oauth2.0 授权码模式的一些思考

已于 2023-02-24 18:56:33 修改
阅读量312 收藏
点赞数 1
文章标签: java
于 2023-02-21 19:04:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43213517/article/details/129148130
版权

oauth2.0 授权码模式问题

1、oauth2.0 协议 授权码模式中,为什么需要引入授权码code?

如果没有code,在用户授权完成后,授权服务携带access_token调用三方服务的后端接口,将access_token 交给第三方服务的后端,不能通过重定向的方式进行(access_token 不能暴露在浏览器中,避免泄漏)。
这样的话,用户点击完授权后,不能跳转回第三方软件,一直在授权页面 体验不好,当然 第三方服务拿到token后,可以自己重定向回自己的页面。
相对来说比较麻烦。

2、为什么access_token失效后,要使用refesh_token获取access_token,而不是直接获取access_token?

因为access_token的获取需要code + 用户的授权操作,每一次获取都需要一次授权 影响用户体验。

3、没有server的移动端如何使用授权码模式

传统的授权码模式,第三方应用服务端通过code获取到access_token,但是有的移动端应用并没有服务端,如果把app_secret保存到客户端,一旦泄漏,问题很大,因此为了解决这个问题,引入了以下这种方案:

首先,客户端使用一个散列算法生成根据一个随机数生成另一个数,然后在获取code的时候,将生成的数字和散列算法都发到授权服务,因为散列是不可逆的,即使被拦截,也无法推出原来的数字是什么,授权服务保存数字和散列算法,这样待下次通过code换取token的时候,将原来的数字发过去,服务端通过散列算法进行校验,判断是否一致。

如果获取code的过程中,算法和数字被拦截,然后被替换,那么真实的客户端,再次获取token会获取失败,token不会泄漏

你的酒窝里有酒
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OAUTH2.0 需要授权Authentication Code存在的真正原因
perry_x的专栏
09-06 6670
OAUTH2.0 有几种认证方式,最安全的是授权模式 (Authentication code) 附:引用 OAUTH2.0 流程图: 图中用户/用户浏览器为资源的owner, 要访问的服务器(图中的中间部分)是OAuth Client, 图中右边为OAuth Server. 原因: 在上图的步骤4中, OAuth Server请求用户输入用户名和密, 然后用户在浏览器输入用户名...
OAuth2.0授权模式.doc
07-27
OAuth2.0授权模式.doc OAuth2.0授权模式的文档,希望可以帮助学习者
Day973.授权许可类型中,为什么一定要有授权? -OAuth 2.0
阿昌爱Java
06-05 744
从为什么需要授权这个问题开始讲起,并通过授权授权许可流程整体的通信过程串了一遍,提到了授权这种方式解决的问题,也提到了授权流程的通信方式。总结来说,以下两点。授权许可流程有两种通信方式。一种是前端通信,因为它通过浏览器促成了授权的交互流程,比如京东商家开放平台的授权服务生成授权发送到浏览器,第三方软件小兔从浏览器获取授权。正因为获取授权的时候小兔软件和授权服务并没有发生直接的联系,也叫做间接通信。另外一种是后端通信,在小兔软件获取到授权之后,在后端服务直接。
OAuth2授权存在的意义
王子箫の博客
05-16 645
OAuth2授权存在的意义 OAuth2的实际应用中,最常见的就是“授权模式” 微博是这种模式,微信也是这种模式。 总结来说,就是简单的二步: 1.获取code 2.根据code,去获取access_token 以微博为例:微博开放平台-授权机制 假设我们开发一个网站(称为client;相对应的,微博就是server了),网站允许用户以微博账号登录,且需要读取用户的微博信息(账号、评论等等)。 显然,这过程中需要用户授权。 第一步: https://api.weibo.com/oauth2/
02 | 授权许可类型中,为什么一定要有授权?笔记
weixin_39924752的博客
03-06 334
授权许可流程有两种通信方式。在 OAuth 2.0 中,访问令牌被要求有极高的安全保密性,因此我们不能让它暴露在浏览器上面,只能通过第三方软件(比如小兔)的后端服务来获取和使用,通过授权的方式,可以让用户小明在授权服务上给小兔授权之后,还能重新回到小兔的操作页面上。原文。
OAuth2.o的授权模式为什么要用code获取token?
Authing的博客
11-17 1636
OAuth2.0 zhua难题持续更新。
Spring Security OAuth2 授权模式的实现
08-18
Spring Security OAuth2 授权模式OAuth 2.0 授权流程中的一种常见模式,该模式要求用户登录并对第三方应用(客户端)进行授权,出示授权交给客户端,客户端凭授权换取 access_token(访问凭证)。...
OAuth2.0模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant 的授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
OAuth 2.0授权协议详解
10-25
主要介绍了OAuth 2.0授权协议详解,本文对OAuth协议做了详解讲解,对OAuth协议的各个方面做了分解,读完本文你就会知道到底啥是OAuth了,需要的朋友可以参考下
Oauth2.0模式客户端及模拟服务端手动实现
07-18
Oauth2.0模式单点登录客户端及服务端实现,导入MAVEN工程,导入Client1-root ,包含7个子工程,client1-web,client2-web是客户端项目,sessmgr是服务端,运行这3个项目 ,可测试单点登录功能
OAuth2.0的一些疑问
爬不上树的小松鼠
09-26 458
OAuth的一些疑问
AIOC工具箱授权2024-03-19到期
最新发布
songsiwang的博客
02-20 441
授权6693864104,拿走不谢!
AIOC工具箱授权2021-07-24到期
qq_44785837的博客
07-09 2782
还有九台机器可连
OAuth 2.0实战(二)-为什么要先获取授权code?
热门推荐
JavaEdge全是干货的技术号
10-18 9万+
xx软件最终是通过访问令牌请求到我的公众号里的文章。访问令牌是通过授权换来的。你有想过为何要用授权换令牌,而不直接颁发访问令牌呢? OAuth 2.0 的角色 资源拥有者、客户端(即第三方软件)、授权服务和受保护资源。 资源拥有者=> 我 客户端 => xx软件 授权服务 -> 公众号开放平台的授权服务 受保护资源 -> 我的公众号里的文章 第 4 步授权服务生成授权,倘若我们不要授权,这步直接返回访问令牌access_token 。那就不能重定向,因为这样会把安全保密
OAuth 核心思想 为什么要通过Authorization Code获取Access Token
dns007
02-09 9878
OAuth 2.0的运行流程如下图,摘自RFC 6749。OAuth运行流程(A)用户打开客户端以后,客户端要求用户给予授权。(B)用户同意给予客户端授权。(C)客户端使用上一步获得的授权,向认证服务器申请令牌。(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。(E)客户端使用令牌,向资源服务器申请获取资源。(F)资源服务器确认令牌无误,同意向客户端开放资源。OAuth2中最典型的Au...
理解OAuth2.0认证与客户端授权模式详解
爱琴孩的博客
05-20 1万+
什么是OAuth协议 OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth授权不会使第三方触及到用户的帐号信息(如用户名与密),即第三方无需使用用户的用户名与密就可以申请获得该用户资源的授权,因此 OAuth是安全的。OAuth 是 Open Authorization 的简写 OAuth 本身不存在一个标准的实现,后端开发者自己根据实际...
实现OAuth2.0服务端【授权模式(Authorization Code)】
u014386474的博客
06-07 4万+
要实现OAuth服务端,就得先理解客户端的调用流程,服务提供商实现可能也有些区别,实现OAuth服务端的方式很多,具体可能看http://oauth.net/code/ 各语言的实现有(我使用了Apache Oltu): Java Apache OltuSpring Security for OAuthApis Authorization Server (v2-3
oauth2.0 授权模式简单理解
weixin_39887965的博客
10-27 2196
什么是 oauth协议 ? 百度百科上有解释:允许用户提供一个令牌,而不是用户名和密来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要分享他们的访问许可或他们数据的所有内容。 简单的来讲就是一个令牌,这个令牌可以有一定的权限,在不知道用户密的情况下也可以进行部分的功功能操作。用一个例子帮助理解:一
springboot oauth2.0 授权模式
05-11
SpringBoot OAuth2.0 授权模式是一种常见的授权方式,通常用于安全访问受保护的 API。在此模式下,客户端必须向授权服务器发送一个授权请求,授权服务器返回一个授权,客户端使用授权向资源服务器请求访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值