Oauth2.0认证---授权码模式

最新推荐文章于 2020-05-10 10:50:28 发布
最新推荐文章于 2020-05-10 10:50:28 发布
阅读量218 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/y-yxh/p/5903771.html
版权

目录:

1.功能描述

2.客户端的授权模式

3.授权模式认证流程

4.代码实现

1.功能描述
  • OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。"客户端"不能直接登录"服务提供商",只能登录授权层,以此将用户与客户端区分开来。
  • "客户端"登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。
2.客户端的授权模式

Oautho2.0为客户端定义了4种授权模式:

  • 授权码模式
  • 简化模式
  • 密码模式
  • 客户端模式

授权码模式是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。

3.授权模式认证流程

授权码模式的认证流程:

(A)用户访问客户端,后者将前者导向认证服务器。

(B)用户选择是否给予客户端授权。

(C)假设用户给予授权,认证服务器首先生成一个授权码,并返回给用户,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。

(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。

(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

注意:(C)和(D)中两个重定向URI是不一样的,(C)中的重定向URI是用来核对的,这个是服务器事先指定并保存在数据库里面。而(D)中的重定向URI指的是生成access_token的url。

4.代码实现

1)定义客户端信息,并保存在数据库中

例如:

 

    id:“app”,
   secret: 'xffcncgmveu6slxg',
   redirectUri: 'http://127.0.0.1:3000/example/auth/callback'

 

以上字段是必须的,如果还需要其他描述,可以自行添加字段。

 

2)判断用户是否登录:

function ensureLogin(req,res,next){
    //判断用户是否登录
        //这里假设用户已经登录,且默认如下
        req.loginUserId = 'Along';
    next();              
}

3)生成授权码代码:

http://127.0.0.1:3000/OAuth2/authorize?client_id=a10086&response_type=code&redirect_uri=http%3A%2F%2F127.0.0.1%3A3000%2Fexample%2Fauth%2Fcallback

  • response_type:表示授权类型,必选项,此处的值固定为"code"
  • client_id:表示客户端的ID,必选项
  • redirect_uri:表示重定向URI,可选项
  • scope:表示申请的权限范围,可选项
  • state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。

生成授权码的代码如下:

授权码的信息包括:授权码、用户的id、客户端的id、重定向url

exports.generatorCode = function(req,res,next){
    var code  = randomString(20);   //生成20长度字符串
    var cdinfo = { 
        code:code,
        userId:userId,
        clientId:clientId,
        redirectUri:redirectUri    
    };  
    //存入数据库  
    (new codeInfo(cdinfo)).save(function(err,doc){
        if(err){
            return callback(err);
        }    
    })  
    callback(null, code);  
};

 4)生成access_token:

服务器生成授权码后,将授权码添加到url后面,然后导向这个url如:

http://127.0.0.1:3000/example/auth/callback?code=Bu9C5OBmO2odzuWpVTpn

生成access_token的代码如下:

access_token的信息包括:token、用户id、客户端id

exports.generateToken = function (userId, clientId,expires,callback) {
    var code = utils.randomString(20) + '.' + (getTimestamp() + expires);
    var tkinfo = {
        token:code,
          userId:userId,
          clientId:clientId
    };
    (new tokenInfo(tkinfo)).save(function(err,doc){
        if(err) return callback(err);
        callback(null,code);
    })
};

可以看到生成code和token的方式是一样的,你也可以定义不一样的方式。

 

  

 

 

转载于:https://www.cnblogs.com/y-yxh/p/5903771.html

Linux????? Mr.Liyz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C# 网络编程之豆瓣OAuth2.0认证API开发详解和实现(源码)
05-25
该资源参考博客:http://blog.csdn.net/eastmount/article/details/26872793主要介绍豆瓣API开发过程中如何通过OAuth2.0认证授权访问用户自己信息的.豆瓣API的资源较少,有的基本是php和java的,所以想通过该资源讲述C#认证的过程.主要分为三个步骤:获取autorization_code、获取access_token和使用access_token.详解参考博客,其中需要引用Newtonsoft.Json.dll解析JSON格式数据. 采用VS2012 .NET4.5开发,以下版本可能不能运行.同时需要填写自己的API Key,Sercet和回调地址.程序里的被我改过,一定填写自己的才能运行,如果不懂的建议参考博客完成. 该资源为免费资源供对豆瓣API感兴趣或正在开发而不知所措人解忧.
nodejs实现OAuth2.0授权服务认证
10-18
1. 授权模式(Authorization Code Grant):适用于服务器端应用程序,安全但流程复杂。 2. 简化模式(Implicit Grant):适用于浏览器应用,不涉及服务器端,令牌直接在URL中返回,安全性较低。 3. 密码模式...
OAuth 2.0 授权认证
weixin_34378969的博客
06-20 112
参考文章 理解 OAuth 2.0 阮一峰--授权模式,有缺漏 OAuth 2.0 官网-关于授权模式的完整教程 OAuth 2.0 官网-授权代码请求 组成成分 用户 应用1 应用2 流程 用户在应用1浏览、使用的过程中,涉及到要使用应用2功能的时候,就产生了 oauth 认证! 以下具体步骤参考的是:Laravel pas...
OAuth2.0授权认证流程介绍
Leon_Jinhai_Sun的博客
05-10 687
Oauth2授权模式 Oauth2授权模式 Oauth2有以下授权模式: 1.授权模式(Authorization Code) 2.隐式授权模式(Implicit) 3.密码模式(Resource Owner Password Credentials) 4.客户端模式(Client Credentials) 其中授权模式和密码模式应用较多,本小节介绍授权模式授权授权实现 上边例举的CSDN网站使用QQ认证的过程就是授权模式,流程如下: 1、客户端请求第三方授权 2、用户(...
OAuth系列之OAuth2.0授权模式学习笔记
Nicky's blog
07-27 3032
OAuth2.0简单说就是一种授权的协议, 授权模式(authorization code) 简化模式(implicit) 密码模式(resource owner password credentials) 客户端模式(client credentials) ...
oauth2.0授权验证器,授权模式
巴法云
06-21 1887
巴法云oauth2.0授权验证器巴法云oauth2.0授权模式验证 巴法云oauth2.0授权模式验证 网址: Oauth2.0验证器 支持授权模式验证,验证oauth2.0授权过程是否正确。 如图: ...
springcloud_oauth2.0-master.zip
12-19
《SpringCloud OAuth2.0 实现微服务统一认证授权详解》 在当今的分布式系统架构中,微服务已经成为主流的设计模式。每个微服务都独立部署、独立运行,但随之而来的是如何实现各微服务间的安全通信,这正是OAuth2.0...
webapi基于Owin中间件的oauth2.0身份认证
10-07
OAuth2.0的核心是将认证授权分离,提高了安全性,同时也方便了开发者。 **.NET中的OAuth2.0实现** 在.NET环境中,我们可以利用Owin中间件来实现OAuth2.0身份认证。Owin是.NET平台下的一套标准接口,用于构建自...
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
Spring Security OAuth2 授权模式的实现
08-18
Spring Security OAuth2 授权模式OAuth 2.0 授权流程中的一种常见模式,该模式要求用户登录并对第三方应用(客户端)进行授权,出示授权码交给客户端,客户端凭授权码换取 access_token(访问凭证)。...
Auth2.0授权模式
12-29
从流程上看申请分为两个阶段:首先需要申请Authorization Code;之后使用Authorization Code来申请Access Token。
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作实际使用完整项目
oAuth的C#实现
08-25
oAuth的C#实现,取自于Google Code
OAuth协议原理
likaibk的博客
11-18 438
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 OAuth的思路 OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。"客户端"不能直接登录"服务提供商
OAuth2.0 授权码理解
weixin_34367257的博客
08-06 294
OAuth2.0授权模式 本篇文章介绍OAuth的经典授权模式授权模式 所谓授权无非就是授权与被授权,被授权方通过请求得到授权方的同意,并赋予某用权力,这个过程就是授权。 那作为授权码就更加简单,第三方直接发起授权请求并希望能够得到某种我需要的权力。授权方根据第三方的需求提供相应的授权权限,最后生成一串付有权限的码来实现授权,这个码就是所谓的授权码。 什么是OA...
asp.net权限认证:OWIN实现OAuth 2.0 之授权模式(Authorization Code)
angqishe7119的博客
02-01 519
授权模式定义 通过客户端的后台服务器,与“服务提供商”的认证服务器进行认证。 1、用户访问客户端,后者将前者导向认证服务器。2、用户选择是否给予客户端授权。3、假设用户给予授权认证服务器首先生成一个授权码,并返回给用户,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。4、客户端收到授权码,附上早先的"重定向URI",向认...
OAuth 2.0——授权服务开发笔记(一)
九日王朝
03-07 774
一、概念 OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。因为1.0版设计的很繁琐,所以被抛弃了。 OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 ...
OAuth2.0协议 -- Open Authorization
weixin_34153893的博客
01-26 113
2019独角兽企业重金招聘Python工程师标准>>> ...
前后端分离oauth2.0 - springsecurity + spring-authorization-server 密码模式
最新发布
07-11
OAuth 2.0是一种授权框架,用于授权认证流程的规范化,而Spring Security是一个在Java中实现安全控制的框架,提供了大量的安全特性。Spring Authorization Server是Spring Security中用于实现授权服务器的模块,它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值