oauth2.0 授权码模式的一些思考

已于 2023-02-24 18:56:33 修改
阅读量396 收藏
点赞数 1
文章标签: java
于 2023-02-21 19:04:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43213517/article/details/129148130
版权
文章讨论了OAuth2.0授权码模式中为何需要授权码code以确保安全,以及access_token失效后使用refresh_token的原因,主要是为了避免频繁的用户授权。同时,对于没有服务器的移动端应用,提出了一种利用散列算法增强安全性的解决方案,防止app_secret泄露。
摘要由CSDN通过智能技术生成

oauth2.0 授权码模式问题

1、oauth2.0 协议 授权码模式中,为什么需要引入授权码code?

如果没有code,在用户授权完成后,授权服务携带access_token调用三方服务的后端接口,将access_token 交给第三方服务的后端,不能通过重定向的方式进行(access_token 不能暴露在浏览器中,避免泄漏)。
这样的话,用户点击完授权后,不能跳转回第三方软件,一直在授权页面 体验不好,当然 第三方服务拿到token后,可以自己重定向回自己的页面。
相对来说比较麻烦。

2、为什么access_token失效后,要使用refesh_token获取access_token,而不是直接获取access_token?

因为access_token的获取需要code + 用户的授权操作,每一次获取都需要一次授权 影响用户体验。

3、没有server的移动端如何使用授权码模式

传统的授权码模式,第三方应用服务端通过code获取到access_token,但是有的移动端应用并没有服务端,如果把app_secret保存到客户端,一旦泄漏,问题很大,因此为了解决这个问题,引入了以下这种方案:

首先,客户端使用一个散列算法生成根据一个随机数生成另一个数,然后在获取code的时候,将生成的数字和散列算法都发到授权服务,因为散列是不可逆的,即使被拦截,也无法推出原来的数字是什么,授权服务保存数字和散列算法,这样待下次通过code换取token的时候,将原来的数字发过去,服务端通过散列算法进行校验,判断是否一致。

如果获取code的过程中,算法和数字被拦截,然后被替换,那么真实的客户端,再次获取token会获取失败,token不会泄漏

你的酒窝里有酒
关注
开放平台实现安全的身份认证与授权原理与实战:理解OAuth2.0协议
AI天才研究院
11-13 157
1.背景介绍 什么是“开放平台”? 开放平台(Open Platform)是指开发者可以访问、使用和分享第三方应用程序或服务而不需要获得该公司的许可。该平台通过开放的API接口向外提供服务。例如,亚马逊云服平台(AWS)就属于开放平台,任何人都可以通过该平台购买虚拟服务器、存储空间等云计算服务。开放平台不仅允许开发者创建自己的应用,还允许将其分享给其
Day973.授权许可类型中,为什么一定要有授权? -OAuth 2.0
阿昌爱Java
06-05 853
从为什么需要授权这个问题开始讲起,并通过授权授权许可流程整体的通信过程串了一遍,提到了授权这种方式解决的问题,也提到了授权流程的通信方式。总结来说,以下两点。授权许可流程有两种通信方式。一种是前端通信,因为它通过浏览器促成了授权的交互流程,比如京东商家开放平台的授权服务生成授权发送到浏览器,第三方软件小兔从浏览器获取授权。正因为获取授权的时候小兔软件和授权服务并没有发生直接的联系,也叫做间接通信。另外一种是后端通信,在小兔软件获取到授权之后,在后端服务直接。
OAUTH2.0 需要授权Authentication Code存在的真正原因
perry_x的专栏
09-06 6858
OAUTH2.0 有几种认证方式,最安全的是授权模式 (Authentication code) 附:引用 OAUTH2.0 流程图: 图中用户/用户浏览器为资源的owner, 要访问的服务器(图中的中间部分)是OAuth Client, 图中右边为OAuth Server. 原因: 在上图的步骤4中, OAuth Server请求用户输入用户名和密, 然后用户在浏览器输入用户名...
OAuth2授权存在的意义
王子箫の博客
05-16 717
OAuth2授权存在的意义 OAuth2的实际应用中,最常见的就是“授权模式” 微博是这种模式,微信也是这种模式。 总结来说,就是简单的二步: 1.获取code 2.根据code,去获取access_token 以微博为例:微博开放平台-授权机制 假设我们开发一个网站(称为client;相对应的,微博就是server了),网站允许用户以微博账号登录,且需要读取用户的微博信息(账号、评论等等)。 显然,这过程中需要用户授权。 第一步: https://api.weibo.com/oauth2/
02 | 授权许可类型中,为什么一定要有授权?笔记
weixin_39924752的博客
03-06 372
授权许可流程有两种通信方式。在 OAuth 2.0 中,访问令牌被要求有极高的安全保密性,因此我们不能让它暴露在浏览器上面,只能通过第三方软件(比如小兔)的后端服务来获取和使用,通过授权的方式,可以让用户小明在授权服务上给小兔授权之后,还能重新回到小兔的操作页面上。原文。
OAuth2.o的授权模式为什么要用code获取token?
Authing的博客
11-17 1764
OAuth2.0 zhua难题持续更新。
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3639
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密即可登录微信,输入账号和密 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
OAuth 2.0(三):令牌机制
weixin_34975714的博客
11-17 641
令牌机制
基于Spring Security OAuth2.0、JwtToken的微服务鉴权Demo
xiaxuepiaopiao的博客
05-07 3845
一、前记 记得很久之前面试美的,当时吹水微服务,被人问到一个问题:微服务鉴权如何处理的?嗯,很简单一个问题,但是懵逼了(水平不行啊),自然就挂了,后面就想以后吹水微服务一定要做好鉴权这一块的内容。 二、准备知识 Spring Security、OAuth2.0、Jwt;网上有很多内容,这里不赘述。 OAuth2.0主要学几种模式,如密模式、客户端模式等等,这里我们使用模式。 三、参考文章 本...
OAuth 2.0授权流程解析及在餐厅外卖点餐小程序中的应用
OAuth 2.0是一种开放标准,允许用户授权第三方应用访问其在另一个服务提供者上的信息,而无需共享他们的凭据。这使得用户可以在不暴露其用户名和密的情况下安全地共享他们的资源。 ## 1.2 OAuth 2.0的核心概念 ...
OAuth2.0的一些疑问
爬不上树的小松鼠
09-26 653
OAuth的一些疑问
02 | 授权许可类型中,为什么一定要有授权
qq_37756660的博客
11-30 1016
回顾下重点内容。从为什么需要授权这个问题开始讲起,并通过授权授权许可流程整体的通信过程串了一遍,提到了授权这种方式解决的问题,也提到了授权流程的通信方式。总结来说,需要记住以下两点。1. 授权许可流程有两种通信方式。一种是前端通信,因为它通过浏览器促成了授权的交互流程,比如京东商家开放平台的授权服务生成授权发送到浏览器,第三方软件小兔从浏览器获取授权。正因为获取授权的时候小兔软件和授权服务并没有发生直接的联系,也叫做间接通信。另外一种是后端通信,在小兔软件获取到授权之后,
AIOC工具箱授权2024-03-19到期
最新发布
songsiwang的博客
02-20 737
授权6693864104,拿走不谢!
AIOC工具箱授权2021-07-24到期
qq_44785837的博客
07-09 2867
还有九台机器可连
OAuth 2.0实战(二)-为什么要先获取授权code?
热门推荐
JavaEdge全是干货的技术号
10-18 9万+
xx软件最终是通过访问令牌请求到我的公众号里的文章。访问令牌是通过授权换来的。你有想过为何要用授权换令牌,而不直接颁发访问令牌呢? OAuth 2.0 的角色 资源拥有者、客户端(即第三方软件)、授权服务和受保护资源。 资源拥有者=> 我 客户端 => xx软件 授权服务 -> 公众号开放平台的授权服务 受保护资源 -> 我的公众号里的文章 第 4 步授权服务生成授权,倘若我们不要授权,这步直接返回访问令牌access_token 。那就不能重定向,因为这样会把安全保密
OAuth 核心思想 为什么要通过Authorization Code获取Access Token
dns007
02-09 9950
OAuth 2.0的运行流程如下图,摘自RFC 6749。OAuth运行流程(A)用户打开客户端以后,客户端要求用户给予授权。(B)用户同意给予客户端授权。(C)客户端使用上一步获得的授权,向认证服务器申请令牌。(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。(E)客户端使用令牌,向资源服务器申请获取资源。(F)资源服务器确认令牌无误,同意向客户端开放资源。OAuth2中最典型的Au...
理解OAuth2.0认证与客户端授权模式详解
爱琴孩的博客
05-20 1万+
什么是OAuth协议 OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth授权不会使第三方触及到用户的帐号信息(如用户名与密),即第三方无需使用用户的用户名与密就可以申请获得该用户资源的授权,因此 OAuth是安全的。OAuth 是 Open Authorization 的简写 OAuth 本身不存在一个标准的实现,后端开发者自己根据实际...
实现OAuth2.0服务端【授权模式(Authorization Code)】
u014386474的博客
06-07 4万+
要实现OAuth服务端,就得先理解客户端的调用流程,服务提供商实现可能也有些区别,实现OAuth服务端的方式很多,具体可能看http://oauth.net/code/ 各语言的实现有(我使用了Apache Oltu): Java Apache OltuSpring Security for OAuthApis Authorization Server (v2-3
springboot oauth2.0 授权模式
05-11
SpringBoot OAuth2.0 授权模式是一种常见的授权方式,通常用于安全访问受保护的 API。在此模式下,客户端必须向授权服务器发送一个授权请求,授权服务器返回一个授权,客户端使用授权向资源服务器请求访问令牌,最终客户端使用该访问令牌访问受保护的 API。 SpringBoot 提供了 OAuth2.0 授权模式的支持,使用 Spring Security 相关组件实现了 OAuth2.0授权相关功能。在 SpringBoot 应用中,我们可以通过编写配置类来配置 OAuth2.0 客户端和资源服务器相关参数,从而启用授权模式,具体流程如下: 1. 配置 OAuth2.0 客户端参数,包括授权服务器 URL、客户端 ID、客户端密钥等。 2. 在客户端应用中发起授权请求,包括重定向到授权服务器的 URL、授权类型等参数。 3. 授权服务器验证请求参数,生成授权并将其返回给客户端。 4. 客户端使用授权授权服务器请求访问令牌。 5. 授权服务器验证授权并生成访问令牌,将其返回给客户端。 6. 客户端使用访问令牌访问受保护的 API。 SpringBoot OAuth2.0 授权模式提供了一种安全的访问 API 的方式,可以保护 API 的访问安全。同时,通过使用 Spring Security 相关组件,开发者可以轻松地完成授权相关的配置操作,从而集中关注业务逻辑的实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值