02 | 授权码许可类型中,为什么一定要有授权码?笔记

最新推荐文章于 2024-05-15 10:12:46 发布
最新推荐文章于 2024-05-15 10:12:46 发布
阅读量334 收藏 1
点赞数
分类专栏: OAuth 2.0 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39924752/article/details/129371042
版权

02 | 授权码许可类型中,为什么一定要有授权码?

小兔最终是通过访问令牌请求到小明的店铺里的订单数据。这个访问令牌是通过授权码换来的。为什么要用授权码来换令牌?为什么不能直接颁发访问令牌呢?

为什么需要授权码?

在 OAuth 2.0 的体系里面有 4 种角色,按照官方的称呼它们分别是资源拥有者、客户端、授权服务和受保护资源.客户端用第三方软件称呼。
资源拥有者 -> 小明,第三方软件 -> 小兔软件,授权服务 -> 京东商家开放平台的授权服务,受保护资源 -> 小明店铺在京东上面的订单。
OAuth 诞生之初就是为了解决 Web 浏览器场景下的授权问题,
image.png

如果没有授权码,直接把访问令牌发送给第三方软件小兔的后端服务,这样会把安全保密性要求极高的访问令牌暴露在浏览器上
image.png

这里有个问题,当小明被浏览器重定向到授权服务上之后,小明跟小兔软件之间的 “连接” 就断了,相当于此时此刻小明跟授权服务建立了“连接”后,将一直“停留在授权服务的页面上”。你会看到图 2 中问号处的时序上,小明再也没有重新“连接”到小兔软件。
小兔软件已经拿到了小明授权之后的访问令牌,可以获取到订单数据,小兔软件应该通知小明,但是现在连接断了,通知不了。所以还必须让小明跟小兔软件重新建立起 “连接”。这就是我们看到的第二次重定向。

授权码许可类型的通信过程

间接通信
image.png

直接通信
image.png

两个 “一伙”

资源拥有者和第三方软件“站在一起”,因为第三方软件要代表资源拥有者去访问受保护资源;授权服务和受保护资源“站在一起”,因为授权服务负责颁发访问令牌,受保护资源负责接收并验证访问令牌。
image.png

一定要有浏览器吗?

OAuth 2.0 是一个授权理念,或者说是一种授权思维。它的授权码模式的思维可以移植到很多场景中,比如微信小程序。

总结
  1. 授权码许可流程有两种通信方式。
  2. 在 OAuth 2.0 中,访问令牌被要求有极高的安全保密性,因此我们不能让它暴露在浏览器上面,只能通过第三方软件(比如小兔)的后端服务来获取和使用,通过授权码的方式,可以让用户小明在授权服务上给小兔授权之后,还能重新回到小兔的操作页面上。
    原文
boy1007
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2授权码存在的意义
王子箫の博客
05-16 643
OAuth2授权码存在的意义 OAuth2的实际应用,最常见的就是“授权码模式” 微博是这种模式,微信也是这种模式。 总结来说,就是简单的二步: 1.获取code 2.根据code,去获取access_token 以微博为例:微博开放平台-授权机制 假设我们开发一个网站(称为client;相对应的,微博就是server了),网站允许用户以微博账号登录,且需要读取用户的微博信息(账号、评论等等)。 显然,这过程需要用户授权。 第一步: https://api.weibo.com/oauth2/
oauth2.0 授权码模式的一些思考
博客
02-21 312
如果没有code,在用户授权完成后,授权服务携带access_token调用三方服务的后端接口,将access_token 交给第三方服务的后端,不能通过重定向的方式进行(access_token 不能暴露在浏览器,避免泄漏)。这样的话,用户点击完授权后,不能跳转回第三方软件,一直在授权页面 体验不好,当然 第三方服务拿到token后,可以自己重定向回自己的页面。相对来说比较麻烦。
oauth2.0授权码模式详解
最新发布
zzy7075的专栏
05-15 99
项目结构如下:AuthzController:获取授权码 (resource owner)TokenController:获得令牌 (authorization server)ResourceController:资源服务 (resource server)ClientController:客户端 (client)前三个Controller相前于服务端 最后一个为客户端。
基于客户端授权码的功能
nhx900317的博客
10-27 345
授权码功能,客户端版功能描述修改记录1. 配置和使用方法1.1 配置环境1.2 使用方法1.3 权限获取2. 初始化2.1 初始化操作3. 具体方法3.1 AuthCodeAb对象初始化3.2 查询版本号方法3.2 验证码验证方法3.4 回调方法3.4.1 验证通过回调3.4.2 验证失败回调4. 下载地址 功能描述 验证码客户端版,用于安卓端程序验证码验证,类似于激活码的功能,通过激活码可以随时控制程序是否可用。这个是安卓客户端的工程,已经可以使用,配套的后台管理端的工程并未在本文描述。之后回单独
OAuth2.0 授权码理解
weixin_34367257的博客
08-06 294
OAuth2.0授权模式 本篇文章介绍OAuth的经典授权模式,授权码模式 所谓授权无非就是授权与被授权,被授权方通过请求得到授权方的同意,并赋予某用权力,这个过程就是授权。 那作为授权码就更加简单,第三方直接发起授权请求并希望能够得到某种我需要的权力。授权方根据第三方的需求提供相应的授权权限,最后生成一串付有权限的码来实现授权,这个码就是所谓的授权码。 什么是OA...
OAuth 2.0(二):OAuth 2.0 四种授权许可类型
weixin_34975714的博客
11-16 3116
OAuth 2.0 的 四种授权许可机制
URC ACCESS MODES v3.0:通过密码保护界面提供对各种功能的控制-开源
05-30
(gpedit.msc) & 任务管理器工具 (taskmgr.exe), 使用 USB & CD 工具, 消除数据盗窃, 没有我们的许可,没有人可以访问我们的数据,因为我们可以禁用 USB大容量存储设备,如笔式驱动器、硬盘等,而您的 USB 外围设备将...
戴尔笔记本涉嫌偷换CPU消费者拟联名投诉.pdf
09-24
在本文,消费者投诉戴尔笔记本涉嫌偷换CPU,意味着购买的笔记本电脑的处理器可能与广告或销售承诺的规格不符。处理器的不同型号会影响电脑的性能和价格。 2. CDMA技术:CDMA(码分多址)是一种无线通信技术,常...
为提高公司网络系统、数据信息的安全性,提高公司办公效率,规范公司员工对电脑硬件及网络使用的要求,特制定本规定。
07-21
- 非授权不得拆卸、增减或试用电脑配件,也不得随意修改驱动程序。 - 公用软件禁止随意复制,以遵守版权规定。 - 定期清理电脑,保持清洁,避免尘埃影响设备性能。 - 网络管理员负责定期杀毒和维护,指导员工...
test-notes-express-sql
04-18
测试笔记表达SQL 后端测试任务() 由Diana Lobykina创建(未许可) 问题的实质 我们需要为多用户服务实现API。 该服务旨在存储笔记。 注释是一个文本字段,最多1000个字符。 用户可以拥有无​​限数量的笔记...
ITE考试答案知识.pdf
02-01
正确响应:将显卡更换为带有DVI 输出的型号增加更多RAM 将硬盘更换为更快的型号升级到更快的CPU RAM 问题通常由RAM 模块故障、模块插接不牢、RAM 容量不足和兼容性问题所引起。 12. 以下哪一项是制定预防性维护计划...
一款能破解所有软件需要注册码的好东西
03-24
很好用的东西,地球人都知道,呵呵用过的更说好
验证激活码
03-27
axure已测可用,
Oauth2系列2:授权码模式
weigeshikebi的博客
05-22 8946
Oauth2系列2:授权码模式
手把手OAuth2授权码模式(Authorization Code)
xuejianxinokok的专栏
04-30 6001
手把手入门OAuth2授权码模式(Authorization Code) 1.简单介绍 OAuth2 授权码模式模式基本上是用用户凭证获取token 后来获取资源的访问权限。其交互步骤如下图: 交互过程如下: 用户在客户端程序上操作某些功能希望从资源服务器获取数据 客户端程序重定向浏览器请求到授权服务器要求授权,在重定向之前客户端程序会给授权服务器传递一个参数作为回调地址 授权服务器请求用户同意,这个步骤一般需要用户先登录,如果已经登录则可能弹出一个交互页面请求用户同意授权 用户决定同意授权 授权服务器
搞懂oauth2.0授权码模式
哇哦~
05-25 2753
最早的简单登录 图1 去访问一个网站,如果登录的话,需要注册,填一堆信息,用户名密码啥的,通常密码是前端加盐、哈希(md5,sha1等)然后再发给后端,后端存储起来,不能直接存储明文。然后再跳转到登录页面,输入用户名和密码,后端验证用户名和密码,如果成功了返回一个session id,然后前端就可以结合cookie使用。 问题: 1.安全性,需要对密码的加密有一个万全的应对之策 2.维护麻烦,用户用起来也麻烦 比较早的授权登录 后来yelp试图解决这些问题,如下图所示 图2 想用什么登录就
授权码模式、Token登录认证
qq_42129395的博客
03-18 3141
一、授权码 1、授权码模式是功能最全、最安全的,其授权过程(如获取微信用户信息): a)用户登陆第三方应用,第三方应用需要获取该用户微信的个人资料 b)第三方把用户链接到微信的授权页面,用户点击授权,此时微信可以确切地知道用户是同意授权了,而不是由第三方应用伪造的同意动作 c)用户在微信的授权页面点击授权后,微信转跳回第三方应用页面并返回授权码,这个转跳回的页面是事先微信和第三方应用商量好的 d)第三方应用拿到授权码后(并不是token),可以去微信请求token,微信检查授权码是否正确,返回token e
oauth2.0 授权码模式简单理解
weixin_39887965的博客
10-27 2194
什么是 oauth协议 ? 百度百科上有解释:允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册的视频)。这样,OAuth允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要分享他们的访问许可或他们数据的所有内容。 简单的来讲就是一个令牌,这个令牌可以有一定的权限,在不知道用户密码的情况下也可以进行部分的功功能操作。用一个例子帮助理解:一
理解OAuth2.0认证与客户端授权码模式详解
热门推荐
爱琴孩的博客
05-20 1万+
什么是OAuth协议 OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 OAuth是安全的。OAuth 是 Open Authorization 的简写 OAuth 本身不存在一个标准的实现,后端开发者自己根据实际...
PolyWorks未找到有效的许可授权
06-11
PolyWorks是一款商业软件,需要有效的许可授权码才能使用。您可以联系PolyWorks的销售代表或者技术支持人员,获取有效的许可授权码。另外,确保您的许可授权码输入正确且没有过期。如果您已经尝试了这些方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值