关于OAuth协议的理解

最新推荐文章于 2022-02-07 19:17:50 发布
最新推荐文章于 2022-02-07 19:17:50 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: Algorithm Base 文章标签: token access authorization url user 工作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vernice/article/details/6292523
版权

最近接触了OAuth协议,挺有意思的。

 

OAuth协议的根本目的是为了安全。即第三方不需要获取用户的用户名和密码就可以申请获得该用户资源的授权。

OAuth有三大特点:

1、安全。显而易见——不需用户名和密码就可以获得服务。

2、开放。所有的OAuth服务提供商和应用开发者都可以自由使用。

3、简易。容易理解和使用。

 

说说OAuth的工作原理,自己理解的。

这里有两个服务,服务A和服务B。应用程序编写者想使用服务B,但是服务B必须要获得服务A中用户的资源才使得服务B有价值。于是乎,开始服务B和服务A开始了交涉。

1、B向A请求未授权的Request Token

1‘、A向B颁发未授权的oauth_token 和 oauth_token_secret

这一阶段用到了Request Token URL

 

2、B向A请求用户授权的Request Token

2‘、A引导用户登录进行授权,可能返回或者不返回(跟OAuth服务提供商有关)授权的Request Token

这一阶段用到了User Authorization URL

 

3、B向A请求Access Token。用授权的Request Token换取Access Token。

3‘、A同意B的请求,向B颁发Access Token 和 密钥。

这一阶段用到了Access Token URL

 

4、B使用Access Token访问用户授权的资源。

Yunhe_Feng
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth的机制原理讲解及开发流程
weixin_34302798的博客
09-30 208
原文地址:http://kb.cnblogs.com/page/189153/ 本想前段时间就把自己通过QQ OAuth1.0、OAuth2.0协议进行验证而实现QQ登录的心得及Demo实例分享给大家,可一直很忙,今天抽点时间说下OAuth1.0协议原理,及讲解下QQ对于Oauth1.0的认证开发。闲话多说了点,下面直接进入主题。   1、OAuth的简述   OAuth(Open Auth...
谈谈我对OAuth理解
amg63834的博客
12-04 106
自己的理解是,OAuth是一种授权标准. 用于为除了用户之外的第三方应用授权, 并且在授权过程中,第三方应用不会接触到用户的任何信息, 授权完成后,第三方应用可访问用户授权范围内的信息. 举个例子,目前有很多网站都可以用 QQ,新浪等账号来登录,QQ和新浪用的就是这种授权模式. 首先 用户访问第三方网站的页面,点击用QQ号登录时,跳转到QQ号登录和...
Oauth认证原理
qhb39492983的博客
07-21 233
1. 什么是OAuth 一种安全认证的协议。 为用户资源的授权提供了一个安全、开放而又简易的标准。 不会使第三方触及到用户的账号信息。 2. OAuth当中的角色 ServiceProvider 服务提供者 通常是网站(例如:网盘,微博或博客)。 User 用户 ,用户持有网站(服务提供者)的 帐号和和密码,并且可保存和发布一些信息给其他用户, 比如发微博信息。 Consum
OAuth协议
mr_phy的博客
06-11 647
读音/’əu ‘ɔːθ/OAuthOAuth是一个关于授权的开放网络标准。应用场景有一个”云冲印”的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让”云冲印”读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意”云冲印”读取这些照片。那么,”云冲印”怎样获得用户的授权呢?传统方法是,用户将自己的Google用户名和密码,告诉”云冲印”,后者
OAuth2.0优缺点
张俊杰 的博客
02-07 3026
优点: ● 更安全,客户端不接触用户密码,服务器端更易集中保护 ● 广泛传播并被持续采用 ● 短寿命和封装的token ● 资源服务器和授权服务器解耦 ● 集中式授权(专门一个服务去做授权认证),简化客户端 ● HTTP/JSON友好,易于请求和传递token ● 考虑多种客户端架构场景 ● 客户可以具有不同的信任级别 缺点: 不同的公司都有自己的OAuth2实现方式,会出现兼容性的问题, OAuth2只是一个协议,不是具体的实现,不同的公司的实现方式是不一样的. ...
OAuth2.0协议原理与实现
03-08
通过理解其基本概念、工作流程以及各种授权模式,开发者可以更好地利用这一协议为用户提供安全便捷的服务。在未来的发展中,随着技术的进步和应用场景的不断拓展,OAuth2.0协议将会发挥更加重要的作用。
OAuth2.0协议中文版.pdf
01-05
OAuth 2.0是一个应用之间访问数据的开源授权协议,它提供了安全的、授权的方式,让第三方应用可以访问...在云计算和分布式服务日益普及的今天,理解和正确实施OAuth 2.0协议对于开发安全的Web服务和应用具有重要意义。
oauth2.0协议授权
08-15
OAuth2.0是一种广泛使用的开放授权协议,它允许第三方应用在用户许可的情况下,访问特定的受保护资源。这个协议在互联网服务中起到了关键作用,尤其是涉及到用户数据安全和隐私的场景。下面将详细介绍OAuth2.0的核心...
OAuth 2.0 协议
09-29
OAuth 2.0 代替了之前的 OAuth 1.0 协议,并在许多方面进行了改进,例如简化了API并增加了更多的认证场景。 #### 二、核心概念 ##### 1. **资源所有者(Resource Owner)** - 资源所有者是指拥有受保护资源的人或...
在Nginx中增加对OAuth协议的支持的教程
09-30
在Nginx中添加OAuth协议的支持是一项关键的任务,特别是在开发涉及社交网络API或需要安全授权的应用时。OAuth协议允许第三方应用安全地访问用户的资源,而无需获取其原始凭证。以下是如何在Nginx服务器上实现OAuth2...
1.OAuth 2实战 --- OAuth 2.0是什么,为什么要关心它
enlyhua的专栏
02-10 1361
OAuth 是一个安全协议,用于保护全球范围内大量且不断在增长的web api,它用于连接不同的网站,还支持原生应用和移动应用于云服务之间的连接。 它是各个领域标准协议中的安全层。 1.OAuth 2.0是什么 OAuth 2.0 是一个授权协议,它允许应用软件代表(而不是充当)资源拥有者去访问资源拥有者的资源。应用向资源拥有者请求授权,然后得到令牌(token),并用它来访问资源。 ...
登录和oauth机制
JackChan
11-12 1万+
登录一、javaweb中如何去维持登录状态 登录后信息放入 session中 页面内验证session中是否有登录信息 如果有,不需要再次登录 如果没有,跳转登录页面 如果登录后点击注销,删除session中登录信息,并清除页面缓存(必要的) 二、javaweb中哪些情况我们的session会过期 过期–>很长时间没有去访问网站 主动关闭–>用户注销 切换浏览器 三、手机端如何维持登录状态通过ses
Oauth2.0(一):为什么需要 Oauth2.0 协议
blowing00的专栏
02-28 727
假设有两家互联网企业 A 和 B,其中 B 是一家提供相片云存储的公司。即 B 的用户可以把相片上传到 B 网站上长期保存,然后可以在不同的设备上查看。某一天,A 和 B 谈成了一项合作:希望 B 用户在使用 A 的客户端时,也可以观看他在 B 的相片。假设你是技术负责人,需要出一个实现方案,怎么做? 要不让 B 提供一个接口: http://xxx.xxx.co...
为什么OAuth它本身不是身份验证框架?
danpu0978的博客
04-16 152
让我们直接从定义开始以避免混淆的方法。 认证是确认基准或实体属性真实性的行为。 如果我说,我是Prabath –我需要证明这一点。 我可以用我所知道的,我所拥有的或我所拥有的东西来证明这一点。 一旦证明了自己的身份,我的系统便可以信任我。 有时系统不只是想通过名称来识别我。 通过名字可以帮助唯一地识别我-但是我的其他属性如何。 在通过寄宿生控制之前,您需要通过名称,图片和指纹以及视网膜识别自...
深入理解JWT的使用场景和优劣
热门推荐
爱琴孩的博客
05-06 3万+
前言 前面简单介绍了JWT的基础只是和简单的小Demo,但是对于JWT的应用场景和优缺点掌握的还够,这些东西只有自己实践过才能搞清楚其中的细节。在网上看到一个大佬对这块讲的比较好,就转载过来一起学习下。 原文链接 编码,签名,加密 这些基础知识简单地介绍下,千万别搞混了三个概念。在 jwt 中恰好同时涉及了这三个概念,笔者用大白话来做下通俗的讲解(非严谨定义,供个人理解) 编码(en...
OAuth 2.0 构建微服务身份认证(三):采用RSA生成JWT签名验签
kylin058的博客
08-23 5172
JAVA整体实现过程转接上一篇 签名、验签类 /** * Created by joy on 2017/8/17. */ public class TokenAuthenticationService { static final long EXPIRATIONTIME = 432_000_000; // 5天 static final String S
Basic Auth 和 OAuth的区别
Ian Sheng的博客
04-04 1万+
开放平台有两种认证方式,一种是Basic Auth,一种是OAuth。 关于OAuth1,OAuth2的异同 移步->>https://blog.csdn.net/qq_15028299/article/details/89028851 1、Basic Auth(HTTP Auth) Basic Auth简单点说明就是每次请求API时都提供用户的username和passwo...
Zookeeper集群节点数量为什么要是奇数个?
u010476994的博客
04-03 2万+
无论是公司的生产环境,还是自己搭建的测试环境,Zookeeper集群的节点个数都是奇数个。至于为什么要是奇数个,以前只是模糊的知道是为了满足选举需要,并不知道详细的原因。最近重点学习zookeeper,了解到其中的原理,现将其整理记录下来。首先需要明确zookeeper选举的规则:leader选举,要求 可用节点数量 > 总节点数量/2 。注意 是 > , 不是 ≥。注:为什么规则要...
用通俗的例子解释OAuth和OpenID的区别【原】
weixin_34269583的博客
03-14 382
什么是OAuth(Wiki) 什么是OpenID(Wiki) 详细的定义可以看wiki,下面举个例子说说我的理解 现在很多网站都可以用第三方的账号登陆,比如,现在我要登录淘宝买东西,而如果我没有淘宝的账号,我也可以用微博的账号登录,这个微博账号就是第三方账号了。 OpenID强调验证 authentication,而OAuth强调授权 authorization。 验证就是说“...
理解OAuth 2.0授权协议
"OAuth 2.0 授权协议" OAuth 2.0 是一个授权框架,由互联网工程任务组(IETF)制定,并被广泛应用于Web服务、移动应用和API的安全授权。该协议允许第三方应用程序在资源所有者的许可下,或者代表资源所有者,对HTTP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值