05 | 如何安全、快速地接入OAuth 2.0?

最新推荐文章于 2024-04-17 18:04:08 发布
最新推荐文章于 2024-04-17 18:04:08 发布
阅读量447 收藏
点赞数
分类专栏: OAuth 2.0 文章标签: 安全 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39924752/article/details/129391125
版权
本文介绍了如何安全、快速地接入OAuth2.0协议,包括注册应用获取app_id和app_secret,引导用户授权,使用访问令牌通过POST表单提交方式请求数据,以及管理刷新令牌以保持访问权限。同时,讨论了权限管理和不同用户数据的访问控制在保护受保护资源中的重要性。
摘要由CSDN通过智能技术生成

05 | 如何安全、快速地接入OAuth 2.0?

构建第三方软件应用

image.png

第一点,注册信息

小兔软件的研发人员提前登录到京东商家开放平台进行手动注册,以便后续使用这些注册的相关信息来请求访问令牌。兔软件需要先拥有自己的 app_id 和 app_serect 等信息,同时还要填写自己的回调地址 redirect_uri、申请权限等信息。

第二点,引导授权。

其实就是让用户为第三方软件授权,得到了授权之后,第三方软件才可以代表用户去访问数据。

第三点,使用访问令牌。

拿到令牌后去使用令牌,才是第三方软件的最终目的。
官方规范给出的使用访问令牌请求的方式,有三种,分别是:

  1. Form-Encoded Body Parameter(表单参数)
  2. URI Query Parameter(URI 查询参数)
  3. Authorization Request Header Field(授权请求头部字段)

建议你采用表单提交,也就是 POST 的方式来提交令牌,因为表单提交的方式在保证安全传输的同时,还不需要去额外处理 Authorization 头部信息。

String protectedURl="http://localhost:8082/ProtectedServlet-ch03";
Map<String, String> paramsMap = new HashMap<String, String>();

paramsMap.put("app_id","APPID_RABBIT");
paramsMap.put("app_secret","APPSECRET_RABBIT");
paramsMap.put("token",accessToken);

String result = HttpURLClient.doPost(protectedURl,HttpURLClient.mapToStr(paramsMap));

第四点,使用刷新令牌。

在小兔打单软件收到访问令牌的同时,也会收到访问令牌的过期时间 expires_in。一个设计良好的第三方应用,应该将 expires_in 值保存下来并定时检测;如果发现 expires_in 即将过期,则需要利用 refresh_token 去重新请求授权服务,以便获取新的、有效的访问令牌。

服务市场中的第三方应用软件

作为第三方开发者来构建第三方软件的时候,在授权码环节除了要接收授权码 code 值之外,还要接收用户的订购相关信息,比如服务的版本号、服务代码标识等信息。

构建受保护资源服务

比如说,访问头像的 API、访问昵称的 API。
基本都是以 Web API 为载体的形式进行。因此呢,当我们说受保护资源被授权服务保护着时,实际上说的是授权服务最终保护的是这些 Web API.
image.png

//不同的权限对应不同的操作
String[] scope = OauthServlet.tokenScopeMap.get(accessToken);

StringBuffer sbuf = new StringBuffer();
for(int i=0;i<scope.length;i++){
    sbuf.append(scope[i]).append("|");
}

if(sbuf.toString().indexOf("query")>0){
    queryGoods("");
}

if(sbuf.toString().indexOf("add")>0){
    addGoods("");
}

if(sbuf.toString().indexOf("del")>0){
    delGoods("");
}

不同的权限对应不同的数据。
如果小兔软件请求过来的一个访问令牌 access_token 的 scope 权限范围只对应了 Personal Data,那么包含该 access_token 值的请求就不能获取到 Contact 和 Like 的信息,关于这部分的代码,实际跟不同权限对应不同操作的代码类似。

不同的用户对应不同的数据。
多的场景却是基于用户属性的。还是以小兔打单软件为例,商家每次打印物流面单的时候,小兔打单软件都要知道是哪个商家的订单。这种情况下,商家为小兔软件授权,小兔软件获取的 access_token 实际上就包含了商家这个用户属性。

//不同的用户对应不同的数据
String user = OauthServlet.tokenMap.get(accessToken);
queryOrders(user);

image.png

总结
  1. 对于第三方软件,比如小兔打单软件来讲,它的主要目的就是获取访问令牌,使用访问令牌,这当然也是整个 OAuth 2.0 的目的,就是让第三方软件来做这两件事。在这个过程中需要强调的是,第三方软件在使用访问令牌的时候有三种方式,我们建议在平台和第三方软件约定好的前提下,优先采用 Post 表单提交的方式
  2. 受保护资源系统,比如小兔软件要访问开放平台的订单数据服务,它需要注意的是权限的问题,这个权限范围主要包括,不同的权限会有不同的操作,不同的权限也会对应不同的数据,不同的用户也会对应不同的数据

原文

boy1007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth 2.0(四):手把手带你写代码接入 OAuth 2.0 授权服务
weixin_34975714的博客
11-18 1426
手把手带你写代码一步步接入 OAuth 2.0 授权服务
小米oauth2.0java实现以及第三方云接入
07-30
小米oauth2.0java实现以及第三方云接入,实现了多种参数的接口9state.response_type,client_id,client_secret等)
OAuth2第三方登录快速接入
何哥的博客
09-22 7051
前言:现在很多网站和App都支持第三方登录功能,这里以GitHub第三方登录举例,因为注册应用申请ID比微信和QQ简单。目前市面上主流的第三方登录协议就是 OAuth2.0, 例如 QQ,微信,微博等等。 所以只要搞明白大概流程,那么接入其他供应商的第三方登录也是小菜一碟了。 一、OAuth 2.0 说到第三方登录,不得不提的一个知识点就是 oauth 2.0OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用.
Oauth2.0认证:salesforce Oauth2.0接入实例
weixin_38370441的博客
11-10 885
文章目录参考文档Postman接入实例 参考文档 SF Oauth2.0:https://help.salesforce.com/s/articleView?id=sf.remoteaccess_oauth_web_server_flow.htm&language=zh_CN&r=https%3A%2F%2Fwww.google.com.hk%2F&type=5 SF postman:https://www.postman.com/salesforce-developers/work
OAuth2.0实现第三方登录
Icebreaker
12-16 3958
目录 1、引言 2、OAuth2.0是什么 3、OAuth2.0怎么写 1、引言 本篇文章是介绍OAuth2.0中最经典最常用的一种授权模式:授权码模式 非常简单的一件事情,网上一堆神乎其神的讲解,让我不得不写一篇文章来终结它们。 一项新的技术,无非就是了解它是什么,为什么,怎么用。至于为什么,本篇文章不做重点探讨,网上会有各种文章举各种什么丢钥匙、发船票的例子供你去阅读,个人认为还是有些哗众取宠...
目前最全的第三方平台 授权(OAuth2.0)登录接入指南
不才的博客:https://www.notbucai.com/
04-02 3067
目前最全的第三方平台 授权(OAuth2.0)登录接入指南 目前博客已经接入大部分平台 不才的博客 第三方授权登录一般作用于简化用户的登录/注册或用于数据同步 以下平台都基于 OAuth2.0,但存在一些平台限制和区别 ???? QQ互联 需要审核、个人可用、回调修改后需要时间生效 https://connect.qq.com/index.html 接入遇到问题可联系腾讯QQ客服800013811 催审后审核很快 1. 回调 修改后需要等待时间生效 (时间有长有短) 审核拒绝状态 修改不生效 全路径
OAuth2.0协议入门(二):OAuth2.0授权服务端从设计到实现
王仁一的博客
03-27 1033
OAuth2.0授权服务端的设计 在上一篇文章中,我介绍了OAuth2.0协议的基本概念以及作为一个第三方应用在请求授权服务端的时候需要做哪些事情。通过上一篇文章中调用百度OAuth服务的例子我们可以得知,使用授权码模式完成OAuth2.0授权的过程需要以下三个步骤: client请求授权服务端,获取Authorization Code; client通过Authorization Co...
新浪微博oauth2.0接入方法( java 版本)
acuna1的专栏
06-22 8059
refer to : http://chuanwang66.iteye.com/blog/1436438 一、 初体验 新浪微博·开放平台: http://open.weibo.com/ 上面的首页中有几个选项卡: “首页”、“网站接入”、“应用开发”、“开发文档 ”、“论坛”、“我的应用” “开发文档”中有“平台概述 ”、“开发全攻略 ”(从如何创建应用到应用
c# OAuth2.0
05-25
总的来说,"C# OAuth2.0"项目是为了展示如何在C#和ASP.NET MVC环境中使用Owin组件实现OAuth2.0授权,以便用户可以通过QQ和新浪账号安全地登录你的应用。通过这个项目,开发者可以学习到OAuth2.0的原理,以及如何在...
浅谈PHP接入(第三方登录)QQ登录 OAuth2.0 过程中遇到的坑
10-19
本文将详细讨论在PHP中接入QQ登录OAuth2.0过程中的遇到的常见问题以及解决方案。首先,为了使得第三方登录功能成功集成到网站中,开发者需要遵循一系列标准化流程。这个流程包括成为开发者、创建应用程序、获取授权...
微服务接入oauth2_构建微服务-使用OAuth 2.0保护API接口
weixin_39835158的博客
12-21 689
在本文中,我们将使用OAuth 2.0,创建一个的安全API,可供外部访问Part 1和Part 2完成的微服务。我们将创建一个新的微服务,命名为product-api,作为一个外部API(OAuth 术语为资源服务器-Resource Server),并通过之前介绍过的Edge Server暴露为微服务,作为Token Relay,也就是转发Client端的OAuth访问令牌到资源服务器(Res...
授权协议OAuth 2.0之如何接入授权服务
最新发布
wang0907的博客
04-17 422
为了能够更好以场景化的方式来理解OAuth2.0,本文一起看下,假定我们现在要开发一个交友类软件,为了提高用户登录的便利程度,需要对接微信开放平台,获取到用户的微信账号信息,作为用户的注册信息来使用,此时结构如下图:交友软件应用最终要做的就是如图粉红色背景所示的内容,即通过,那么为了做到这点,交友软件应用的开发人员需要做哪些事情呢?
OAuth2.0授权码模式用于系统对接
qq_43038960的博客
03-15 658
我们自己开发的系统需要与外部系统做对接,需要做统一认证登录,即外部系统没有登录页面,共用我们系统的登录,在我们系统登录成功的用户可以直接跳转至外部系统。这边直接采用了OAuth2.0授权码模式来实现的
Oauth2.0搭建开放平台接口
daziyuanazhen的博客
09-25 2457
开放平台 类似qq互联、微信开放平台和蚂蚁金服开放平台等,可以实现qq联合登陆、微信扫码登陆等。在大型公司中,公司旗下的分公司等相互通讯也可以采用开放平台形式对接口进行授权使用。 Oauth 一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分析他们数据的所有内容。 Oauth2.0相比1.0,其认证流程更...
OAuth 2.0
taizhuangzhuang的博客
01-20 407
标准文档(英文)https://tools.ietf.org/html/rfc6749 是什么 OAuth 2.0 授权框架使得第三方可以获取对用户资源的访问(有限访问或者完全访问)。 举个例子:通过你的允许,bilibili 可以去微信服务器获取你的头像,昵称,openid 等等。 实际项目中:可以通过获取access_token访问能开系统中的数据,比如接口调用。 为什么 传统授权方式,用户和第三方共享密码。缺点如下: 未来可能持续需要访问各种受限资源。所以第三方要存储用户密码,一般.
Spring Security实战(九)—— 使用Spring Security OAuth实现OAuth对接
weixin_49561506的博客
04-25 2516
介绍OAuth2.0,并使用Spring Security OAuth实现GitHub快捷登录
实战干货!Spring Cloud Gateway 整合 OAuth2.0 实现分布式统一认证授权!
竹林幽深
04-17 2904
新建一个JwtAuthenticationManager,需要实现ReactiveAuthenticationManager这个接口。认证管理的作用就是获取传递过来的令牌,对其进行解析、验签、过期时间判定。详细代码如下:逻辑很简单,就是通过JWT令牌服务解析客户端传递的令牌,并对其进行校验,比如上传三处校验失败,抛出令牌无效的异常。抛出的异常如何处理?如何定制返回的结果?这里抛出的异常可以通过Spring Cloud Gateway的全局异常进行捕获,这个内容在。
单点登录实现——基于OAuth2.0协议的接入方案
xiaomin1991222的专栏
07-24 1815
OAuth是目前广泛应用的开放接入标准,与OAuth1.0相比,OAuth2.0实现起来更加。OAuth的相关原理在互联网上有大量的资料可以查阅。以下是通过OAuth方式接入的说明: 第一步:应用接入申请 向中山市教育信息中心进行应用接入申请获得client_id和client_secret,这两个值是后续进行应用接口调用的关键内容 client_id: lejiaoyun client_s...
接入duros oauth2.0
05-25
接入Duros OAuth2.0主要分为以下几个步骤: 1. 在Duros控制台创建应用,获取Client ID和Client Secret。 2. 在你的应用程序中实现OAuth2.0的授权流程。 3. 在用户授权后,使用Access Token来访问Duros API。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值