OAuth2.0的四种授权方式

最新推荐文章于 2024-01-31 00:27:53 发布
最新推荐文章于 2024-01-31 00:27:53 发布
阅读量2.5k 收藏 4
点赞数 1
分类专栏: 分布式微服务 文章标签: OAuth2.0 授权 微信登陆 权限认证 第三方授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/upstream480/article/details/128275161
版权

前言

OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。

OAuth2.0OAuth 协议的一个版本,有 2.0 版本那就有 1.0 版本,但OAuth1.0 已经不使用了,而且OAuth2.0 不向下兼容。

场景举例

最简单的就是小区单元楼里面的门禁系统,它就是使用OAuth授权的,朋友过来玩的时候,到楼下有门禁进不来,对于本小区住户来说,可以输入密码进入,因为朋友不是小区住户,直接给他密码不合适,他可以在门禁上面输入我住的住户号,比如 1204,此时,房间里面的门禁电话就会响,我可以拿起电话,与他通话,确认为我朋友后,按下电话上面的允许按钮,门禁就会打开,他就可以进来了。

我按下电话上的允许按钮,就相当于给我朋友一个token,这个token拥有类似密码的功能,但也不太相同,token 拥有权限范围,有时效性的,到期自动失效,而且这些属性无法修改。

涉及参数

在讲授权方式前,先了解授权过程中会涉及到的参数:

  • response_typecode 表示要求返回授权码,token 表示直接返回令牌
  • client_id:客户端身份标识
  • client_secret:客户端密钥
  • redirect_uri:重定向地址
  • scope:表示授权的范围,read 只读权限,all 读写权限
  • grant_type:表示授权的方式,
    • AUTHORIZATION_CODE(授权码)
    • password(密码)
    • client_credentials(凭证式)
    • refresh_token 更新令牌
  • state:应用程序传递的一个随机数,用来防止CSRF攻击。

授权方式

OAuth2.0 的授权简单理解其实就是获取令牌token的过程,OAuth 协议定义了四种获得令牌的授权方式authorization grant

  • 授权码(authorization-code
  • 隐藏式(implicit
  • 密码式(password
  • 凭证式(client credentials

不管使用哪一种授权方式,在申请令牌之前,都必须在系统中去申请身份唯一标识,客户端 IDclient ID
和客户端密钥client secret保证 token 不被恶意使用。

授权码

四种授权中授权码方式是比较复杂的,安全系数却是最高的,也比较常用。这种方式适用于兼具前后端的Web项目。
image.png

1、用户选择使用微信登录webweb 会向微信发起授权请求,接下来微信询问用户是否同意授权(手机弹窗确认)。

  • response_typecode 要求返回授权码
  • scope 参数表示本次授权范围;
  • redirect_uri 重定向的地址。
https://wx.com/oauth/authorize?
	response_type=code&
	client_id=CLIENT_ID&
	redirect_uri=http://login.web/callback&
	scope=read

2、用户同意授权后,微信 根据 redirect_uri重定向并返回授权码

http://login.web/callback?code=AUTHORIZATION_CODE

3、当web拿到授权码(code)时,带授权码和密匙等参数向微信申请令牌(access_token)。

  • grant_type表示本次授权为授权码方式 authorization_code
  • client_secret客户端密匙;
  • code上一步得到的授权码。
https://wx.com/oauth/token?
	client_id=CLIENT_ID&
	client_secret=CLIENT_SECRET&
	grant_type=authorization_code&
	code=AUTHORIZATION_CODE&
	redirect_uri=http://login.web/callback

4、最后微信收到请求后向 redirect_uri 地址发送 JSON 数据,其中的access_token 就是令牌。

{    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  ......
}

隐藏式

如果是纯前端应用,无法使用授权码模式。令牌的申请与存储都需要在前端完成,隐藏式跳过了授权码这一步。前端应用直接获取 tokenresponse_type 设置为 token,要求直接access_token,跳过授权码,微信授权通过后重定向到指定 redirect_uri

https://wx.com/oauth/authorize?
	response_type=token&
	client_id=CLIENT_ID&
	redirect_uri=http:/login.web/callback&
	scope=read

这种模式安全性相对于授权码低一些。

密码式

用户在web页面直接输入自己的微信用户名和密码,web拿着信息直接去微信申请令牌,请求响应的 JSON结果中返回 access_tokengrant_typepassword 表示密码式授权。

https://wx.com/token?
	grant_type=password&
	username=USERNAME&
	password=PASSWORD&
	client_id=CLIENT_ID

这种授权方式是非常的危险,相当于把微信密码直接交给了web系统。如果采取此方式授权的应用一定要高度可信任的。

凭证式

凭证式和密码式比较相似,适用于那些没有前端的命令行应用,可以用最简单的方式获取令牌,在请求响应的 JSON 结果中返回 access_token

  • grant_typeclient_credentials 表示凭证式授权,
  • client_idclient_secret 用来识别身份。
https://wx.com/token?
	grant_type=client_credentials&
	client_id=CLIENT_ID&
	client_secret=CLIENT_SECRET

令牌使用

拥有令牌就可以调用微信的 API 请求数据了,每个请求微信的请求都必须带上 token,将 token 放在 http 请求头header的一个Authorization里。
image.png

令牌刷新

token 是有时效性的,一旦过期就需要重新获取,如果重走一遍授权流程,太过麻烦,一般在颁发令牌 token 时会一次发两个令牌,一个令牌用来请求 API,另一个负责更新令牌 refresh_token

  • grant_typerefresh_token 请求为更新令牌,
  • 参数 refresh_token 是用于更新令牌的令牌。
https://wx.com/oauth/token?
	grant_type=refresh_token&
	client_id=CLIENT_ID&
	client_secret=CLIENT_SECRET&
	refresh_token=REFRESH_TOKEN
一江溪水
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
spring security oauth2 的 scope 概念
最新发布
qq_41045651的博客
03-12 497
通常,如果你想实现用户登录和认证功能,你会请求"openid" scope。如果你的应用程序需要用户的许可来执行一些操作,比如发布消息到他们的社交媒体账户,你可以请求"write" scope以获取修改用户资源的权限。例如,如果你正在开发一个应用程序,需要从用户的个人资料中读取信息,比如用户名、年龄等,你可以请求"read" scope来获取这些信息。自定义scope:除了上述内置的scope之外,你还可以定义自己的scope,根据你的应用程序的特定需求,例如"photos"、"documents"等。
Spring Security OAuth2之scopes配置详解
OceanSky的专栏
07-30 1万+
1.先看下官方文档的说明 地址:https://projects.spring.io/spring-security-oauth/docs/oauth2.html scope: The scope to which the client is limited. If scope is undefined or empty (the default) the client is not limit...
OAuth2的四种授权方式
qq_46073180的博客
01-31 1084
OAuth2四种授权方式
OAuth 2.0授权协议详解
10-25
主要介绍了OAuth 2.0授权协议详解,本文对OAuth协议做了详解讲解,对OAuth协议的各个方面做了分解,读完本文你就会知道到底啥是OAuth了,需要的朋友可以参考下
适用于Gin-Gonic的OAuth 2.0授权服务器和授权中间件-Golang开发
05-26
oauth中间件Gin-Gonic的OAuth 2.0授权服务器和授权中间件该库提供基于Gin-Gonic的OAuth 2.0授权服务器和可在资源服务器中使用的授权中间件dev oauth中间件Gin-Gonic的OAuth 2.0授权服务器和授权中间件该库提供了基于Gin-Gonic的OAuth 2.0授权服务器以及可在与Gin-Gonic开发的资源服务器中使用的授权中间件。 生成状态授权服务器授权服务器由OAuthBearerServer结构实现,该结构管理两种授权类型的授权(密码和client_credentials)。 该授权服务器旨在提供授权
OAuth 2 中的 Scope 与 Role 深度解析
适己而忘人者,人之所弃;克己而立人者,众之所戴。
08-10 591
OAuth 全称是。大家都知道 OAuth 是一个开放标准,但是除此以外似乎找不到一个非常准确的而且容易理解的 OAuth 定义。在网络中能够搜索到的 OAuth 的定义,基本都是来源于网络各文章作者自己对 OAuth 的理解。为此,特别选择了一个笔者本人认为相对来说更容易理解的一个定义,具体如下:开放授权( OAuth )是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 4375
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
OAuth2.0中的scope和RBAC中的role有什么关系
码农小胖哥
11-16 3216
使用了OAuth2.0授权协议之后我们在API的访问控制时又多了一个scope的概念。它和角色访问控制的作用类似,有点让人有点模糊不清。今天我们来理清楚这两个概念。scopescope是 ...
OAuth 2.0的理解
随笔记
02-21 1349
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAuth的适用场合,让我举一个假设的例子。 有一个"云冲印"的网站,可以将用户储存在Google...
OAuth2.0学习(1-13)oauth2.0 的概念:资源、权限(角色)和scope
weixin_34166472的博客
06-21 1267
mkk 关于资源的解释 : https://andaily.com/blog/?cat=19 resource用于将系统提供的各类资源进行分组管理, 每一个resource对应一个resource-id, 而一个client details至少要有一个resource-id (对应OauthClientDetails.resourceIds oauth_client_details.resourc...
基于Django2.1.2的OAuth2.0授权登录
04-15
基于Django2.1.2的OAuth2.0授权登录 大学生课程设计 基于Django2.1.2的OAuth2.0授权登录的课程设计 自己大二写的课程设计
微信oauth2.0授权
10-11
通过点击viewbutton获取用户openid,实现方式oauth2.0认证
Spring Security系列教程29--OAuth2.0协议详解
一一哥
11-05 2406
前言 截止到现在,一一哥 已经带各位把Spring Security中的主要功能学完了,并且剖析了这些内容的底层实现原理,希望你可以有所收获。 但是在安全认证领域,还有另一种很重要的授权机制---OAuth2.0开放授权。而且OAuth2.0开放授权与Spring Security经常配合使用,这两者之间可以说是“焦不离孟,孟不离焦”的搭配关系,所以为了进一步掌握Spring Security,在这里 壹哥 给大家再介绍另一个OAuth2.0开放授权协议。 OAuth2.0开放授权并不是Spring
OAuth2授权(Client Credentials)
热门推荐
shonegg的技术人生
08-15 3万+
OAuth 2.0定义了四种授权方式。 1.授权码模式(authorization code) 2.简化模式(implicit) 3.密码模式(resource owner password credentials) 4.客户端模式(client credentials) ClientCredentials客户端模式: Client使用自己的 client证书(如 clien
开放平台实现安全的身份认证授权原理与实战:Scope权限管理深度分析
禅与计算机程序设计艺术
11-09 250
作者:禅与计算机程序设计艺术 1.背景介绍 开放平台(Open Platform)是指提供某些功能或服务的软件系统运行在互联网上,并允许第三方对其进行访问和调用的基础设施。在当前互联网环境下,越来越多的公司和组织都在转向“开放平台”模式,将自己在内部运营的软件系统、数据系统或服务通过网络公开给第三方
微信oauth2.0报错,Scope参数错误或没有Scope权限
alex_fung的博客
03-29 5838
上图: 一般是因为没有设置微信后台参数,设置方式如下: 登陆微信后台-->开发-->接口权限-->网页授权获取用户基本信息-->修改-->填写信任域名即可
搞懂oauth2.0授权码模式
哇哦~
05-25 2689
最早的简单登录 图1 去访问一个网站,如果登录的话,需要注册,填一堆信息,用户名密码啥的,通常密码是前端加盐、哈希(md5,sha1等)然后再发给后端,后端存储起来,不能直接存储明文。然后再跳转到登录页面,输入用户名和密码,后端验证用户名和密码,如果成功了返回一个session id,然后前端就可以结合cookie使用。 问题: 1.安全性,需要对密码的加密有一个万全的应对之策 2.维护麻烦,用户用起来也麻烦 比较早的授权登录 后来yelp试图解决这些问题,如下图所示 图2 想用什么登录就
springsecurity oauth2.0 单点 授权
10-17
Spring Security OAuth2.0 是一个基于 Spring Security 的 OAuth2.0 实现,它提供了一种安全的方式来保护您的 REST API。单点登录(SSO)是一种身份验证机制,允许用户使用一组凭据(例如用户名和密码)登录到多个应用程序或网站。OAuth2.0 和 SSO 可以结合使用,以提供更安全的身份验证和授权机制。 在 Spring Security OAuth2.0 中,您可以使用 Authorization Server 和 Resource Server 来实现授权和资源保护。Authorization Server 负责颁发访问令牌(Access Token),Resource Server 则负责验证访问令牌并保护受保护的资源。 要实现单点登录,您可以使用 Spring Security 的 SSO 功能。Spring Security 提供了多种 SSO 实现,包括基于 Cookie 的 SSO 和基于 OAuth2.0 的 SSO。您可以根据您的需求选择适合您的 SSO 实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值