OAuth2.0学习(1-6)授权方式3-密码模式(Resource Owner Password Credentials Grant)

最新推荐文章于 2022-05-13 17:07:51 发布
最新推荐文章于 2022-05-13 17:07:51 发布
阅读量573 收藏
点赞数
文章标签: json 操作系统

授权方式3-密码模式(Resource Owner Password Credentials Grant)

密码模式(Resource Owner Password Credentials Grant)中,用户向客户端提供自己的用户名和密码。客户端使用这些信息,向"服务商提供商"索要授权。

在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,比如客户端是操作系统的一部分,或者由一个著名公司出品。而认证服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式。

密码模式

它的步骤如下:

(A)用户向客户端提供用户名和密码。

(B)客户端将用户名和密码发给认证服务器,向后者请求令牌。

(C)认证服务器确认无误后,向客户端提供访问令牌。

B步骤中,客户端发出的HTTP请求,包含以下参数:

  • grant_type:表示授权类型,此处的值固定为"password",必选项。
  • username:表示用户名,必选项。
  • password:表示用户的密码,必选项。
  • scope:表示权限范围,可选项。

下面是一个例子。


     POST /token HTTP/1.1
     Host: server.example.com
     Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
     Content-Type: application/x-www-form-urlencoded

     grant_type=password&username=johndoe&password=A3ddj3w

C步骤中,认证服务器向客户端发送访问令牌,下面是一个例子。


     HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" }

整个过程中,客户端不得保存用户的密码。

weixin_33805557
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oauth password模式_OAuth2.0系列之密码模式实践教程(四)
weixin_39597868的博客
12-22 509
@OAuth2.0系列博客:1、密码模式简介1.1 前言简介在上一篇文章中我们学习OAuth2的一些基本概念,对OAuth2有了基本的认识,接着学习OAuth2.0授权模式中的密码模式ps:OAuth2.0授权模式可以分为:授权模式(authorization code)简化模式(implicit)密码模式(resource owner password credentials)客户端模式(...
OAuth2.0 密码模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
[转]OAuth 2.0 筆記 (4.3) Resource Owner Password Credentials Grant Flow 細節
CurrentJ
08-19 156
OAuth 2.0 筆記 (4.3) Resource Owner Password Credentials Grant Flow 細節 Sep 30, 2013 在 Resource Owner Password Credentials Grant Flow 流程裡, Resource Owner 自己的帳號密碼會直接用來當做 Authorization Grant ,並傳遞給 Autho...
OAuth密码模式说明(resource owner password credentials
dianguanqu8609的博客
04-08 298
用户向客户端(third party application)提供用户名和密码。 客户端将用户名和密码发给认证服务器(Authorization server),向后者请求令牌(token)。 认证服务器确认无误后,向客户端提供访问令牌。 客户端持令牌(token)访问资源。 转载于:https://www.cnblogs.com/Jerrycjc/p/6681972.h...
Resource Owner Password Credentials Grant 部分理解
12-14 386
资源拥有者密码证书授权 RFC6749描述 这个玩意适用于信任的应用程序或者操作系统 相关文章 http://leastprivilege.com/2013/11/13/embedding-a-simple-usernamepassword-authorization...
Oauth2.0(六):Resource Owner Password Credentials 授权和 Client Credentials 授权
05-23 317
  这两种简称 Password 方式和 Client 方式吧,都只适用于应用是受信任的场景。一个典型的例子是同一个企业内部的不同产品要使用本企业的 Oauth2.0 体系。在有些情况下,产品希望能够定制化授权页面。由于是同个企业,不需要向用户展示“xxx将获取以下权限”等字样并询问用户的授权意向,而只需进行用户的身份认证即可。这个时候,由具体的产品团队开发定制化的授权界面,接收用户输入...
OAuth2.0中文译本和授权框架等3本.zip
03-05
- **密码流程(Resource Owner Password Credentials Grant)**:客户端直接获取用户密码,不推荐,因为涉及敏感信息。 - **客户端凭证流程(Client Credentials Grant)**:适用于服务器之间的通信,客户端用其自身...
zifangsky-OAuth2.0Demo-master.zip
03-14
- 密码凭据流程(Resource Owner Password Credentials Grant) 在这个"OAuth2.0Demo"项目中,你可能找到以下内容: - 服务端代码实现,包括用户认证、授权处理、令牌发放和验证等模块。 - 客户端代码示例,展示...
Spring cloud Oauth2的密码模式数据库方式实现登录授权验证
12-09
密码模式Resource Owner Password Credentials Grant)是OAuth2中的一种授权类型,它允许用户直接将用户名和密码传递给授权服务器以获取访问令牌。 在Spring Cloud OAuth2中,我们需要配置以下几个关键组件: 1....
cerber-oauth2-provider:RFC 6749 OAuth 2.0授权框架的Clojure实现(OAuth2提供程序)
01-29
1. **端点支持**:cerber-oauth2-provider实现了OAuth 2.0规范中的关键端点,包括授权端点(Authorization Endpoint)、令牌端点(Token Endpoint)、刷新令牌端点(Refresh Token Endpoint)和资源所有者密码凭据...
使用Resource Owner Password Credentials Grant授权发放Token
weixin_30670925的博客
07-21 194
对应的应用场景是:为自家的网站开发手机 App(非第三方 App),只需用户在 App 上登录,无需用户对 App 所能访问的数据进行授权。 客户端获取Token: public string GetAccessToken(string UserName, string UserPwd) { if (UserName == "xsj" && UserP...
OAuth 2.0授权框架中文版 [4.3] - 资源所有者密码凭证模式
李浩好好学习
10-30 300
OAuth 2.0授权框架中文版 [4.3] - 资源所有者密码凭证模式4.3 资源所有者密码凭证模式 - Resource Owner Password Credentials Grant4.3.1 授权请求及响应 - Authorization Request and Response4.3.2 访问令牌请求 - Access Token Request4.3.3 访问令牌响应 - Access Token Response 4.3 资源所有者密码凭证模式 - Resource Owner Passwo
Spring Security与OAuth学习-OAuth2.0 获取授权
强哥叨逼叨
02-26 375
上回我们聊到,既然Spring官网也有提到,要学习Spring Security OAuth相关的知识,最好先学习OAuth2.0相关的知识,而官网中OAuth 2.0 Framework的链接地址对应的就是rfc6749的文档,结构是这样的: 额全是字,是不是看起来有点头疼。 强哥会将文档分为两部分讲解:Obtaining Authorization(获取Access Token的方式)和Security Considerations(OAuth2.0的安全思考)。 为什么只分这两部分,因为文档
OAuth2.0协议及五种授权模式
热门推荐
晋文子上的博客
09-11 2万+
  OAuth:一个关于授权(authorization)的开放网络标准,目前版本是2.0版。   为何要使用OAuth协议呢?OAuth协议的应用场景。 第三方服务方提供服务,某些服务需要用户的同意才能够做到,好比客厅要装修,需要得到主人的同意,拿到钥匙,才能装修,提供服务。 传统做法: 把所有钥匙(账号密码)给工人。但这样,工人可能用这个钥匙开卧室的门。甚至打一个新的钥匙。 缺点...
oauth2.0 03 密码认证模式
ywj776199845的专栏
11-10 745
使用密码认证模式 需要我们在 加了@EnableWebSecurity注解的类中加AuthenticationManager 的Bean对象,不加这个代码是用不了密码模式的! @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception{ return super.authenticationManagerBean(); } 截图如下: ...
oauth2.0密码模式详解
weixin_44846436的博客
03-08 4195
oauth2.0密码模式 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章http://www.javaman.cn/sb2/oauth-password 如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)。 1、密码模式流程 第一步,A 网站要求用户提供 B 网站的用户名和密码。拿到以后,A 就直接向 B 请求令牌。 https://oauth.b.com/token?
OAuth2.0系列三:OAuth2.0密码模式
青藤光年的博客
09-11 2906
密码模式 如果你高度信任某个第三方应用,可以把用户名和密码告诉这个第三方应用,第三方应用拿到用户名和密码去申请授权获取令牌。在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,比如客户端是操作系统的一部分,或者由一个著名公司出品。而认证服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式。 用户向第三方客户端提供用户名和密码...
Azure: Azure AD(For Development)的使用
wucong60的专栏
09-30 1万+
简介 注册一个Web应用程序 1.概述:显示应用程序的app Id 2.身份验证:显示了重定的URL 3.证书和密码:生成一个client secret, 以便你可以使用client credential和authrization code的方式获取token4.API权限:给当前的应用程序赋予权限,如下图,当前APP有访问Mircrosoft Graph(它让用户可以...
(五)OAuth 2.0 密码模式Password
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 4699
前言 我们了解到授权模式OAuth2.0四种模式流程最复杂模式,复杂程度由大至小:授权模式 > 隐式授权模式 > 密码模式 > 客户端模式 其中密码模式的流程是:让用户填写表单提交到授权服务器,表单中包含用户的用户名、密码、(client_Id + client_secret)的加密串,授权服务器先解析并校验客户端信息,然后校验用户信息,完全通过返回access_token,否则默认都是401 状态码,提示未授权无法访问 Demo基本结构 这里主要关注security-authori
oauth2java包 校验密码的代码
最新发布
05-23
下面是使用 oauth2java 包进行密码校验的示例代码: ```java import com.nimbusds.oauth2.sdk.*; import com.nimbusds.oauth2.sdk.auth.ClientAuthentication; import com.nimbusds.oauth2.sdk.auth.ClientSecretBasic; import com.nimbusds.oauth2.sdk.auth.Secret; import com.nimbusds.oauth2.sdk.http.HTTPRequest; import com.nimbusds.oauth2.sdk.http.HTTPResponse; import com.nimbusds.oauth2.sdk.token.AccessToken; import com.nimbusds.oauth2.sdk.token.BearerAccessToken; import com.nimbusds.oauth2.sdk.token.Tokens; import java.net.URI; import java.util.HashMap; import java.util.Map; public class PasswordValidator { public boolean validate(String username, String password) { // 构建 access token 请求 URI tokenEndpoint = URI.create("https://example.com/token"); // token 端点 ClientID clientID = new ClientID("client_id"); // 客户端 ID Secret clientSecret = new Secret("client_secret"); // 客户端密钥 ClientAuthentication clientAuth = new ClientSecretBasic(clientID, clientSecret); // 客户端认证方式 Scope scope = Scope.parse("read write"); // 请求的范围 GrantType grantType = GrantType.PASSWORD; // 授权类型为密码模式 AuthorizationGrant authGrant = new ResourceOwnerPasswordCredentialsGrant(username, password); // 认证授权方式为用户名密码模式 TokenRequest request = new TokenRequest(tokenEndpoint, clientAuth, authGrant, scope); // 发送 access token 请求 HTTPRequest httpRequest = request.toHTTPRequest(); HTTPResponse httpResponse = httpRequest.send(); // 解析 access token 响应 TokenResponse response = TokenResponse.parse(httpResponse); if (response instanceof TokenErrorResponse) { return false; // 认证失败,返回 false } else { Tokens tokens = ((AccessTokenResponse)response).getTokens(); AccessToken accessToken = tokens.getAccessToken(); // 这里可以将 accessToken 存储到数据库中,供后续使用 return true; // 认证成功,返回 true } } public static void main(String[] args) { PasswordValidator validator = new PasswordValidator(); validator.validate("username", "password"); } } ``` 以上示例代码使用密码模式进行认证,将用户名和密码作为 ResourceOwnerPasswordCredentialsGrant 的构造参数,并通过 TokenRequest 发送 access token 请求。如果认证成功,可以从响应中获取 access token 并进行下一步操作。如果认证失败,可以根据具体情况进行错误处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值