oauth2 access_denied 不允许访问_OAuth 2 是什么-入门介绍

最新推荐文章于 2024-05-04 01:24:57 发布
最新推荐文章于 2024-05-04 01:24:57 发布
阅读量521 收藏
点赞数
文章标签: oauth2 access_denied 不允许访问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39928801/article/details/111677736
版权

OAuth 2是什么

OAuth 2是一个可以通过浏览器,手机等多种设备进行安全授权的一个标准简单的开源协议。

随着互联网的兴起以及普及,越来越多的应用出现在用户的面前。这些应用大部分都是相对独立的以及由不同的公司进行运营的。不同的应用也保存了不同的数据。因此跨应用的数据访问就变得不可避免。当我们需要跨应用访问数据的时候,我们就需要解决如何让应用A能够访问到应用B中的用户数据。比如说,在百度云或者OneDrive中保存了相片(应用B),相片打印服务(应用A)就需要访问百度云或者OneDrive中的数据进行处理。

一种最简单的方法就是应用A询问用户在应用B中的认证信息,然后使用这个认证信息进行数据访问。但是这样子就意味着应用A拥有了用户的认证信息,应用A可以随意访问用户在应用B中的数据(虽然每个应用都声称不会滥用,但谁知道呢)。

因此需要一种方案可以能够授权应用A适当的权限来获取应用B中的数据。而OAuth 2就是这么一种解决方案。

代客泊车钥匙的例子

计算机世界,很多时候都是现实世界的映射,OAuth 2也不例外。

在影视作品中,我们常常可以看到主角们开着车来到一个豪华的酒店或者赌场的大堂,下了车之后直接扔了一副车钥匙给服务生。服务生会替车主将车停好。如果是一辆小破车,或许车主还不至于太担心服务生把车私自开走。但是要是是一辆豪车的话,就很难说了。

那么之所以服务生没有能把车开走,秘诀就在这个车钥匙上。这个车钥匙是代客泊车专用钥匙(英文叫做valet parking key)。这钥匙只能限制性的操作车中的某些功能,比如只能以时速不超过20km/h行驶,或者不能驾驶超过10分钟,还有类似无法打开天窗和后备箱。通过这种功能性的限制(权限限制),使得服务生只能操作被允许的功能即代客泊车,而无法完成超过其权限的操作,比如拿走后备箱的东西等等。

在这个例子中,涉及到了五个部分,车主,服务生,代客泊车钥匙,车主钥匙,以及车。这五个部分对应到OAuth 2的场景中就是,资源所有者,客户终端,token,资源所有者在资源服务器上的用户名和密码,资源服务器上的资源。如果用我们上面应用A和应用B的场景,那就是服务生=应用A=客户终端,车=应用2=资源服务器上的资源。

OAuth 2 组件

在上面的例子中也简略的提到了OAuth 2的各个组件。OAuth 2中一共涉及到4个组件,客户端,用户也就是资源所有者,授权服务器,以及资源服务器。

这四个组件的大致关系如下图所示。授权服务器是一个能够提供受限的密钥(key)或者令牌(token)类似于上文提到的valet parking key。

客户端包括了可信客户端和非可信客户端。可信客户端一般是指客户端和资源服务器属于同一个团体开发的,比如微博的资源服务器和微博官方客户端。非可信客户端,则一般指由第三方开发的客户端,比如很多第三方的微博应用。

6241011047259ad0c3ce449475762b59.png

OAuth 2中的各个组件

从上图的示例中可以看出,用户即资源所有者可以通过客户端访问资源服务器上的资源。客户端为了能够访问资源服务器,需要先获得一个令牌(token)。由于用户并不想直接将资源服务器的用户名密码透露给客户端,用户可以通过授权服务器给予客户端一个临时的受限访问令牌。

客户端在使用授权服务器之前必须先进行注册(一次性操作),注册的目的是让授权服务器清楚之后的授权请求是由哪个客户端发起的。同时注册的时候也会约定好之后通信所使用的密钥等信息。

客户端在完成注册之后,就可以通过下面将讲到的OAuth 2流程来获得令牌(token),然后通过令牌来访问资源服务器上的资源。

可信域

在这个授权流程中,我们还需要注意可信域,这会帮助我们后面理解为什么OAuth 2 不合适作为认证工具。可信域代表了域中组件的相互信任关系。

从下图可以看出,默认情况下,资源服务器和授权服务器属于同一个可信域。也就意味着,授权服务器知道资源服务器哪些资源需要被保护,资源服务器也知道如何验证由授权服务器产生的令牌。授权服务器和资源服务器类似于一种强耦合的关系。此外,很显然的,资源所有者和资源服务器也具有相互信任关系。

由于,上面提到的客户端可以由第三方提供,所以其不需要和授权服务器或者资源服务器属于同一个可信域。

6b48a7d466462fbc84d357fb704946ba.png

OAuth 2涉及到的可信域

OAuth 2 流程

由于OAuth 2可以应用在不同的客户端和场景,也就导致了OAuth 2有4种不同的流程。

前两种流程涉及到了用户的交互,需要用户进行明确的授权许可。

授权码流程(Authorization Code Flow)

使用最为广泛的一种流程,基于浏览器的访问基本都使用这种流程。

  • 请求授权码
  • 请求令牌
  • 访问资源

简化模式(Implicit Flow)

  • 请求令牌
  • 访问资源

另外两种属于不需要进行任何的用户交互。

密码模式(Resource Owner Password Credential Flow)

这是类似于一些企业内部使用的授权模式。

  • 使用资源所有者的用户名密码进行令牌请求
  • 访问资源

客户端模式(Client Credential Flow)

这用于客户端到服务器的通信。

  • 使用客户端的凭据进行令牌请求
  • 访问资源

这四种模式的具体流程,我们会在之后的文章中进行详细介绍。

参考

RFC 6749 – The OAuth 2 2.0 Authorization Framework

weixin_39928801
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oauth2 access_denied允许访问_OAuth2.0系列之密码模式实践教程(四)
weixin_39708854的博客
12-10 535
OAuth2.0系列之密码模式实践教程(四)1、密码模式简介1.1 前言简介1.2 授权流程图2、例子实践2.1 实验环境准备2.2 OAuth2.0角色2.3 OAuth2.0配置类2.4 Security配置类2.5 功能简单测试OAuth2.0系列博客:OAuth2.0系列之基本概念和运作流程(一)OAuth2.0系列之授权码模式实践教程(二)OAuth2.0系列之简化模式实践教程...
oauth2 access_denied允许访问_「全栈修炼」OAuth2 修炼宝典
weixin_39720181的博客
12-06 771
一、OAuth 概念开放授权(OAuth)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 —— 维基百科严格来说,OAuth2 不是一个标准协议,而是一个安全的授权框架。其详细描述系统中不同角色,用户,服务前端应用(如 API )以及客户端(如网站或APP)之间如何实现相互认证。当前 OAuth 协议版...
和特朗普吃了顿饭后写下了这篇文章
Jack Li 的博客
11-10 360
GitHub OAuth2.0 登录 SpringBoot 原理与实战 文章目录GitHub OAuth2.0 登录 SpringBoot 原理与实战1. 前言2. OAuth 角色3. OAuth 许可3.1 授权码3.2 隐式许可3.3 资源所有者密码3.4 客户凭证4. 实战演练4.1 应用登记4.2 在浏览器提供通过 GitHub 登录的界面4.3 跳转到 GitHub 进行授权4.4 返回授权码4.5 通过 access_token 访问资源4.6 根据获取到的用户信息和业务对用户进行认证 1.
SpringBoot学习笔记(十五:OAuth2 )
最新发布
2401_84093490的博客
05-04 1418
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!{“access_token”:“ACCESS_TOKEN”,“token_type”:“bearer”,“expires_in”:2592000,“refresh_token”:“REFRESH_TOKEN”,“scope”:“read”,“uid”:100101,“info”:{…}}上面 JSON 数据中,access_token字段就是令牌,A 网站在后端拿到了。有些 Web 应用是纯前端应用,没有后
oauth2 access_denied允许访问_你真的理解OAuth2.0协议吗?深入解读OAuth2.0协议
weixin_39623750的博客
11-26 1094
前言从事互联网开发的同学们应该或多或少听说过 OAuth2.0 协议,例如使用微信或支付宝账户登录第三方App,这是 OAuth2.0 最为开发人员所熟知的一个用途,但是围绕着 OAuth2.0 协议其实还有很多有意思的内容可以挖掘,我们可以用它以及它的扩展协议来做许多有用的东西。因此我打算写一个系列来详细介绍 OAuth2.0 以及围绕它所产生的一些扩展协议和优良实践。如果你正想要设计一个基于 ...
oauth2 access_denied允许访问_SpringBoot安全管理之OAuth2详解
weixin_39805355的博客
12-01 731
本章内容什么是OAuth2OAuth2角色有哪些OAuth2授权流程OAuth2授权模式什么是OAuth2Auth2是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无须将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务器提供者的数据。每一个令牌授权一个特定的网...
Ruby-OAuth2一个OAuth20协议的Ruby封装
08-15
Ruby-OAuth2库提供了丰富的错误处理机制,例如`OAuth2::Error`和`OAuth2::AccessDenied`,可以帮助开发者快速识别和解决问题。 总之,Ruby-OAuth2是Ruby开发者实现OAuth 2.0授权的重要工具,它通过简洁的接口和易于...
Spring Security OAuth2的resource_id配置和验证.docx
07-04
举例来说,如果 client1 被授权访问 "test-resource",但尝试访问 "oauth-rs",Resource Server 将返回类似这样的错误响应: ```json { "error": "access_denied", "error_description": "Invalid token does not ...
Python-FlaskOAuthlibOAuth10a20客户端实现供Flask使用
08-11
**OAuth 1.0/a** 是一种早期的授权协议,主要用于保护用户数据不被恶意应用程序访问OAuth 1.0/a流程通常涉及四个角色:资源所有者(用户)、客户端(你的Flask应用)、认证服务器(如Twitter)和资源服务器(存储...
aws-amplify-cognito-authentication:使用AWS Amplify Cognito的功能全面的用户身份验证-无服务器| 角度的
05-17
2. 配置AWS Amplify:在`main.ts`或单独的配置文件中设置AWS Cognito的配置。这通常包括身份池ID、区域和用户池ID: ```typescript import { AmplifyConfig } from './amplify-config'; Amplify.configure...
spring-security入门
12-19
`access-denied-page="/403.jsp"`表示当用户没有权限访问某个资源时,系统会跳转到`403.jsp`页面显示错误信息。 配置`<http>`元素时,可以设置各种属性,例如: - `use-expressions`:启用基于表达式的访问决策...
拒绝访问异常处理(AccessDeniedException)_spring security例子
09-23
拒绝访问异常处理(AccessDeniedException)_spring security例子 博客:blog.csdn.net/dsundsun
oauth2 access_denied允许访问_一文看懂OAuth2.0认证
weixin_39777875的博客
12-22 1304
本文介绍一下OAuth(Open Authentication).账号密码登录当我们登录一个网站时,我们经常需要输入账号密码。网站 数据库 +------------+ +------------------------+ | 账号 | --------------> | 对密码...
oauth2 access_denied允许访问_自定义AccessDecisionManager实现类选举法(少数服从多数且超过半数同意)的访问决策...
weixin_39974958的博客
12-01 645
前面讲过 Spring Security 框架实现的一个 AccessDecisionManager,是少数服从多数的授权访问决策。但是,在具体业务场景中,可能还会遇到类似于选举法的授权场景,即少数服从多数且超过半数同意。那么,本次便参考此授权决策方案,自定义一个 AccessDecisionManager。由于核心授权逻辑还是少数服从多数,所以我们部分参考一下 ConsensusBased 的授...
Oauth2入门
ww55123793的博客
09-20 1023
Oauth2有以下授权模式: 授权码模式(Authorization Code) 隐式授权模式(Implicit) 密码模式(Resource Owner Password Credentials) 客户端模式(Client Credentials) 其中授权码模式和密码模式应用较多 授权码模式 授权码授权流程: 客户端请求第三方授权 认证服务器生成用户授权协议,用户同意授权,认证服务器将协议唯一号(授权码)响应给客户端 客户端获得授权码, 然后请求认证服务器申请令牌 认证服务器生成令牌后向客户端响应
Spring Security中遇到的问题 org. . .AccessDeniedException:Access is denied
m0_37648645的博客
08-09 1706
直接上图 这是在整合SSM案例中使用Spring Security遇到的问题,一直没有解决,但是程序依然能够正常运行 附上练习案例https://github.com/YellowDii/J2EE-SSM 记录下来。 ...
springboot oauth2登录成功处理器_Spring Cloud Security:Oauth2使用入门
weixin_39756540的博客
11-21 985
Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录、令牌中继、令牌交换等功能,本文将对其结合Oauth2入门使用进行详细介绍OAuth2 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。OAuth2 相关名词...
spring security+Oauth2密码模式认证时,报401,Unauthorized的问题排查
热门推荐
jll126的博客
10-22 1万+
第一种情况: 进行 /auth/token的post请求时,没有进行httpbasic认证。 什么是http Basic认证? http协议的一种认证方式,将客户端id和客户端密码按照“客户端ID:客户端密码”的格式拼接,并用base64编码,放在 header中请求服务端。例子如下: Authorization:Basic ASDLKFALDSFAJSLDFKLASD= ASDLKFALDSFAJSLDFKLASD= 就是 客户端ID:客户端密码 的64编码 springsecurity中的...
oauth2 access_denied允许访问_OAuth2.0系列之客户端模式实践教程(五)
weixin_39590989的博客
12-10 2066
OAuth2.0系列之客户端模式实践教程(五)1、客户端模式简介1.1 前言简介1.2 授权流程图2、例子实践2.1 实验环境准备2.2 OAuth2.0角色2.3 OAuth2.0配置类2.4 Security配置类2.5 功能简单测试OAuth2.0系列博客:OAuth2.0系列之基本概念和运作流程(一)OAuth2.0系列之授权码模式实践教程(二)OAuth2.0系列之简化模式实践...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值