OAuth 2.0在WEB鉴权授权中的应用

已于 2023-05-23 11:18:54 修改
阅读量716 收藏 3
点赞数
文章标签: 服务器 网络 设计模式
于 2023-05-23 11:14:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/walkWayer/article/details/130615654
版权

背景

WEB鉴权授权机制的作用是保护系统资源的安全。认证授权机制可以防止未经授权的用户访问受保护的资源
鉴权是指验证用户身份的过程,即确认用户是否有权访问某个资源
授权是指在鉴权通过后,给予用户访问资源的权限

WEB鉴权授权机制的分类

  • BASIC认证:一种比较老的认证方式,也是安全系数比较低的认证方式
    • 客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全
  • 基于cookie/session的认证:是WEB应用中常见的方式,实现成本也比较低
    • 用户在客户端输入用户名和密码,提交表单
    • 服务器验证用户名和密码,如果正确则生成一个session,并将session的id返回给客户端
    • 客户端将session id保存在cookie中,下次请求时会自动带上cookie
    • 服务器通过session id验证用户身份
  • 基于OAuth 2.0协议的认证:一种基于Token的认证方式
    • 用户打开客户端以后,客户端要求用户给予授权
    • 用户同意给予客户端授权
    • 客户端使用上一步获得的授权,向认证服务器申请令牌
    • 认证服务器对客户端进行认证以后,确认无误,同意发放令牌
    • 客户端使用令牌,向资源服务器申请获取资源
    • 资源服务器确认令牌无误,同意向客户端开放资源

JWT和OAuth 2.0

JWT是一种认证协议,OAuth2.0是一种授权框架
OAuth2.0授权框架,依赖于Token,而JWT则是Token生成的一种方式

JWT

  • JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式来表示声明,例如身份验证信息和授权信息。JWT通常用于验证用户身份,并为用户提供访问受保护资源的令牌
  • JWT由三部分组成:头部、载荷和签名。头部包含有关令牌类型和签名算法的信息。载荷包含声明,例如用户ID和过期时间。签名用于验证令牌的真实性
+------------------------+
|        Header          |
+------------------------+
|        Payload         |
+------------------------+
|        Signature       |
+------------------------+

OAuth 2.0

  • OAuth 2.0是一种授权机制,用于保护WEB资源并验证用户身份。OAuth 2.0用于授权第三方应用程序访问用户资源,例如用户存储在另一个服务上的照片、视频或文档
  +--------+                               +---------------+
  |        |--(A)- Authorization Request ->|   Resource    |
  |        |                               |     Owner     |
  |        |<-(B)-- Authorization Grant ---|               |
  |        |                               +---------------+
  |        |
  |        |                               +---------------+
  |        |--(C)-- Authorization Grant -->| Authorization |
  | Client |                               |     Server    |
  |        |<-(D)----- Access Token -------|               |
  |        |                               +---------------+
  |        |
  |        |                               +---------------+
  |        |--(E)----- Access Token ------>|    Resource   |
  |        |                               |     Server    |
  |        |<-(F)--- Protected Resource ---|               |
  +--------+                               +---------------+

(A) 用户打开客户端以后,客户端要求用户给予授权
(B) 用户同意给予客户端授权
© 客户端使用上一步获得的授权,向认证服务器申请令牌
(D) 认证服务器对客户端进行认证以后,确认无误,同意发放令牌
(E) 客户端使用令牌,向资源服务器申请获取资源
(F) 资源服务器确认令牌无误,同意向客户端开放资源

  • OAuth 2.0的优点:
    • 简单易用:OAuth 2.0是一种简单而易于使用的授权协议,可以轻松地将其集成到现有的应用程序中
    • 安全性:OAuth 2.0提供了一种安全的授权机制,可以保护用户的敏感信息
    • 可扩展性:OAuth 2.0是一种可扩展的协议,可以根据需要添加新的授权流程和授权类型
    • 支持多种客户端类型:OAuth 2.0支持多种客户端类型,包括WEB应用程序、桌面应用程序和移动应用程序
  • OAuth 2.0的缺点:
    • 安全性问题:OAuth 2.0存在一些安全问题,例如CSRF攻击和重定向攻击
    • 复杂性:OAuth 2.0是一种相对复杂的协议,需要开发人员具备一定的技术知识才能正确地实现它
    • 隐私问题:OAuth 2.0可能会涉及用户隐私问题,例如用户授权访问其社交媒体账户时可能会泄露其个人信息
  • OAuth 2.0包括以下授权类型:
    • 授权码模式(Authorization Code Grant)
    • 隐式授权模式(Implicit Grant)
    • 密码模式(Resource Owner Password Credentials Grant)
    • 客户端模式(Client Credentials Grant)

OAuth 2.0使用

各个模式的使用规范

  • 授权码模式(Authorization Code Grant)

这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 WEB应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏
适用场景:目前主流的第三方验证都是采用这种模式

     +----------+
     | Resource |
     |   Owner  |
     |          |
     +----------+
          ^
          |
         (B)
     +----|-----+          Client Identifier      +---------------+
     |         -+----(A)-- & Redirection URI ---->|               |
     |  User-   |                                 | Authorization |
     |  Agent  -+----(B)-- User authenticates --->|     Server    |
     |          |                                 |               |
     |         -+----(C)-- Authorization Code ---<|               |
     +-|----|---+                                 +---------------+
       |    |                                         ^      v
      (A)  (C)                                        |      |
       |    |                                         |      |
       ^    v                                         |      |
     +---------+                                      |      |
     |         |>---(D)-- Authorization Code ---------'      |
     |  Client |          & Redirection URI                  |
     |         |                                             |
     |         |<---(E)----- Access Token -------------------'
     +---------+       (w/ Optional Refresh Token)

(A) 客户端访问用户代理,后者将前者重定向到授权服务器
(B) 授权服务器认证客户端信息,并确定用户是否给予客户端授权
© 用户给予授权,授权服务器将重定向事先指定的"重定向URI"(redirection URI),同时附上授权码
(D) 客户端收到授权码,附上早先的"重定向URI",向授权服务器申请令牌(客户端后台进行,无感知)
(E) 授权服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access_token)和更新令牌(refresh_token)

  • 隐式授权模式(Implicit Grant)

适用场景:仅需临时登录、纯前台的场景,安全性低

     +----------+
     | Resource |
     |  Owner   |
     |          |
     +----------+
          ^
          |
         (B)
     +----|-----+          Client Identifier     +---------------+
     |         -+----(A)-- & Redirection URI --->|               |
     |  User-   |                                | Authorization |
     |  Agent  -|----(B)-- User authenticates -->|     Server    |
     |          |                                |               |
     |          |<---(C)--- Redirection URI ----<|               |
     |          |          with Access Token     +---------------+
     |          |            in Fragment
     |          |                                +---------------+
     |          |----(D)--- Redirection URI ---->|   Web-Hosted  |
     |          |          without Fragment      |     Client    |
     |          |                                |    Resource   |
     |     (F)  |<---(E)------- Script ---------<|               |
     |          |                                +---------------+
     +-|--------+
       |    |
      (A)  (G) Access Token
       |    |
       ^    v
     +---------+
     |         |
     |  Client |
     |         |
     +---------+

(A) 客户端重定向到授权服务器
(B) 授权服务器认证客户端信息,并确定用户是否给予客户端授权
© 如果用户授予访问权限,那么重定向事先指定的"重定向URI"(redirection URI),同时在URI的Hash部分中附上访问令牌(access_token)
(D) 浏览器通过redirection URI,向资源服务器发出请求,其中不包含上一步的Hash值
(E) 资源服务器返回一个页面,其中包含Hash值中的访问令牌
(F) 浏览器提取访问令牌
(G) 浏览器将访问令牌(access_token)传递给客户端

  • 密码模式(Resource Owner Password Credentials Grant)

如果你高度信任某个应用,也允许用户把用户名和密码,直接告诉该应用。该应用使用密码,申请令牌,这种方式称为"密码式"(password)
在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,比如客户端是操作系统的一部分,或者由一个著名公司出品。而授权服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式
适用场景:公司搭建的授权服务器

     +----------+
     | Resource |
     |  Owner   |
     |          |
     +----------+
          v
          |    Resource Owner
         (A) Password Credentials
          |
          v
     +---------+                                  +---------------+
     |         |>--(B)---- Resource Owner ------->|               |
     |         |         Password Credentials     | Authorization |
     | Client  |                                  |     Server    |
     |         |<--(C)---- Access Token ---------<|               |
     |         |    (w/ Optional Refresh Token)   |               |
     +---------+                                  +---------------+

(A) 用户向客户端提供用户名和密码
(B) 客户端将用户名和密码发给授权服务器,向后者请求令牌
© 授权服务器确认无误后,向客户端提供访问令牌

  • 客户端模式(Client Credentials Grant)

适用场景:没有前端的命令行应用,通过命令行取得令牌

     +---------+                                  +---------------+
     |         |                                  |               |
     |         |>--(A)- Client Authentication --->| Authorization |
     | Client  |                                  |     Server    |
     |         |<--(B)---- Access Token ---------<|               |
     |         |                                  |               |
     +---------+                                  +---------------+

(A) 客户端向认证服务器发起身份认证请求
(B) 认证服务器确认无误后,向客户端提供访问令牌

  • OAuth 2.0 token取得示例(以密码模式为例)
request
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=password&username=johndoe&password=A3ddj3w

response
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
  "access_token":"2YotnFZFEjr1zCsicMWpAA",
  "token_type":"example",
  "expires_in":3600,
  "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
  "example_parameter":"example_value"
}

Token的使用

在业务请求中,附带上Token,一个会话使用一个Token,后面可以通过Token来管理会话

GET /resource/1 HTTP/1.1
Host: example.com
Authorization: Bearer ${access_token}

以上实例,在请求头中,追加了Authorization属性,使用Token对业务请求进行了标记

Token的刷新

access_token是存在有效期的,通过refresh_token机制,可以实现永动机的效果

  +--------+                                           +---------------+
  |        |--(A)------- Authorization Grant --------->|               |
  |        |                                           |               |
  |        |<-(B)----------- Access Token -------------|               |
  |        |               & Refresh Token             |               |
  |        |                                           |               |
  |        |                            +----------+   |               |
  |        |--(C)---- Access Token ---->|          |   |               |
  |        |                            |          |   |               |
  |        |<-(D)- Protected Resource --| Resource |   | Authorization |
  | Client |                            |  Server  |   |     Server    |
  |        |--(E)---- Access Token ---->|          |   |               |
  |        |                            |          |   |               |
  |        |<-(F)- Invalid Token Error -|          |   |               |
  |        |                            +----------+   |               |
  |        |                                           |               |
  |        |--(G)----------- Refresh Token ----------->|               |
  |        |                                           |               |
  |        |<-(H)----------- Access Token -------------|               |
  +--------+           & Optional Refresh Token        +---------------+

(A) 客户端向授权服务器发起请求
(B) 授权服务器在认证成功和取得授权后,返回access_token和refresh_token
© 客户端通过access_token向资源服务器发起请求
(D) 资源服务器验证access_token是否有效,如果有效,那么把相应资源返回给客户端
(E) 重复步骤©和步骤(D)直到access_token过期,如果过期了,那么跳转到步骤(G)
(F) 如果access_token过期,那么资源服务器返回非法token的错误消息
(G) 客户端使用refresh_token,向授权服务器发起请求
(H) 授权服务器对客户端进行认证和验证refresh_token值以后,如果有效,那么向客户端返回一个新的access_token和refresh_token

总结

OAuth2.0框架,提供了不同安全等级、不同使用场景的认证授权方式,可以根据不同的业务场景,灵活应用
同时,市面上,也有很多开源组织针对OAuth2.0框架进行了开发,可以很方便的把OAuth2.0框架引入到自主产品中,提升自主产品的安全性

参考文档:https://datatracker.ietf.org/doc/html/rfc6749

宴西楼
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
winform调用webapi获取Token授权案例,webapi使用oauth2.0限控制
03-01
本案例主要涉及如何在WinForm应用通过HttpClient调用使用OAuth2.0授权WebAPI接口。OAuth2.0是一种广泛采用的授权框架,用于安全地授予第三方应用访问用户资源的限,而无需共享用户凭据。 首先,让我们深入...
《开放平台方式详解:OAuth 2.0、API Key、HTTP Basic Authentication》
weixin_42233867的博客
04-22 3786
当今开放平台已经成为了很多应用程序的核心,如何在保证用户数据安全的前提下,为第三方应用程序提供必要的数据访问限,是开放平台方式设计的关键问题之一。本文将从OAuth 2.0API Key和三个方面来介绍开放平台主要方式。
OAuth 2.0的实现(Spring_Security_Oauth2)
qq_25156781的博客
01-28 2353
可以理解为客户端和服务器之间的一次私密谈话,在一次对话可能会有多个请求和响应;同时要具有别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
SpringCloud之SSO单点登录-基于Gateway和OAuth2的跨系统统一认证和详解
最新发布
踏雨歌青春,诗酒趁年华
05-29 1万+
本文详述了如何利用SpringCloud、Gateway和OAuth2实现跨系统的统一认证和。文章介绍了SSO单点登录的概念和优势,通过具体的配置和代码示例,讲解了如何搭建一个安全、高效的认证心,实现用户只需一次登录即可访问多个系统的目标,从而提高系统安全性和用户体验。
(四)Spring Security Oauth2.0 源码分析--客户端端(token校验)
Instanceztt的博客
12-06 2755
在上篇文章我们分析了token的获取过程,那么拿到token后,将token放在请求头进行资源的访问,客户端是如如何对token进行解析的呢,本文带你走进token校验的源码解析,基本流程如下所示 请求被FilterChainProxy拦截到(ps:通过前面的文章查看其底层原理),通过作为限校验的入口进行token校验 三 认证服务器根据token 1 首先进入BasicAuthenticationFilter,对clientId进行校验(这里不做分析 参考上篇文章) 2、然后进入Che
OAuth2认证请求头的authorization从哪里来的
houjx3的博客
11-23 333
Oauth2的登录接口oauth/token, 在请求头里有个 authorization: Basic
初次尝试http OAuth2验证的请求
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
11-28 339
内容格式如上图,Basic +base64编码(clientid:secret id)用客户端id+秘钥 获取token---》后面的请求带上token。
一种基于OAuth2.0的微服务电力系统授权方案.pdf
08-28
OAuth2.0是一种开放的协议,为桌面程序或者Web应用提供了一种简单的、标准的方式去访问受保护的资源。OAuth 认证授权具有简单、安全、开放的特点。OAuth 2.0 关注客户端开发者的简易性,同时为 Web 应用、桌面应用和...
oauth2.0例子
06-12
在这个"oauth2.0例子",我们有两个项目——tonr 和 sparklr,它们展示了OAuth 2.0在实际应用,特别是用于实现和单点登录(Single Sign-On, SSO)功能。 首先,让我们深入了解OAuth 2.0的基本概念。OAuth ...
thinkphp5-restfulapi:restful-api风格接口 APP接口 APP接口oauth2.0 接口版本管理 接口
05-06
ThinkPHP restfulapi基于ThinkPHP5.1* 基础上开发的一个简单...www WEB部署目录(或者子目录)==├─application 应用目录│ ├─common 公共模块目录(可以更改)│ ├─api 接口目录│ │ ├─controller 控制器目录
轻量级Java限认证框架,主要解决登录认证、限认证、单点登录、OAuth2.0、分布式Sesson会话、微服务网关等问题
04-11
—— 登录认证、限认证、分布式Session会话、微服务网关、单点登录、OAuth2.0 Sa-Token 是一个轻量级 Java 限认证框架,主要解决:登录认证、限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关...
springsecurity oauth2.0 基于session的认证授权(intercepter拦截器)2
健康平安的活着的专栏
07-31 2241
一 基于session的认证流程 1.1 认证流程 基于session的认证流程为: 用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发 给客户端的 sesssion_id 存放到 cookie ,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户退出系统或session过期销毁时,客户端的session_id也就无效了。 流程如下: 基于Session的认证机制由Servlet规范定制.
oauth2.0,登录访问 “/oauth/token”,请求头Authorization(basicToken)如何取值???
君临天下tjm的博客
06-30 4753
springcloud项目通常使用oauth2.0做管理微服务模块,当使用grantType="password"和jwt存储token时,需要设置clientId和clientSecret,这两个值可以随便取,配置在application.yml文件里面。访问 “/oauth/token”,参数@RequestHeader("Authorization")的取值是Basic开头,加空格,加clientId:clientSecret格式进行base64加密后的字符串。 在做用户登录的时候,需要传入us
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 8551
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
记一次OAuth2.0用户
Karka_的博客
12-25 989
我们平时登录不同的平台,总会有使用到Token的场景,比如用github账户登录掘金,这个时候我们肯定不会把自己的github账号密码给掘金, OAuth 就是这样一套机制,用于各种免密授权登录场景,在便利的同时保证安全性,其实就是向平台申请token授权。笔者最近在用spotify API二次开发自己的应用,所以也碰到用户登录的场景,踩坑蛮多,也学到很多,所以整理下来,希望能帮助到大家🤗。
白话OAuth2用户认证及标准流程
字母哥博客
12-09 2045
一、OAuth2需求场景 在说明OAuth2需求及使用场景之前,需要先介绍一下OAuth2授权流程的各种角色: 资源拥有者(User) - 指应用的用户 认证服务器 (Authorization Server) - 提供登录认证接口的服务器,比如:github等 资源服务器 (Resources Server) - 提供资源接口及服务的服务器,通常和认证服务器是同一个应用。 第三方客户端(C...
网关集成OAuth2实现统一认证
weixin_56421576的博客
08-02 1332
oauth2认证
SpringSecurity——OAuth2框架实现源码分析
weixin_56039103的博客
12-30 1302
这个过滤器下涉及到的类有以下12个类,大致作用是从请求提取authentication,从authentication获取token,判断是否为空,是否有效,是否过期。在springSecurityFilterChain过滤器链,首先初始化一个FilterChainProxy过滤器链代理对象,在这个过滤器链代理对象有一个过滤器链集合,每一个过滤器链都有一组过滤器来处理不同的请求。其的第五条过滤器链springSecurityFilterChain是本文要讨论的对象。
Oauth2.0的安全运行是否必须使用Https协议?官方总结的安全问题有哪些?(附英文文档分析)
goldenlavabao的博客
04-17 3319
Oauth2.0的user-agent不使用Https也很安全的错觉?
基于springboot+oauth2.0+jwttoken认证开发的后台接口
08-17
基于Spring Boot、OAuth2.0和JWT Token认证开发的后台接口是一种使用现代化技术实现的身份验证和授权机制。下面是关于这种后台接口的一些说明: 首先,Spring Boot是一个基于Spring框架的快速开发框架,提供了简化的配置和自动化的特性,使开发者能够更快速高效地开发后台接口。 OAuth2.0是一种开放标准的授权协议,它允许用户授权第三方应用访问他们在资源拥有者上存储的信息,而不需要将用户名和密码提供给第三方。 JWT Token(JSON Web Token)是一种用于在网络应用间安全传递声明的一种方式。它被用作身份验证和授权的令牌,通过加密并以JSON格式存储信息,确保信息的完整性和安全性。 基于以上技术,我们可以开发出具有强大安全认证能力的后台接口。首先,用户在访问接口时,需要提供他们的身份证明,这可以是用户名和密码。接口服务器会使用OAuth2.0协议进行身份验证,并颁发JWT Token给用户。用户在未来的请求,可以使用该Token进行身份验证,而无需每次都提供用户名和密码。 接口服务器会对JWT Token进行验证,以确保Token的完整性和有效性。如果Token失效或被伪造,访问将被拒绝。如果验证通过,接口服务器会正常处理用户的请求。 使用Spring Boot和OAuth2.0进行开发,可以方便地设置限和角色。可以根据用户的角色和限,限制他们对某些资源的访问。 总之,基于Spring Boot、OAuth2.0和JWT Token认证开发的后台接口提供了一种安全可靠的身份验证和授权机制,能够有效保护后台接口的安全性,防止非法访问和数据泄露。这种技术组合在开发现代化的网络应用时非常有用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值