Oauth2系列5:客户端凭据模式

已于 2022-07-09 18:07:30 修改
阅读量1.9k 收藏 3
点赞数 1
分类专栏: JAVA 不得不学 一块学习分布式 文章标签: 大数据 java
于 2022-07-09 16:41:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weigeshikebi/article/details/125629388
版权

传送门

Oauth2系列1:初识Oauth2

Oauth2系列2:授权码模式

Oauth2系列3:接入前准备

Oauth2系列4:密码模式

在前面几节,对oauth2有了一个初步概念。这里重点讨论下客户端凭据

猝不及防的热

这几天真的有点热,又是在顶楼,更是热上加热。又舍不得开空调,只得干熬着。就像之前很火的一首歌岁月时脑里唱着

是让人猝不及防的东西

征不过朝夕

有念着往昔

热不会放过任何人

不由得记得刚毕业时,和同学合租在拱墅区南霸的农民房里,也是顶楼,没有空调,晚上热的受不了,就把床立起来,睡地上。还是热,大半夜上顶楼打地铺。

时间是让人猝不及防的东西

征不过朝夕

有念着往昔

时间不会放过任何人

年轻的时候真好!!!那时候虽什么都没有,但也没有现在的种种焦虑,身体好,体力好,做事有激情,更好的是有一个虽分隔千里,现在还在联系的朋友!

容我滥情了一把

什么是客户端凭据模式

在前面介绍过授权码模式密码模式这2种模式,客户端凭据模式也是oauth2的4种标准协议之一

客户端凭证(client credentials)

最后一种方式是凭证式(client credentials),适用于没有前端的命令行应用,即在命令行下请求令牌。

应用场景

客户端凭据模式主要应用于后端系统之间需要直接通信,但是没有用户参与的场景。比如某些开放平台,允许注册应用获取一些平台公共资源,比如平台的介绍信息,注册应用本身的信息,这些理论上是不需要用户进行授权的,而且也跟用户没有归属关系,这个时候就可以使用此模式

客户端凭据模式的目的,最终还是获取授权的令牌:如果每次都是拿着凭据来通过调用 Web API 的方式,来访问资源信息等,在调用这么多 API 的情况下,无疑增加了敏感信息的攻击面。如果是使用了 token 来代替这些“满天飞”的敏感信息,不就能很大程度上保护敏感信息数据了吗?这样,客户端只需要使用一次凭据数据来换回一个 token,进而通过 token 来访问资源数据,以后就不会再使用凭据了。

 客户端凭据模式流程

客户端凭据模式的流程其实跟密码模式相似,整个流程可以归纳为一种步骤:第三方系统通过凭据获取令牌。那么对于系统接口设计来说,是不是一个API接口就可以满足呢?

其实是可以的,比如可以如下定义接口:

URL:http://oauth.x.com/token

请求方式:POST

请求参数:

字段说明
grantTypeclient_credentials,固定值,表示客户端凭据模式
clientId客户端 ID(client ID)
clientSecret客户端密钥(client secret)

返回参数:

{ 
"access_token":"ACCESS_TOKEN", 
"expires_in":7200, 
"refresh_token":"REFRESH_TOKEN",
"scope":"SCOPE"
}

  • 这个接口一般是从后端发起POST请求
  • 出于安全,一般需要设置成HTTPS协议 
  • 这里面还要讨论一下,对于返回的token数据结构,对于刷新令牌来说,不是必要的,因为本身就是API接口调用,客户端可以随时调用,且不需要用户参与,所以refresh_token不一定要生成返回

kobe_t
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Spring OAuth2 之客户端凭证模式演示
oscar999的专栏
07-27 653
**客户端凭证模式(Client Credentials Grant)**:适用于客户端访问自己的资源的情况,而不是代表用户访问资源。 客户端应用程序使用其自身的凭证(即客户端ID和客户端密钥)直接向身份验证服务器进行身份验证,并获取访问令牌。此授权方式不涉及用户,因为它只允许客户端访问自己的资源。 本篇基于Spring OAuth2 认证服务器演示如何进行客户端凭证模式的认证
Javaoauth2.0 服务端与客户端的实现 (完整源码、demo)
10-01
Javaoauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:oauthserver和oauthclient01,分别对应oauth服务端和客户端。 服务端对应的数据库sql文件在源码压缩包里可以看到。 两个项目分别用8082端口(服务端端口)和8081端口(客户端端口)部署并启动。 输入客户端地址:http://localhost:8081/oauthclient01/index,点击到服务端请求资源,就可以得到服务端的资源。
OAuth2.0认证和授权原理(续)
weixin_34194702的博客
10-16 265
2019独角兽企业重金招聘Python工程师标准>>> ...
OAuth2.0 四种模式
最新发布
m0_60492092的博客
06-28 774
优点:access_token不会经过浏览器或移动端的App,而是直接从服务端去交换,这样就最大限度的减小了令牌泄漏的风险,安全性高。优点:不需要多次请求转发,额外开销,同时可以获取更多的用户信息。缺点:安全性无法保障,需要授权应用完全信任,且授权应用安全可靠。缺点:没有后台,授权码暴露在前端,安全性无法保障。缺点:局限性,认证服务器和应用方必须有超高的信赖。优点:无用户参与,过程简单。
Spring Security OAuth2 Demo —— 客户端模式(ClientCredentials)
拾级而上
12-14 1299
前情回顾 前几节分享了OAuth2的流程与其它三种授权模式,这几种授权模式复杂程度由大至小:授权码模式 > 隐式授权模式 > 密码模式 > 客户端模式 本文要讲的是最后一种也是最简单的模式客户端模式 其中客户端模式的流程是:客户端使用授权服器给的标识与secret访问资源服务器获取token 本文目标 编写与说明密码模式的Spring Security Oauth2的...
认证授权:OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3409
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密码提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
OAuth2.0 - 简化模式、密码模式客户端模式讲解
小毕超博客
01-16 8879
一、OAuth2.0 在上篇文章中我们已经对OAuth2.0 做了讲解,以及授权码模式的认证过程,并且搭建了简单的认证服务和资源服务,由于上篇文章中我们只对授权码模式这一种认证登录模式做了讲解,本篇文章对简化模式、密码模式客户端模式这三种模式进行下演示和讲解,下面是上篇文章的地址: https://blog.csdn.net/qq_43692950/article/details/122521392 上篇文章的配制中,我们已经将所有的模式都放开给了c1这个客户id,所以在下面模式的演示中我们直接使用上
SpringSecurityOauth2(四种模式
justlpf的专栏
04-14 1567
说明:客户端直接通过客户端认证(比如client_id和client_secret)从认证服务器获取访问令牌。说明:客户端直接向用户获取账号密码(不安全),之后向授权服务器获取token。说明:正宗的oauth模式,先获取授权码,在通过授权码获取token。.0是目前流行的授权机制,用于授权第三方应用,获取数据。说明 :和授权模式相比取消了授权过程,直接获取token。​​后,授权中心会要求资源所有者进行身份验证。​​,回调路径会,回调路径携带着令牌。当请求到达授权中心​​。
OAuth2四种模式介绍+项目实战
What大潘的博客
04-02 4886
OAuth2入门案例,带你快速了解OAuth2的四种模式和使用场景
oauth2-google:OAuth 2.0客户端的Google提供程序
02-04
适用于OAuth 2.0客户端的Google提供程序 该软件包为PHP League的提供了Google OAuth 2.0支持。 该软件包与 ,和兼容。 如果您发现合规性疏忽,请通过请求请求发送补丁。 要求 支持以下版本PHP。 PHP 7.0 PHP 7.1...
OAuth2-Client:Google Oauth2客户端
05-18
该库支持以下OAuth2客户端提供商 谷歌 Facebook-(在dev上) Linkedin-(在dev上) 安装 将库添加到您的composer.json文件中: " require " : { " samanthajayasinghe/oauth2-client " : " dev " }
oauth2_client:Erlang OAuth2客户端
05-18
Oauth2客户端 该库旨在简化对启用了Oauth2的REST服务的使用。 它包装了一个restclient,并在需要时负责重新认证过期的access_token。 流量 已实现的流程是: 客户证书授予 资源所有者密码凭证授予 例子 使用密码...
spring-oauth-client:客户端
05-12
it is the oauth2 client demos. 项目用Maven管理 使用的技术与版本号 JDK (1.7.0_40) Spring (4.1.6.RELEASE) Spring MVC (4.1.6.RELEASE) HttpClient (4.3.5) json-lib (2.4) Log4j (1.2.14) 前端使用的技术与...
oauth2-salesforce:OAuth 2.0 客户端的 Salesforce 提供商
05-30
用法与 The League 的 OAuth 客户端相同,使用\Stevenmaguire\OAuth2\Client\Provider\Salesforce作为提供者。 授权码流程 $ provider = new Stevenmaguire \ OAuth2 \ Client \ Provider \ Salesforce ([ '...
如何拿到阿里offer的?面试流程及面试题
热门推荐
weigeshikebi的博客
08-19 3万+
一个偶然的开始 交待一下(非广告),第一次用拉勾,感觉做的挺好,以前一直用51job。 从7月分开始,打算找工作,一个偶然的机会,拉勾上一个蚂蚁金服的同学找到我,说要内推,在此感谢姚同学! 然后就开始了蚂蚁金服的面试之旅。 面试流程 把简历发过去之后,就收到了邮件通知,10个工作日联系我,请耐心等待。 一面 没过2天就接到一个杭州的座机,说要约我进行电话面试,效率还是挺高,然后当天晚...
java字符串处理replace与replaceAll的坑
weigeshikebi的博客
06-06 1万+
今天公司线上出了一个bug,发送短信的内容中,点位符替换错误,原因就是字符串的replace方法短信模板类似:{$var}您好:您办理的{$var}业务已到期,请处理!模板中变量{$var}用参数替数组换掉,比如{"张三","人人有功练"}看下原代码处理@Test public void testReplace() { String context = "{$var}您好:...
系统吞吐量基本概念
weigeshikebi的博客
01-29 9386
考考你 如果愿意看下去,不妨试着回答2个问题 什么是QPS 你所在的系统QPS是多少 犹还记得当时面试时,这2个问题懵逼了。 我们当时做的系统,一个机构管理系统(甚至很多是单机部署的),没什么大的访问量,也没有准确的数据、工具去统计。 开发一个接口,功能测试完成,就发布上线了,也不会考虑什么QPS。就像下面这样 系统吞吐量 很明显,在现在的稍微大一点的网站中,上面这种单机架构是很...
Oauth2系列2:授权码模式
weigeshikebi的博客
05-22 8828
Oauth2系列2:授权码模式
Spring Security的OAuth2 passwod模式
06-01
Spring Security的OAuth2支持四种授权模式,其中一种是密码模式(password grant type)。密码模式是指客户端(也就是应用程序)使用用户的用户名和密码直接向OAuth2服务器请求访问令牌(access token)。 密码模式的使用场景比较特殊,因为它需要客户端直接持有用户凭据。通常情况下,OAuth2更多地是用于第三方应用程序访问受保护的资源,而不是直接访问用户的凭据。因此,在使用密码模式时,需要特别注意安全问题。 以下是使用Spring Security实现密码模式的简要步骤: 1. 配置OAuth2客户端信息:在Spring Security配置文件中,使用`ClientDetailsServiceConfigurer`配置客户端信息,包括客户端ID、客户端密码等。 2. 配置OAuth2授权服务器:使用`AuthorizationServerConfigurer`配置OAuth2授权服务器,包括令牌存储、授权类型等。 3. 配置资源服务器:使用`ResourceServerConfigurer`配置资源服务器,包括受保护的资源、访问规则等。 4. 在客户端中请求访问令牌:客户端通过向授权服务器发送POST请求,包括用户名、密码等信息,请求访问令牌。 5. 使用访问令牌访问受保护的资源:客户端使用访问令牌访问受保护的资源。 以上是使用Spring Security实现密码模式的一般步骤,具体实现可能会因为不同的业务需求而有所不同。需要注意的是,密码模式需要客户端直接持有用户凭据,因此需要特别注意安全问题,确保用户的凭据不会被泄露。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值