Oauth2.0和Oauth1.0的区别

最新推荐文章于 2024-05-10 21:16:25 发布
最新推荐文章于 2024-05-10 21:16:25 发布
阅读量1.8k 收藏 1
点赞数 1
最近研究论坛里那个微薄验证授权的代码:终于看懂了不过到官方网站一下,原来是一代oauth认证。不过也好,二代简单了。呵呵。
* OAuth2.0不需要签名了。之前所有的复杂的signatureBaseString计算、appSecret、 tokenSecret什么的都成浮云了,现在所有请求不需要签名了。所有二版微博API都使用HTTPS了。

* 相对于1.0的Request_Token换Authorization_Code,Authorization_Code再换Access_Token的授权模式,2.0提供了一种更简洁给力的授权码方式:Authorization_Code直接换Access_Token模式。
所以OAuth2.0的登录API只有两个oauth2/authorize和oauth2/accesstoken。其实之前之所以要多一个获取Request_Token的步骤,主要是为了Server来认证Client(还记得申银万国吗),看client是不是一个合法的注册过的Client。

* 当然OAuth2.0不止一种授权模式,共有四种, 新浪微博实现了最主要的3种:授权码式、用户名密码式、隐藏式。
授权码式就是上面提到Authorization_Code直接换Access_Token模式,登录需两步。
用户名密码式可实现一步登录(当然前提是用户得信任你的app才会乖乖给你密码)。
隐藏式也是一步登录,适用于JavaScript等脚本语言做逻辑处理的web客户端。

* OAuth2.0里的Access_Token与1.0里的不同。1.0里包含3个字段: UserID, AccessToken, AccessTokenSecret。2.0里也包含3个字段:  AccessToken (根据网友"U点意思"提供的情报,2.0的Access_Token字段,每次返回的值不一样。这与1.0中Access_Token字段值永远不变,是个很大的区别)
ExpiresIn (AccessToken的过期时间,按秒计,很短,默认可能是1个小时)
RefreshToken  (AccessToken过期时,用来获取新的AccessToken,具体做法是当使用AccessToken时收到类似TokenInvalid或者TokenExpired的错误时,调用oauth2/accesstoken接口传递RefreshToken以获取新的AccessToken)

* OAuth2.0引入了Authorization Server的概念(越来越像微软的WIF-Window Identity Model)。对于我们开发者而言,没必要区分Authorization Server和Resource Server,我们看到的就是新浪微博Server。

* 使用OAuth2.0访问新浪微博API更简单了,只需要传递一个AccessToken值

*所有API只返回Json格式了,没有XML格式的了。(这是为虾米)

1、2.0的用户授权过程有2步,

         A)引导用户到授权服务器,请求用户授权,用户授权后返回 授权码(AuthorizationCode)

         B)客户端由授权码到授权服务器换取访问令牌(access token)

         C)用访问令牌去访问得到授权的资源

         1.0的授权分3步,

         A)客户端到授权服务器请求一个授权令牌(request token&secret)

         B)引导用户到授权服务器请求授权

         C)用访问令牌到授权服务器换取访问令牌(access token&secret)

         D)用访问令牌去访问得到授权的资源

四、       Oauth1.0Oauth2.0的区别

auth1.0与Oauth2.0是相互不兼容的,所以他们为我们提供了不同的授权方式:

 

 

2.0的用户授权过程有3步:

         A)用户到授权服务器,请求授权,然后返回授权码(AuthorizationCode)

         B)客户端由授权码到授权服务器换取访问令牌(access token)

         C)用访问令牌去访问得到授权的资源、

总结:获取授权码(Authorization Code)—>换取访问令牌(access_token)—>访问资源:

 

 

1.0的授权分4步,

          A)客户端到授权服务器请求一个授权令牌(requesttoken&secret)

         B)引导用户到授权服务器请求授权

         C)用访问令牌到授权服务器换取访问令牌(accesstoken&secret)

         D)用访问令牌去访问得到授权的资源

总结:请求授权令牌(request token&secret)—>换取访问令牌(access token&secret)—>访问资源

 

 

1.0协议每个token都有一个加密,2.0则不需要。这样来看1.0似乎更加安全,但是2.0要求使用https协议,安全性也更高一筹。

 

2.0充分考虑了客户端的各种子态,因而提供了多种途径获取访问令牌,有:授权码、

客户端私有证书、资源拥有者密码证书、刷新令牌等方式,而且验证过程更为简洁。

相比之下 1.0只有一个用户授权流程。

w_xuexi666
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
谈谈OAuth1,OAuth2异同
mmzz_tsz的博客
08-01 3898
一、写在前面 在收集资料时,我查询和学习了许多介绍OAuth的文章,这些文章有好有坏,但大多是从个例出发。因此我想从官方文档出发,结合在stackoverflow上的一些讨论,一并整理一下。整理的内容分为OAuth1.0a和OAuth2两部分。 OAuth 1.0a:One Leg ->Two Leg -> Three Legged OAuth 2:Two Leg ->Th...
OAuth1.0 简介及安全分析
iteye_6700的博客
09-28 361
1.   概述 OAuth 是一个开放授权协议,允许第三方应用访问服务提供方中注册的终端用户的某些资源,且不会把帐号和密码提供给第三方。 OAuth 允许通过服务提供商授予的一个临时令牌而不是用户名密码来获取用户的资源,这些资源可以是受限的,令牌的时间段也可以是受限的。 1.1     OAuth 的参与者 1.       终端用户 存放在服务提供方的受...
OAuth 2.0 和 OAuth 2.1
最新发布
一个写了10年bug的程序员日常笔记。
05-10 927
OAuth 2.1 是 OAuth 2.0 的进化版,它旨在简化 OAuth 2.0 的实现,同时增强安全性。OAuth 2.0 和 OAuth 2.1 是授权框架的不同版本,它们用于允许应用程序安全地访问用户在另一个服务上的数据。这些变化意味着 OAuth 2.1 将更加注重安全性和最佳实践的实施,同时保持与 OAuth 2.0 的兼容性,以便开发者可以平滑过渡到新版本。:适用于在设备上运行的应用程序,这些设备可能没有传统的输入机制(如智能电视、打印机等),用户通过设备上的说明在另一设备上完成授权。
OAuth1.0OAuth2.0区别
ivolcano的博客
05-21 8309
一、为什么出现OAuthOAuth是一个开放的标准,在移动、web平台能提供一种安全地API授权,使第三方应用不需要密码账号通过授权的方式就可以进行登录。 要解决的问题:打破传统的账号密码登录登录方式,不管是对于用户还是应用提供商,都能安全保障账号数据不被泄露。 二、OAuth1.0 (-2012.4.20) 1请求request code 和 access token过程中,得...
彻底弄懂OAuth
qq_34446716的博客
04-06 2110
OAuth简介 OAuth是一个开放的标准,能提供一种安全的API授权,使第三方应用不需要密码账号,就可以申请获得该用户资源的授权。 1.使用场景例子 如果一个用户需要两项服务:图片在线存储服务A、图片在线打印服务B。由于服务A与服务B是由两家不同的服务提供商提供的,所以用户在这两家服务提供商的网站上各自注册了两个用户,假设这两个用户名、密码都各不相同。当用户要使用服务B打印存储在服务A上的图片时,用户该如何处理? 方法一:用户先将待打印的图片从服务A上下载下来并上传到服务B上打印,这种方式安全但处理比
OAuth2.01.0区别
mischen520的博客
11-10 366
OAuth2.0的最大改变就是不需要临时token了,直接authorize生成授权code,用code就可以换取accesstoken了,同时accesstoken加入过期,刷新机制,为了安全,要求第三方的授权接口必须是https的。OAuth2.0去掉了签名,改用SSL确保安全性:OAuth1.0需要保证授权码和令牌token在传输的时候不被截取篡改,所以用了很多签名反复验证,但在OAuth2.0中是基于Https的。这里有个问题Https也有可能被中间人劫持;而OAuth2.0提供了四种授权模式;
QQ登陆OAuth2.0API源码 v1.0.10.27.rar
07-09
(参考Default.aspx文件) QQ登陆OAuth2.0API源码 2011-10-27 更新 1、使用[可选参数]特性,定制参数更方便,灵活。 2、使用XML配置文件(Wbm.QzoneV2.config)。 3、封装Model,用户信息Model(SinaMUsers.cs) 4、...
OAuth2.0协议中文版.pdf
03-27
OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
OAuth2.0协议原理与实现
03-08
相比于OAuth1.0版本,OAuth2.0进行了多方面的优化和改进,例如简化了授权流程、取消了Token的加密过程,并且强制使用HTTPS协议以增强安全性。OAuth2.0协议的核心在于实现了一个安全的三方授权流程,允许第三方应用在...
新浪微博OAuth2.0API v1.0.10.31
04-26
OAuth2.0API C# SDK (Wbm.SinaV2API)源码新浪微博OAuth2.0API使用流程:  1、根据需要求修改配置文件(Wbm.SinaV2.config)。  2、注册ApplicationKey。(参考UiPageBase.cs文件)  3、获取用户认证地址。(参考...
OAuth2.0介绍
12-12 607
OAuth2.0介绍
Oauth2.0Oauth1.0区别
weixin_34220963的博客
09-18 378
2019独角兽企业重金招聘Python工程师标准>>> ...
OAuth1.0OAuth2.0的演进解析--一起学习技术干货之Oauth协议
wd90119的博客
02-02 1207
总的来说,Oauth2.0在安全性、简单性和互操作性方面具有优势,但OAuth1.0已经不再被维护和更新,因此选择OAuth1.0可能不是最佳选择。总的来说,OAuth2.0在安全性、简单性和互操作性方面具有优势,但OAuth1.0已经不再被维护和更新,因此选择OAuth1.0可能不是最佳选择。如果企业需要开发跨平台的应用程序,那么OAuth2.0可能更加适合。Oauth1.0存在一些安全漏洞,如果企业非常注重安全性,那么OAuth2.0可能是一个更好的选择,因为它通过引入新的安全特性提高了安全性。
OAuth1.0介绍
烟草的香味的博客
02-19 3555
背景 为什么需要OAuth授权呢? 最典型的应用场景就是第三方登录了, 我们开发了一个网站希望用户可以QQ登录, 但是怎么能拿到用户的 QQ 信息呢? 用户将 账号密码告诉我们当然可以, 但是这样有如下隐患: 我们拿到了用户的密码, 这样很不安全. 而且任意一个应用被黑, 所有相关站点均受影响 QQ 需要支持密码登录, 但是单纯密码登录并不安全. 因此进而影响 QQ 的安全问题 我们拿到密码之后, 就相当于拥有了用户的所有信息, 这样无法进行权限限制 可能只是希望授权用户名和头像, 但是连着好友列表一起
关于OAuth以及OAuth1.0OAuth2.0区别
热门推荐
u013436121的专栏
04-14 1万+
一、       Oauth的概念 Oauth的官方简介是: An open protocol to allow secure API authorization in a simple andstandard method from web, mobile and desktop applications. 随着大量开放平台的出现,建立在开放平台之上的各种第三方应用也在大量冒出,出对安全性
Oauth1.0与2.0的认证流程笔记
sonikk的专栏
08-01 3099
■User进入应用程序主界面 1.  App -------oAuthV1( app_key + app_secret ) --------> Server 2.  App app_key:  801115505 app_secret: be1dd1410434a9f7d5a2586bab7a6829 oauth_token[1]:e3974ad79dc94cf584b
OAuth漏洞启示
weixin_70101757的博客
06-12 144
下面再来回顾一下整个攻击过程​在此次攻击成功的路径上,可修改xd_arbiter是第一个关键点,提供代理劫持框架7SWBAvHenEn.js是第二个关键点。有了第一个关键点,攻击者才能伪造可执行路径,将7SWBAvHenEn.js加入进来。SWBAvHenEn.js文件在攻击中充当了攻击武器,本来有第一个关键点攻击者即可找到攻击方向,但炮弹精准度不足,7SWBAvHenEn.js文件所提供的功能加速了攻击者完成攻击的速度。同时,在网媒报道中,也提到了“即使用户更改了Facebook账号密码,令牌仍然有效”,
第一章 OAuth2.0规范(史上最详细解释)——介绍
后来者居上
12-14 1066
在传统的客户端-服务器身份验证模式中,客户端请求服务器上访问受限的资源(受保护的资源)时,需要使用资源所有者的凭据在服务器上进行身份验证。资源所有者为了给第三方应用提供受限资源的访问权限,需要与第三方共享它的凭据。第三方应用需要存储资源所有者的凭据以供将来使用。该凭据通常是明文密码。服务器需要支持密码身份认证,尽管密码认证有固有的安全缺陷。第三方应用获得了对资源所有者的受保护资源的过于宽泛的访问权限,从而导致资源所有者不能限制对资源的有限子集的访问时限或权限。
Android学习笔记——OAuth完全手册_国内篇
weixin_30607659的博客
07-11 218
本文主要是介绍OAuth认证以及各大平台粗略比较,如有纰漏,望请谅解。 转载请注明:http://www.cnblogs.com/lingyun1120/archive/2012/07/11/2585767.html   Preface: 开发目的及进展   利用工作上关于SNS网站的研究,将多个SNS平台集成起来,一键分享。利用闲暇时间做了一个demo,还有很多需...
oauth1.0oauth2.0区别
07-24
OAuth 1.0OAuth 2.0是OAuth协议的两个不同版本,它们有以下几点区别: 1. 认证流程:OAuth 1.0使用了三个步骤的认证流程,包括请求令牌和访问令牌;OAuth 2.0简化了认证流程,只使用了一个访问令牌。 2. 安全性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值