《开放平台鉴权方式详解:OAuth 2.0、API Key、HTTP Basic Authentication》

已于 2023-05-30 23:35:46 修改
阅读量3.9k 收藏 9
点赞数
分类专栏: API相关 文章标签: http java 前端
于 2023-04-22 23:26:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42233867/article/details/130311075
版权

当今开放平台已经成为了很多应用程序的核心,如何在保证用户数据安全的前提下,为第三方应用程序提供必要的数据访问权限,是开放平台鉴权方式设计的关键问题之一。本文将从 OAuth 2.0API KeyHTTP Basic Authentication 三个方面来介绍开放平台主要鉴权方式。
在这里插入图片描述

之前写过一篇文章,主要介绍鉴权相关的内容:
常用的鉴权方式及它们之间的区别(JWT、Session、SSO等)

(图解)OAuth 2.0授权模式及应用场景

一、开放平台常见的接口鉴权方式主要包括以下几种:

  1. OAuth 2.0OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式:授权码模式、隐式授权模式、密码模式和客户端模式。OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权。

  2. JWT(JSON Web Token)JWT是一种轻量级的、基于JSON的令牌,用于在客户端和服务端之间传递安全的信息。JWT由三部分组成:头部、载荷和签名。JWT具有无状态、可扩展、易于实现等特点,适用于分布式系统的接口鉴权。

  3. Basic AuthBasic Auth是一种HTTP基本认证方式,客户端将用户名和密码用Base64编码后,放在HTTP请求头Authorization中传输。Basic Auth简单易用,但安全性较低,容易被攻击者截获。

  4. HMACHMAC(Hash-based Message Authentication Code)是一种基于哈希算法的鉴权方式,通过加密后的密钥来验证请求的合法性。HMAC具有防篡改、安全性高等特点,但相对较为复杂,不易实现。

  5. API KeyAPI Key是一种简单的接口鉴权方式,通过将API Key放在请求头或URL参数中,服务端验证API Key的合法性。API Key易于实现,但安全性较低,容易被攻击者盗取。

综上所述,不同的接口鉴权方式各有优缺点,应根据具体的业务场景和安全需求进行选择。

OAuth 2.0

OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0的核心是授权(Authorization),即用户授权第三方应用访问自己的资源。

OAuth 2.0 是目前应用最广泛的开放平台鉴权方式之一。它允许用户授权第三方应用程序访问他们的数据,而无需将用户的密码等敏感信息传递给第三方应用程序。OAuth 2.0 采用了四种授权方式:

  1. 授权码模式(Authorization Code Grant):用户在授权页面输入用户名和密码后,服务器返回授权码,然后第三方应用程序使用授权码请求访问令牌。

  2. 简化模式(Implicit Grant):适用于纯前端应用,客户端在获取授权码时,直接将访问令牌返回给客户端。

  3. 密码模式(Password Grant):用户将用户名和密码发送给第三方应用程序,第三方应用程序直接向授权服务器请求访问令牌。

  4. 客户端模式(Client Credentials Grant):适用于没有用户交互的应用程序,客户端使用其客户端凭证直接向授权服务器请求访问令牌。

常见的应用包括 Google API、Facebook API、Twitter API 等。
国内的比如 飞书、有赞、钉钉、企业微信等

API Key

API Key 是一种非常简单的鉴权方式,通过为每个应用程序分配唯一的 API Key,服务器可以识别并控制每个应用程序的访问权限。应用程序在请求时,需要将 API Key 作为请求参数或请求头的一部分发送给服务器。

API Key 的优点是易于实现和使用,适用于访问公共数据的应用程序。
国外常见的应用包括 Google Maps API、Twitter API 等。
国内常见的应用包括 天眼查、百度智能云、
HTTP Basic Authentication

HTTP Basic Authentication 是一种基于用户名和密码的鉴权方式。在 HTTP 请求中,客户端发送包含用户名和密码的请求头,服务器对这些信息进行验证。这种方式简单易用,但不够安全。

常见的应用包括 GitHub API、Jenkins API 等。

综上所述,开放平台鉴权方式的选择要根据具体的应用场景和安全需求来决定。在选择鉴权方式时,需要考虑应用的安全性、易用性、可扩展性等因素,以便更好地保护用户的隐私和数据安全。

二、OAuth 2.0、API Key、HTTP Basic Authentication 是三种常用的认证方式,它们的工作流程

OAuth 2.0
OAuth 2.0 的工作流程主要包括以下几个步骤:

  1. 客户端向授权服务器发送请求,请求获取访问令牌。
  2. 授权服务器向客户端发送访问令牌。
  3. 客户端使用访问令牌向资源服务器发送请求。
  4. 资源服务器对客户端的请求进行验证,并返回请求的资源。

在 OAuth 2.0 中,客户端向授权服务器发送请求时需要提供客户端 ID 和客户端密钥。如果授权服务器验证通过,将向客户端颁发访问令牌。访问令牌用于向资源服务器发送请求,以便访问受保护的资源。

API Key
API Key 的工作流程比较简单,主要包括以下几个步骤:

  1. 客户端向服务端发送请求,请求获取 API Key。
  2. 服务端向客户端发送 API Key。
  3. 客户端将 API Key 作为请求参数或请求头的一部分发送给服务端。
  4. 服务端验证 API Key 的有效性,并返回请求的资源。

在 API Key 的工作流程中,客户端需要向服务端请求 API Key,服务端验证客户端的身份,并颁发 API Key。客户端将 API Key 作为请求参数或请求头的一部分发送给服务端,服务端验证 API Key 的有效性,并返回请求的资源。

HTTP Basic Authentication
HTTP Basic Authentication 的工作流程如下:

  1. 客户端向服务端发送请求,请求访问资源。
  2. 服务端返回 401 Unauthorized 响应码,并要求客户端提供用户名和密码。
  3. 客户端将用户名和密码编码为 base64 字符串,并将其作为 Authorization 请求头的一部分发送给服务端。
  4. 服务端验证用户名和密码,并返回请求的资源。

在 HTTP Basic Authentication 的工作流程中,客户端向服务端发送请求,并提供用户名和密码。服务端验证用户名和密码的有效性,并根据结果返回请求的资源。

总之,这三种认证方式的工作流程有所不同,适用于不同的场景和需求。选择合适的认证方式可以提高系统的安全性和可靠性。

ibuki++
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何在OpenAI创建一个api key(chatgpt)?
weixin_44825557的博客
03-05 7万+
如何在OpenAI创建一个api key
接口测试中的Token鉴权(Postman中Token的获取和引用)
热门推荐
weixin_44901808的博客
08-25 1万+
Token的获取和引用
记一次OAuth2.0用户鉴权
Karka_的博客
06-21 987
这就是我的一次OAuth2鉴权登录的完整记录啦,(找了蛮多资料发现叙述完整流程的很少,踩了蛮多坑,所以自己动手写了个完整的 ~)接下来我将给各位同学划分一张学习计划表!
【软件开发/设计API接口简介
weixin_46453070的博客
01-08 1398
API(应用程序编程接口)是一组规则和协议,用于建立不同软件程序间的通信。它允许不同的应用程序或系统相互交换数据和功能,而无需了解对方的内部工作原理。API接口在现代软件开发中起着至关重要的作用,特别是在实现模块化设计和服务导向架构(SOA)方面。REST API是一种轻量级、灵活、无状态的API设计方式,适用于大多数现代Web服务。SOAP API是一种更为严格和标准化的协议,适用于对安全性和事务性有高要求的企业环境。
快试试用 API Key 来保护你的 SpringBoot 接口安全吧
IT界那些事儿
06-29 980
安全性在REST API开发中扮演着重要的角色。一个不安全的REST API可以直接访问到后台系统中的敏感数据。因此,企业组织需要关注API安全性。Spring Security 提供了各种机制来保护我们的 REST API。其中之一是 API 密钥。API 密钥是客户端在调用 API 调用时提供的令牌。在本教程中,我们将讨论如何在Spring Security中实现基于API密钥的身份验证。实现思路是从请求头中获取API Key,然后使用我们的配置检查秘钥。
OAuth 2.0 授权认证详解
emprere的博客
07-15 7351
点击关注公众号:互联网架构师,后台回复2T获取2TB学习资源!上一篇:Alibaba开源内网高并发编程手册.pdf目录1、Auth2.0 协议简介2、OAuth 2.0的授权认证流程OAuth 2.0 的核心概念认证思路与流程3、OAuth2.0 的四种模式授权码模式(authorization c...
详解OAuth 2.0授权协议(Bearer token)
u012324798的博客
04-20 1万+
OAuth 2.0授权协议1 认证(Authentication)2 授权(Authorization)3 OAuth 2.0与认证机制的联系4 详解OAuth 2.0授权协议4.1 授权码流程4.2 如何使用refresh_token换发新的access_token?4.3 access token的具体用法(Bearer token)4.4 客户机应用如何把access token传递给资源服...
最新版微服务架构鉴权解决方案Spring Cloud Gateway + Oauth2.0+mybatis+mysql+redis+nacos 统一认证和鉴权
Dream_it_possible!的博客
04-29 1万+
环境列表 网关服务。以springboot+springcloud+gateway 实现的网关服务。 Nacos server注册中心。本地或云上的Nacos server。 普通微服务: user-service。需要将user-service注册到Nacos。 Auth2 server 授权服务器。 需要将Auth2 server注册到Nacos。 资源服务器。 将user-service 配置成资源服务器。Oauth2.0原理简介 授权服务器: 给具有权限的资源拥有者对
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3288
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
meoc:OAuth 2.0API客户端
02-22
**OAuth 2.0 API 客户端:meoc** `meoc` 是一个基于Go语言实现的OAuth 2.0 API客户端库,专为开发者设计,方便他们在自己的应用程序中安全地集成和交互与OAuth 2.0授权服务器。OAuth 2.0是一种广泛采用的授权框架,...
oauth2.0:oauth2.0
06-09
在提供的压缩包文件 "oauth2.0-master" 中,可能包含了实现 OAuth2.0Java 代码示例,包括认证服务器和资源服务器的配置、客户端的实现以及相关的测试用例。通过查看和学习这些代码,可以深入了解如何在实际项目...
OAuthMongo:OAuth2.0和mongoDB
05-05
OAuth 2.0是一种广泛使用的开放标准,它允许第三方应用在用户许可的情况下,安全地访问受保护的资源,如用户数据、API接口等。MongoDB则是一个流行的NoSQL数据库系统,以其灵活性、高性能和易扩展性而闻名。 OAuth ...
OAuth2Server:OAuth 2.0提供程序
05-11
目前,我们打算支持三种主要用例: 对受信任的客户端应用程序进行集中的用户帐户管理和身份验证作为OAuth 2.0提供程序的第三方API访问单点登录使用OAuth2Server OAuth2Server作为npm软件包提供。 $ npm install ...
react-google-oauth2.0:使用OAuth 2.0响应前端登录并集成Rest API后端
03-17
ReactGoogle OAuth 2.0 轻松将Google OAuth 2.0单一登录添加到React应用,并让您的服务器处理您的访问和刷新令牌。 该库可直接与配合使用,并以最少的设置立即提供Google OAuth 2.0集成。 文件: : 安装 npm ...
我去,怎么http全变https了
qq_17105113的博客
07-19 9257
HTTP的。
WHAT - 不同 HTTP Methods 使用场景、使用方法和可能遇到的问题
最新发布
weixin_58540586的博客
07-25 1315
GETPOSTPUTPATCHDELETEHEADCONNECTOPTIONSTRACE<custom>HTTP 方法是用于指示请求的类型的动作的标准化方式。GET: 从服务器检索资源。通常用于获取数据。POST: 向服务器发送数据以创建资源。常用于提交表单或上传文件。PUT: 向服务器发送数据以更新资源。通常用于更新现有资源的全部内容。PATCH: 向服务器发送部分数据以更新资源。通常用于部分更新资源。DELETE: 从服务器删除资源。HEAD。
HttpHttps 的区别(图文详解
栗筝i的博客
07-22 2343
HTTP(Hypertext Transfer Protocol)和 HTTPS(Hypertext Transfer Protocol Secure)是用于在网络上进行通信的协议。它们的主要区别在于安全性和加密方式
C++安装jsoncpp
12-09
以下是安装jsoncpp的步骤: 1.下载jsoncpp库,可以从官网http://jsoncpp.sourceforge.net/下载最新版本的源代码。 2.解压下载的源代码文件。 3.打开终端,进入jsoncpp目录。 4.创建一个build目录,并进入该目录。 5.运行cmake命令,生成Makefile文件: ```shell cmake .. ``` 6.运行make命令,编译jsoncpp库: ```shell ``` 7.运行make install命令,安装jsoncpp库: ```shell sudo make install ``` 8.安装完成后,在你的C++代码中添加以下头文件即可使用jsoncpp库: ```c++ #include <json/json.h> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值