OAuth 2.0 授权码认证

最新推荐文章于 2023-03-01 15:47:17 发布
最新推荐文章于 2023-03-01 15:47:17 发布
阅读量112 收藏
点赞数
文章标签: 数据库
原文链接:https://segmentfault.com/a/1190000015331839
版权

参考文章

组成成分

  • 用户
  • 应用1
  • 应用2

流程

用户在应用1浏览、使用的过程中,涉及到要使用应用2功能的时候,就产生了 oauth 认证!

以下具体步骤参考的是:Laravel passport OAuth 认证

A. 登录授权

应用1携带如下查询字符串:

response_typeclient_idredirect_uriscopestate
codexxxhttp://app.com/callback''auth

跳转到应用2的登录授权界面,用户输入应用2的账号、密码进行登录,登录后弹出是否对应用1授权。

B. 生成授权码

如果用户选择同意授权,那么应用2将生成授权码并携带授权码跳转回应用1提供的 redirect_uri。这个 redirect_uri 中可以做任意事情,比如保存授权码,后期再获取 token,或者继续认证步骤,通过授权码获取 token,这边要注意的是授权码的有效期!一般授权码有效期都较短,10min 左右。

C. 获取 token

之前都是采取链接跳转的方式(Get 请求)执行操作,到目前的获取 token 步骤后应使用 post 方式在服务端通过 curl 完成!!

应用1提供如下参数(redirect_uri 要和 A 步骤中的一致!!):

grant_typeclient_idclient_secretredirect_uricode
authorization_codexxxxxxhttp://app.com/callbackxxx

向应用2发起 post 请求获取 token,应用2认证相关参数,通过后响应如下数据:

{
    token_type: '' , 
    access_token: 'xxx' ,
    refresh_token: 'xxx' , 
    expire: 'YYYY-MM-DD HH:II:SS'
}

应用1获取数据保存到数据库。

D. 调用

应用1调用应用2的 api,在应用1上提供应用2的服务!

应用1在请求头上携带:

Authorization: token_type access_token

调用应用2的 api 获取数据。

释疑

get/post 请求方式是如何确定的??

get/post 请求方式由实现方确定,即:应用2。我上面举的例子中是推荐采用的请求方式,实际请求方式应该根据实现方提供的开发文档确定!

如下字段是如何获取的??

client_id       应用id
client_secret   应用密钥
redirect_uri    重定向 uri

// 一般还需要提供
app_name 应用名称
app_url  应用网址
....等

应用1提前向应用2申请提供的

weixin_34378969
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oauth2密码模式java版
12-12
oauth2密码模式的java版本,服务端和客户端,希望能帮助到大家
Oauth2.0认证---授权模式
weixin_33910137的博客
09-24 218
目录: 1.功能描述 2.客户端的授权模式 3.授权模式认证流程 4.代实现 1.功能描述 OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。"客户端"不能直接登录"服务提供商",只能登录授权层,以此将用户与客户端区分开来。 "客户端"登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌...
OAuth2.0授权认证流程介绍
Leon_Jinhai_Sun的博客
05-10 687
Oauth2授权模式 Oauth2授权模式 Oauth2有以下授权模式: 1.授权模式(Authorization Code) 2.隐式授权模式(Implicit) 3.密码模式(Resource Owner Password Credentials) 4.客户端模式(Client Credentials) 其中授权模式和密码模式应用较多,本小节介绍授权模式。 授权授权实现 上边例举的CSDN网站使用QQ认证的过程就是授权模式,流程如下: 1、客户端请求第三方授权 2、用户(...
OAuth2密码授权流程
mengxin_chen的博客
04-28 484
OAuth2密码授权流程 资源服务器和授权服务器(OAuth2) 一.前端传递信息Token,一共有五个信息: 1.client_id,2.client_secret,3.用户username,4.密码password,5.grabt_type password 二.前端请求发送到 /oauth/token,如果信息正确就会拿到授权服务器返回的令牌(Token),然后前端要把Token储存起来(Token是有时效性的)。 三.访问资源服务器时,发送Token令牌给到资源服务器,资源服务器会到授权服务器中进行
Passport 授权模式
OneGoal的博客
11-12 3269
交流群 375462817 授权模式 哔哩哔哩提供一个“微信登陆”的链接,用户点击跳转到微信授权服务器。 用户根据微信授权服务器提示登陆微信并确认授权给哔哩哔哩。 微信授权服务器返回用户代理(浏览器)一个授权。 用户代理(浏览器)把这个授权传给哔哩哔哩。 哔哩哔哩凭借授权向微信授权服务器请求令牌。 微信授权服务器发送令牌给哔哩哔哩。 服务器端(微信) 配置 composer creat...
nodejs实现OAuth2.0授权服务认证
12-23
OAuth是一种开发授权的网络标准,全拼为open authorization,即开放式授权,最新的协议版本是2.0。 举个栗子: 有一个”云冲印”的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让”云...
webapi基于Owin中间件的oauth2.0身份认证
10-07
1. **安装Owin中间件**:在ASP.NET Web API项目中,首先需要通过NuGet包管理器安装`Microsoft.Owin.Security.OAuth`和`Microsoft.Owin.Security.Cookies`,这两个包分别用于OAuth2.0授权和Cookie认证。 2. **配置...
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
微信oauth2.0授权
10-11
微信OAuth2.0授权是一种广泛应用于移动应用和网站的第三方登录解决方案,主要目的是为了安全地获取用户的微信身份标识——openid,以便提供个性化服务或者与其他微信功能集成。在本文中,我们将详细探讨微信OAuth2.0...
oauth2.0 密码方式认证分析
qq_39584267的博客
08-19 3203
oauth2.0 密码方式认证分析
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 4373
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
OAuth 2.0 授权认证详解
GJ_ia的博客
01-13 2613
从上图中可以看出,造成 CSRF 攻击漏洞问题的关键点在于,OAuth2 的认证流程是分为好几步来完成的,在上一章节授权模式流程中的流程图中的第 4步骤中,第三方应用在收到一个 GET 请求时,除了能知道当前用户的 cookie,以及 URL 中的。"云冲印"网站将李四的 Google 账号同张三的"云冲印"账号关联绑定起来,从此以后,李四就可以用自己的 Google 账号通过 OAuth 登录到张三在 “云冲印” 网站中的账号,堂而皇之的冒充张三的身份执行各种操作。这样的前后端分离,可以避免令牌泄漏。
OAuth2.0认证原理浅析
张胜楠的博客
03-14 8万+
一.OAuth是什么?         OAuth的英文全称是Open Authorization,它是一种开放授权协议。OAuth目前共有2个版本,2007年12月的1.0版(之后有一个修正版1.0a)和2010年4月的2.0版,1.0版本存在严重安全漏洞,而2.0版解决了该问题,下面简单谈一下我对OAuth2.0的理解。 二.OAuth2.0有什么用?            引用一下O...
SpringOauth2.0 用户名密码验证方式(二)
有信仰的蜗牛
10-22 6985
1.Oauth2.0 用户名密码认证流程 (A)用户向客户端提供用户名和密码。 (B)客户端将用户名和密码发给认证服务器,向后者请求令牌。 (C)认证服务器确认无误后,向客户端提供访问令牌。 请求示例 (B)步骤:客户端发出https请求 用户名密码认证方式,其实是对Code认证方式的高度封装,将其中的用户确认授权的步骤直接整合到:用户向客户端提供用户名和密码 在这种模式下,用户必须对客户端...
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 17万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
OAuth2.0和SSO授权的区别
a304096740的博客
07-01 551
OAuth2.0和SSO授权 一、OAuth2.0授权协议 一种安全的登陆协议,用户提交的账户密码不提交到本APP,而是提交到授权服务器,待服务器确认后,返回本APP一个访问令牌,本APP即可用该访问令牌访问资源服务器的资源。由于用户的账号密码并不与本APP直接交互,而是与官方服务器交互,因而它是安全的。 图示: 流程: 1、获取未授权的Request Token...
OAuth 2.0 构建微服务身份认证(一):授权模式选择
kylin058的博客
08-23 1万+
从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验。为了适应架构的变化、需求的变化,身份认证与鉴权方案也在不断的变革。面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认证?面对外部的服务访问,该如何提供细粒度的鉴权方案?本文将会为大家阐述微服务架构下的安全认证与鉴权方案。 单体应用 VS 微服务 随着微服务架构的兴起,传统的单体应用场景下的身份认证
Springboot2.0 + OAuth2.0密码模式之认证资源分离
weixin_30278237的博客
01-16 621
综述:在 Springboot2.0 + OAuth2.0密码模式之单项目集成 中讲了密码模式,但是其认证和资源都在同一个项目,是不是有点混乱。于是乎,为啥不做认证和资源分离呢?Just do it... 一、认证服务器 当然认证服务器还是用之前搭建的那个,只是需要将资源配置注释,如下修改即可: package com.liuzj.oauth2server.config; ...
pms系统采用oauth2.0授权模式集成maxkey
最新发布
07-12
OAuth2.0授权模式是一种常用的认证流程,用于实现第三方应用程序与资源服务器之间的安全通信。在集成MaxKey与PMS系统时,你可以按照以下步骤进行: 1. 配置MaxKey服务器:首先,你需要在MaxKey服务器上进行配置。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值