OAuth 2.0 协议原理和认证流程

最新推荐文章于 2024-04-25 22:22:45 发布
最新推荐文章于 2024-04-25 22:22:45 发布
阅读量808 收藏 2
点赞数
分类专栏: Java后端开发 文章标签: oAuth2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/visant/article/details/79973855
版权

OAuth 2.0 的定义

OAuth 2.0 的规范可以参考 : RFC 6749

OAuth 是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。目前,OAuth 的最新版本为 2.0

OAuth 允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth 允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要分享他们的访问许可或他们数据的所有内容。

OAuth 2.0 的核心概念

OAuth 2.0 主要有4类角色:

  1. resource owner:资源所有者,指终端的“用户”(user)
  2. resource server:资源服务器,即服务提供商存放受保护资源。访问这些资源,需要获得访问令牌(access token)。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。如果,我们访问新浪博客网站,那么如果使用新浪博客的账号来登录新浪博客网站,那么新浪博客的资源和新浪博客的认证都是同一家,可以认为是同一个服务器。如果,我们是新浪博客账号去登录了知乎,那么显然知乎的资源和新浪的认证不是一个服务器。
  3. client:客户端,代表向受保护资源进行资源请求的第三方应用程序。
  4. authorization server: 授权服务器, 在验证资源所有者并获得授权成功后,将发放访问令牌给客户端。

OAuth 2.0 的认证流程

认证流程如下:

 +--------+                               +---------------+
 |        |--(A)- Authorization Request ->|   Resource    |
 |        |                               |     Owner     |
 |        |<-(B)-- Authorization Grant ---|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(C)-- Authorization Grant -->| Authorization |
 | Client |                               |     Server    |
 |        |<-(D)----- Access Token -------|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(E)----- Access Token ------>|    Resource   |
 |        |                               |     Server    |
 |        |<-(F)--- Protected Resource ---|               |
 +--------+                               +---------------+
  • (A)用户打开客户端(网站)以后,客户端(网站)请求用户的授权。
  • (B)用户同意给予客户端(网站)授权,获得一个门票,并跳转到指定的Url。
  • (C)客户端(网站)使用上一步获得的授权,向认证服务器申请访问令牌Token。
  • (D)认证服务器对客户端(网站)进行认证以后,确认无误,同意发放访问令牌。
  • (E)客户端(网站)使用访问令牌,向资源服务器申请获取资源。
  • (F)资源服务器确认令牌无误,同意向客户端(网站)开放资源。

注意:在认证功能实现之前,首先网站要去授权方申请权限,授权方会对用户权限进行分类。授权方和相应网站达成共识。

其中,用户授权有四种模式:

  • 授权码模式(authorization code)(正宗方式)(支持refresh token)
  • 简化模式(implicit)(为web浏览器应用设计)(不支持refresh token)
  • 密码模式(resource owner password credentials)(为遗留系统设计)(支持refresh token)
  • 客户端模式(client credentials)(为后台api服务消费者设计)(不支持refresh token)

最常用的是授权码模式:
这里写图片描述

步骤如下:
(A)用户访问客户端,后者将前者导向认证服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的”重定向URI”(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的”重定向URI”,向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

A步骤中,客户端申请认证的URI,包含以下参数:

  • response_type:表示授权类型,必选项,此处的值固定为”code”
  • client_id:表示客户端的ID,必选项
  • redirect_uri:表示重定向URI,可选项 scope:表示申请的权限范围,可选项
  • state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

C步骤中,服务器回应客户端的URI,包含以下参数:

  • code:表示授权码,必选项。该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。
  • state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。
HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
          &state=xyz

D步骤中,客户端向认证服务器申请令牌的HTTP请求,包含以下参数:

  • grant_type:表示使用的授权模式,必选项,此处的值固定为”authorization_code”。
  • code:表示上一步获得的授权码,必选项。
  • redirect_uri:表示重定向URI,必选项,且必须与A步骤中的该参数值保持一致。
  • client_id:表示客户端ID,必选项。
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

E步骤中,认证服务器发送的HTTP回复,包含以下参数:

  • access_token:表示访问令牌,必选项。
  • token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
  • expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
  • refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。
  • scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。

     HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

参考文章:
1、Q Q授权登录
2、新浪微博授权
3、OAuth 2.0四种授权
4、理解OAuth 2.0

visant
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
30-OAuth2授权端点配置类
码农小胖哥
03-23 2636
前面分析的几个过滤器都没有自己专属的配置类,Spring Authorization Server剩下的过滤器都有自己专属的配置类。授权端点过滤器OAuth2AuthorizationEndpointFilter的配置类为OAuth2AuthorizationEndpointConfigurer,本篇将深入学习它。 OAuth2AuthorizationEndpointConfigurer OAuth2AuthorizationEndpointConfigurer只能由OAuth2Authorization
OAuth2协议认证流程
weixin_49071539的博客
11-23 781
OAuth 授权所需信息 1.应用名称 2.应用网站 3.重定向URI或回调URL(redirect_uri) 4.客户端标识client_id 5.客户端密钥client_secret 点击授权--------->地址栏信息: https://abcdefg.com/abcd123/12432154321?client_id=15342534dfgtwa&redirect_url=https:1243324fdqwrdf&response_type=code&state=1
OIDC & OAuth2.0 协议及其授权模式详解|认证协议最佳实践系列【1】
Authing的博客
02-22 926
OIDC & OAuth2.0 协议最佳实践系列。
OAuth2.0协议原理与实现
03-08
OAuth2.0协议原理与实现
OAuth 2.0的授权认证流程
最新发布
qq_34068440的博客
04-25 990
1、Auth2.0 协议简介2、OAuth 2.0的授权认证流程OAuth 2.0 的核心概念认证思路与流程3、OAuth2.0 的四种模式授权码模式(authorization code)隐式授权模式(Implicit Grant)资源所有者密码凭证模式(Resource Owner Password Credentials Grant)客户端凭证模式(Client Credentials Grant)4、相关文章Auth2.0 协议简介。
OAuth 2.0 的四种方式
lamb7758的博客
04-12 593
RFC 6749 OAuth 2.0 的标准是RFC 6749文件。该文件先解释了 OAuth 是什么。 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。 这段话的意思就是,OAuth 的核心就是向第三方应用颁发令牌。然后,RFC 6749 接着写道: (由于互联...
Spring Security OAuth2 (一)之浅谈OAuth2
一个不断前行的程序者
09-09 460
我们在搭建一套系统的时候,在设想这套系统需要实现具体业务功能的同时,还需要选择使用什么登陆安全框架。现在有很多的授权方式,在java体系内比较火的是shiro、seciruty,他们两个都属于比较轻量级,易于上手,比较灵活。这个时候我相信你们就会问那他们有什么区别,我们平时需要选择哪个呢?OAuth2又是什么?他的作用是什么?要怎么用? 首先我们来讲述大概介绍一下OAuth2。 oAuth2是一种授权协议。它主要是为了简化客户端开发人员的工作,同时为需要授权的服务提供授权流程,主要包括网站、桌面、app.
OAuth2.0 原理
热门推荐
安梓晨的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程六、OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
OAuth2.0认证原理
weixin_47073925的博客
06-01 7713
OAuth2.0认证原理 一.OAuth是什么? OAuth的英文全称是Open Authorization,它是一种开放授权协议OAuth目前共有2个版本,2007年12月的1.0版(之后有一个修正版1.0a)和2010年4月的2.0版,1.0版本存在严重安全漏洞,而2.0版解决了该问题,下面简单谈一下我对OAuth2.0的理解。 二.OAuth2.0有什么用? 引用一下OAuth2.0中文文档中的介绍: 1.需要第三方应用存储资源所有者的凭据,以供将来使用,通常是
nodejs实现OAuth2.0授权服务认证
10-18
OAuth2.0是一种开放的授权协议,用于允许第三方应用安全地代表用户访问其私有资源,而无需共享用户的用户名和密码。...通过理解OAuth2.0的工作原理和各种授权模式,开发者可以更好地设计和实现自己的授权服务。
OAuth2.0基本原理及应用
09-11
OAuth2.0是一种广泛应用于开放网络的标准授权协议,它的核心目标是允许第三方应用程序(客户端)安全地访问资源所有者(用户)在HTTP服务提供商(如Google、Facebook等)上的资源,而无需用户直接提供敏感的登录信息...
基于Django2.1.2的OAuth2.0授权登录
04-15
2. **OAuth2.0协议**: OAuth2.0的核心是授权流程,包括四个主要角色:资源所有者(用户)、客户端(第三方应用)、资源服务器(用户数据所在的服务器)和授权服务器(处理授权请求的服务器)。流程通常包括授权码...
PyOAuth:用 Flask python 编写的用于 Oauth 2.0 协议的即插即用小而高效的模板
06-23
PyOAuth 是一个适用于 Python 和 Flask 开发者的强大工具,它简化了 OAuth 2.0 的实现过程,使开发者能够专注于应用程序的核心功能。通过理解 OAuth 2.0 的基本原理以及 PyOAuth 提供的功能,开发者可以构建安全、...
OAuth 2.0协议原理
罗布泊coding
06-14 3799
一.基本原理 OAuthOAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 OAuth 2.0 主要有4类角色: • resource owner:资源所有者,指终端的“用户”(即授权登录中资料信息的拥有者) • resource server:资源服务器,...
OAuth2认证流程
Relievedz的博客
03-16 5893
在前边我们提到微信扫码认证,这是一种第三方认证的方式,这种认证方式是基于OAuth2协议实现,OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 8597
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 4369
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
SpringBoot OAuth2.0认证管理流程详解
u012477420的博客
12-12 1万+
OAuth2.0是一个开放的授权协议,可以用来实现第三方应用对我们API的访问控制,OAuth2.0中定义的角色包括: 1) Resource Owner(资源拥有者) 2) Client (第三方接入平台,请求者) 3) Resource Server (服务器资源: 数据中心) 4) Authorization Server (认证服务器) 授权认证的基本流程包括: 首先Client需要向Resource Ow......
OAuth2.0认证流程原理
单炒饭
04-15 1万+
导读 大家也许都有过这样的体验,我们登录一些不是特别常用的软件或网站的时候可以使用QQ、微信或者微博等账号进行授权登陆。例如我们登陆豆瓣网的时候,如果不想单独注册豆瓣网账号的话,就可以选择用微博或者微信账号进行授权登录。这样的场景还有很多,例如登录微博、头条等网站,也都可以选择QQ或者微信登录的方式。 那么这样的第三方登陆方式到底是怎么实现的呢?难道是腾讯把我们QQ或者微信的账户信息卖给了...
oauth2.0协议中文文档
10-18
OAuth 2.0协议是用于授权的开放标准,旨在使用户能够授权第三方应用程序访问其资源,而无需将其凭据(如用户名和密码)直接提供给第三方应用程序。以下是OAuth 2.0协议中文文档的一些重要内容: 1. 术语解释:文档解释了OAuth 2.0协议中使用的一些术语,例如“资源所有者”(资源的拥有者,即用户)、“客户端”(需要访问资源的应用程序)以及“授权服务器”(负责验证用户并发布访问令牌的服务器)。 2. 授权流程:文档详细阐述了OAuth 2.0的授权流程。在此流程中,客户端通过向授权服务器发起请求来获取授权,并获得访问令牌。该流程包括用户身份验证、授权许可的获取和令牌颁发等步骤。 3. 授权类型:OAuth 2.0定义了几种授权类型,文档介绍了这些类型及其使用场景。常见的类型包括“授权码模式”(用于Web应用程序)和“密码模式”(用于受信任的应用程序)。 4. 令牌的使用和保护:文档指导开发人员如何使用和保护访问令牌。它提供了一些最佳实践,如使用HTTPS传输令牌、将令牌存储在安全的地方以及定期更新和撤销令牌等等。 5. 错误处理:该文档也包含了许多可能出现的错误和异常情况,并提供了处理这些情况的建议。这些错误可能涉及令牌的无效性、权限不足以及其他安全问题。 总之,OAuth 2.0协议中文文档提供了对该授权标准的详细解释和指导。阅读该文档将帮助开发人员了解OAuth 2.0的工作原理以及如何正确实现该协议,从而确保用户的资源得到安全和可信的访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值