Oauth2系列6:隐式模式

已于 2022-07-30 15:32:50 修改
阅读量1.3k 收藏
点赞数
分类专栏: 一块学习分布式 不得不学 JAVA 文章标签: 安全
于 2022-07-30 14:08:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weigeshikebi/article/details/125832795
版权

传送门

Oauth2系列1:初识Oauth2

Oauth2系列2:授权码模式

Oauth2系列3:接入前准备

Oauth2系列4:密码模式

Oauth2系列5:客户端凭据模式

在前面几节,介绍了Oauth2的授权码,密码,客户端凭据模式。这里讨论下最后一种隐式模式,也是最不安全的一种

程序员真的晚景凄凉?

请允许稍微标题党一次。一点感慨,最近大环境不好,裁员之声不绝于耳,再加上疫情影响,以现在这种高压态势,短时间也很恢复。

哀民生之多艰!

程序员的出路在哪?当然不是买课,也不是外卖。

夯实基础吧,操作系统/网络/数据结构与算法/计算机组成原理,静待花开,静待转机的到来!

什么是隐式模式

定义

有些 Web 应用是纯前端应用,没有后端。这时就不能用上面的方式了,必须将令牌储存在前端。RFC 6749 就规定了第二种方式,允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)"隐藏式"(implicit)。

应用场景

从定义里面可知,对于没有后端服务的应用,可以采用隐藏式,直接颁发token。这里主要的原因是,如果没有后端服务,一般意味着也没有对应的系统存储服务,或者不安全,所以不能存储证明应用身份的clientSecret

clientSecret客户端密钥(client secret)

整个获取token的示意流程如下

隐藏模式的目的,最终还是获取授权的令牌:由于没有后端服务,所以也不存在敏感信息保护,并且此时的获取令牌也只能通过前端信道交互。

隐式模式流程 

隐式模式的流程其实跟密码模式,客户端凭据模式相似,整个流程都是归纳为一种步骤:第三方系统通过凭据获取令牌,只是这里凭据只有一个client_id而已。那么对于系统接口设计来说,是不是一个API接口就可以满足呢?

其实是可以的,比如可以如下定义接口:

URL:http://oauth.x.com/authorize?response_type=token&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&state=UUID

请求方式:GET

请求参数:

字段说明
response_type固定token,表示要求直接返回令牌。
client_id客户端 ID(client ID)
redirect_uriredirect_uri参数指定的跳转网址,必须跟尝试用注册时的保持一致
state用于保持请求和回调的状态,授权请求后原样带回给第三方。该参数可用于防止 csrf 攻击(跨站请求伪造攻击),建议第三方带上该参数

返回参数:

{ 
"access_token":"ACCESS_TOKEN", 
"expires_in":720, 
"refresh_token":"REFRESH_TOKEN",
"scope":"SCOPE"
}
  • 但是这里有需要特别注意的地方,一般情况下,是不建议使用此模式的,因为非常不安全,如果有特殊需求,可以使用变体的PKCE 的授权码模式
  • 隐藏模式获取token是通过的前端信道,也即是GET请求,并且服务端采用重定向的方式回传token信息,所以请求里面一定要带上redirect_uri
  • 服务端的回传一般是http://a.com/callback#token=ACCESS_TOKEN这种形式,所以令牌的位置是 URL 锚点(fragment),而不是查询字符串(querystring),这是因为 OAuth 2.0 允许跳转网址是 HTTP 协议,因此存在"中间人攻击"的风险,而浏览器跳转时,锚点不会发到服务器,就减少了泄漏令牌的风险
  • 同第一点,这种方式把令牌直接传给前端,是很不安全的。因此,只能用于一些安全要求不高的场景,并且令牌的有效期必须非常短,通常就是会话期间(session)有效,浏览器关掉,令牌就失效了。
  • 刷新令牌也是不需要的
kobe_t
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Oauth2请求不带client_id,获取方法】
ShayneLee8的博客
06-12 1058
这段时间在学习 oauth2, 发现我组用的框架,登录请求参数中并没有 client_id ,但是后台逻辑确实关联到了 client 信息。
OAuth2的使用场景、常见误区、使用案例
qq_53578500的博客
08-03 1331
Resource Owner Password Credentials Grant(资源所有者密码凭据许可)Implicit Grant(隐式许可)Authorization Code Grant(授权码许可)还有一种叫做Client credentials ,用的较少,文章没有涉及。资源所有者 : 就是上文中的用户资源服务器 :即网易邮箱客户端: 就是上文的信用卡管家授权服务器 : 即上文的网易认证中心码农小胖哥、《码农翻身》............
6.网络编程-OAuth 2.0
最新发布
qq_22321199的专栏
04-08 970
有些 Web 应用是纯前端应用,没有后端。:用户在第三方应用中选择使用OAuth登录,被重定向到授权服务器,用户在授权服务器的页面上确认授权请求,并通过授权服务器返回一个授权码(Authorization Code)给第三方应用。:第三方应用使用授权码和自己的客户端凭据(客户端ID和客户端密钥),向授权服务器发起请求,换取访问令牌(Access Token)和可选的刷新令牌(Refresh Token)。第三方应用使用刷新令牌向授权服务器请求新的访问令牌,无需用户再次授权,以保持对资源的长期访问权限。
(四)OAuth 2.0 隐式授权模式(Implicit)
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 1685
前言 隐式授权模式要求:用户登录并对第三方应用进行授权,直接返回访问token,通过token访问资源。相比授权码模式,它少了一次授权码的颁发与客户端使用授权码换取token的过程。 隐式授权模式适用场景 适用场景有以下几个条件: 用户参与:使用隐式授权需要与用户交互,用户对授权服务器进行登录与授权。 单页应用:SPA前端,没有后端或者后端属于授权方。 客户端密码:访问授权时,不需要带第三方应用secret,前提是资源服务校验token使用的client信息与客户端(第三方应用)不同,且配置了secret
spring中如何实现参数隐式传递_Spring Security OAuth2 Demo —— 隐式授权模式(Implicit)...
weixin_39893042的博客
12-24 317
本文可以转载,但请注明出处https://www.cnblogs.com/hellxz/p/oauth2_impilit_pattern.html写在前面在文章OAuth 2.0 概念及授权流程梳理 中我们谈到OAuth 2.0的概念与流程,上一篇文章Spring Security OAuth2 Demo —— 授权码模式简单演示了OAuth2的授权码模式流程,本文继续整理隐式授权模式相关内容写文...
OAuth2:四种授权方式
Leon_Jinhai_Sun的博客
07-30 1919
OAuth2:四种授权方式
azure-oauth.js:使用隐式流在浏览器上获取和缓存 Azure OAuth 访问令牌的 JavaScript 库
06-06
隐式授权流是 OAuth2 的一种模式,特别适合单页应用程序(SPA),因为它们在客户端运行,无法安全存储机密信息。在这种模式下,访问令牌直接在响应的 URL 中返回,而不是通过授权服务器与客户端应用之间的后端通信。...
springboot-oauth2-server:一个简单的Oauth2服务器,它使用springboot配置了JWT
02-19
OAuth2是一种授权框架,它定义了四种授权类型:授权码(Authorization Code)、隐式(Implicit)、密码(Resource Owner Password Credentials)和客户端凭证(Client Credentials)。在这个项目中,我们可能主要...
aerogear-ios-oauth2:OAuth2OpenID Connect的客户端库
02-04
aerogear-ios-oauth2 基于OAuth2客户端。 项目信息 执照: Apache许可证,版本2.0 建立: 可可豆 朗格格: 斯威夫特4 说明文件: 问题追踪器: 邮件列表: () () 表中的内容 产品特点 多个OAuth2帐户...
oauth:oauth2项目
03-31
Spring Security OAuth2提供了客户端、授权服务器和资源服务器的配置和支持,包括各种授权类型(如授权码模式隐式模式、客户端凭据模式等)和刷新令牌功能。 在这个"oauth:oauth2项目"中,可能包含了以下组件和...
详解laravel passport OAuth2.0的4种模式
10-16
2. **隐式授权模式(Implicit Grant)** 隐式授权模式与授权码模式相似,但不返回授权码,而是直接在重定向URL中通过hash参数传递access_token。适用于单页应用(SPA),因为在这种模式下,access_token直接在...
[Oauth] OAuth 2.1废弃隐式验证方式
程序员老狼专注开发aigc或客服系统应用
04-17 300
oauth2.0中的隐式模式是下面这样的 , 直接通过前端页面访问授权服务获取token , 授权服务直接重定向回去 , 在浏览器//域名/回调url#access_token 把token以url哈希的形式 , 在#后面带回去了 这种方式非常不安全 , token容易泄露 一般的流程是在申请应用的地方 , 会自动生成client_id , 并且让填一个回调地址 , 那这俩参...
微服务应用之OAuth2.0的四种授权方式
weixin_45974176的博客
09-26 3865
看完你就会懂oauth2.0的四种授权方式是如何工作的了
OAuth 2.0授权框架中文版 [4.2] - 隐式授权模式
李浩好好学习
10-30 1345
OAuth 2.0授权框架中文版 [4.2] - 隐式授权模式4.2 隐式授权模式 - Implicit Grant4.2.1 授权请求 - Authorization Request4.2.2 访问令牌响应 - Access Token Response4.2.2.1 错误响应- Error Response 4.2 隐式授权模式 - Implicit Grant 隐式授权模式用于获取访问令牌(不支持签发刷新令牌),并且对操作特定重定向URI的公共客户端进行了优化,这类的客户端一般使用类似JavaScri
oauth2.0及oauth2-server 库在thinkphp6中的使用
qq_37521420的博客
08-27 2744
1.OAuth2.0 OAuth2.0 定义了四个角色 Client:客户端,第三方应用程序。Resource Owner:资源所有者,授权 Client 访问其帐户的用户。Authorization server:授权服务器,服务商专用于处理用户授权认证的服务器。Resource server:资源服务器,服务商用于存放用户受保护资源的服务器,它可以与授权服务器是同一台服务器,也可以是不同的服务器。 oauth2-server Access token:用于访问受保护资源的令牌。Author
OAuth2.0 与 oauth2-server 库的使用
u012467744的博客
01-23 1677
OAuth2.0 与 oauth2-server 库的使用 作者:baiyi链接:https://www.jianshu.com/p/83b0f6d82d6c來源:简书 OAuth2.0 是关于授权的开放网络标准,它允许用户已第三方应用获取该用户在某一网站的私密资源,而无需提供用户名与密码,目前已在全世界得到广泛应用。 league/oauth2...
认证授权:OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3733
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密码提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
OAuth 2.0入门和协议流程,授权模式包括授权码模式、简化(隐式模式和密码模式
qq_73126462的博客
01-28 1189
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版用户可以通过选择其他登录方式来使用gitee,这里就使用到了第三方认证。来自RFC 6749OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。
OAuth2.0的简要介绍和四种授权方式
Aprilyang42的博客
07-19 613
OAuthOAuth含义OAuth授权方式介绍第一种授权方式:授权码第三种方式:密码式第四种方式:凭证式刷新令牌 OAuth含义 OAuth是一种授权机制,数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的令牌(token)用来代替密码,供第三方应用使用。 令牌和密码的作用是一样的,都可以进入系统,但有三点差异: 1.令牌是短期的,到期会自动失效,用户无法修改。密码一般长期有效,用户不修改,就不会发生变化。 2. 令牌可以被数据所有者撤销,会立即失效。 3. 令牌有权限范
oauth2,手册api.
02-21
oauth2,手册api.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值