirect_response = input('Paste the full redirect URL here:') session.fetch_token( token_url, authorization_response=redirect_response, client_secret=client_secret) ``` **步骤4:获取访问令牌** 一旦您有了授权码,就可以通过将其与您的 OAuth2.0 提供程序的客户端 ID 和密钥一起传递来获取访问令牌。访问令牌是一个长期有效的令牌,您可以在以后的所有请求中使用它来访问用户信息。 以下是获取访问令牌的示例代码: ```python import requests client_id = 'your_client_id' client_secret = 'your_client_secret' authorization_base_url = 'https://example.com/oauth2/authorize' redirect_uri = 'https://localhost:8000/callback' token_url = 'https://example.com/oauth2/token' session = requests.Session() session.verify = False authorization_url, state = session.authorization_url( authorization_base_url, redirect_uri=redirect_uri) print('Please go here and authorize,', authorization_url) redirect_response = input('Paste the full redirect URL here:') session.fetch_token( token_url, authorization_response=redirect_response, client_secret=client_secret) print(session.token) ``` **步骤5:使用访问令牌访问资源** 现在您已经有了访问令牌,您可以使用它来访问您的 OAuth2.0 提供程序的 API。在某些情况下,您可能需要向 API 提供其他信息,例如用户 ID 或其他参数。 以下是使用访问令牌访问资源的示例代码: ```python import requests access_token = 'your_access_token' api_endpoint = 'https://example.com/api/v1/user' response = requests.get(api_endpoint, headers={'Authorization': 'Bearer %s' % access_token}) print(response.json()) ``` 这是一个简单OAuth2.0 单点登录示例,演示了如何使用 OAuth2.0 实现单点登录。请注意,实际实现可能会更复杂,并涉及更多的步骤和安全性考虑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值