【OAuth2】二、OAuth2的授权方式

已于 2023-05-21 11:19:41 修改
阅读量906 收藏 2
点赞数
文章标签: 前端 服务器 运维
于 2022-07-20 20:59:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43333483/article/details/125900199
版权

这里写目录标题

一、OAuth2的角色

还可以参考这片文章:https://blog.csdn.net/weixin_44446512/article/details/126109616

OAuth2定义了如下角色,并明确区分了它们各自的关注点,以确保快速构建一致性的授权服务:

  • Client 请求授权和请求访问受限资源的客户端程序。
  • Resource Owner 资源拥有者,通常指的是终端用户,其作用是同意或者拒绝、甚至是选择性的给第三方应用程序的授权请求。
  • Authorization Server 对用户授权进行鉴别并根据鉴别结果进行同意或拒绝的授权响应的服务器。
  • Resource Server 能够接受和响应受保护资源请求的服务器。
  • User Agent 用户代理,发起请求的客户端。一般指的是浏览器、APP。

二、 认证流程

在这里插入图片描述

三、授权模式

其中前五种为我们所熟知。

授权方式客户端类型/用例
Authorization code旨在用于具有后端的传统Web应用程序以及本机(移动或桌面)应用程序,以利用通过系统浏览器的单点登录功能
Authorization code旨在用于具有后端的传统Web应用程序以及本机(移动或桌面)应用程序,以利用通过系统浏览器的单点登录功能
Implicit(2.1过时)适用于不带后端的基于浏览器的(JavaScript)应用程序,已经不推荐使用。
Password(2.1过时)对于应用程序和授权服务器属于同一提供程序的受信任本机客户端,已经不推荐使用。
Client credentials客户端以自己的名义来获取许可,而不是以终端用户名义,或者可以说该客户端也是资源拥有者
Refresh token令牌失效后使客户端可以刷新其访问令牌,而不必再次执行代码或 密码授予的步骤。
SAML 2.0 bearer使拥有SAML 2.0断言(登录令牌)的客户端将其交换为OAuth 2.0访问令牌。
JWT bearer拥有一个安全域中的JSON Web令牌断言的客户端将其交换为另一域中的OAuth 2.0访问令牌。
Device code设备的唯一编码,一般该编码不可更改,多用于一些智能设备
Token exchange使用代理模拟的方式获取令牌

四、OAuth2的使用场景

在这里插入图片描述

五、OAuth2 的一些要点

摘自《OAuth 2 实战》:

由于 OAuth2.0 被定义为一个框架,对于 OAuth2.0 是什么和不是什么,一直未明确。我们所说的 OAuth2.0 是指 OAuth2.0 核心规范中定义的协议,RFC 6749 核心规范详述了一系列获取访问令牌的方法;还包括其伴随规范中定义的 bearer 令牌,RFC 6750该规范规定了这种令牌的用法。获取令牌和使用令牌这两个环节是 OAuth2.0 的基本要素。正如我们将在本节中看到的,在更广泛的 OAuth2.0 生态系统中存在很多其他技术,它们配合 OAuth2.0 核心,提供更多 OAuth2.0 本身不能提供的功能。我们认为,这样的生态系统是协议健康发展的体现,但是不应与协议本身混为一谈。

1、基于以上的原则 OAuth2 有以下一些要点需要明确被认识到:

  • OAuth2 并非身份认证协议,虽然在授权的过程中涉及到身份认证,但是 OAuth2协议本身并不处理用户的信息。客户端访问受保护的资源时并不关心资源的拥有者。
  • OAuth2不提供一些消息签名,为了保证安全性所以不应脱离 Https 。在使用其它协议或者系统时也应该明确一个安全机制来承担 Https 所承担的任务。
  • OAuth2并没有定义加密方式,虽然目前使用的较多的是 JOSE 规范
  • OAuth2虽然令牌被客户端持有并使用,但是客户端并不能解析以及处理令牌。
  • OAuth2应该建立在HTTPS协议之上。

2、OAuth2的几个误区

  • OAuth2客户端无法认定资源拥有者就是正确的拥有者,它没有鉴别能力,虽然市面上的OAuth2能够保证授权的安全性,但是OAuth2本身并没有对用户认证提供明确的规范,OAuth2协议仅仅是授权协议。

  • OAuth2和JWT没有必然关系,OAuth2只要不使用JWT bearer模式,就可以不使用JWT。

  • OAuth2现在不仅仅指的是OAuth2.0,还有可能是最新的OAuth2.1。

六、OIDC

OIDC是OAuth2的一个内建协议,是对OAuth2的一个补充,它支持对资源拥有者的认证。

1、 OIDC的关键术语

OIDC规定了一些术语用来提高我们学习的门槛:

  • EU: End User 终端用户
  • RP: Relying Party 即客户端(client),授权和认证的最终消费方。
  • OP: OpenID Provider,对EU进行认证的服务提供者
  • ID Token:JWT格式,EU的认证通过后生成凭证,供RP消费
  • UserInfo Endpoint: 通过凭据查询用户基本信息的接口,建议上HTTPS。
    和OAuth2不同,OIDC是需要JWT来支持的。

2、OIDC 的大致流程

OIDC复用了OAuth2的授权流程,在授权的过程中增加了一些“小动作”来进行用户认证。结合其术语,大致的流程是这样的:

  • RP发送一个认证请求给OP;
  • OP先对EU进行身份认证,确认无误后提供授权;
  • OP把ID Token和Access Token(需要的话)返回给RP;
  • RP使用Access Token发送一个请求UserInfo EndPoint;(可选)
  • UserInfo EndPoint返回EU的Claims。(基于第4个步骤可选)

在这里插入图片描述

3、总结:OIDC比OAuth2多一个功能,可以做用户认证。

七、总结

OAuth2 其实还有个特点,它并不是单体协议。它被分成了多个定义和流程,每个定义和流程都有各自的应用场景,因此它非常庞大,一不小心就容易陷入迷宫要结合对应的特点来。

北城小林
关注
专栏目录
4-OAuth2.0协议简单认识
码农小胖哥
03-16 7815
上一篇胖哥和大家一起通过日志分析了Spring Security OAuth2的authorization_code模式,相信流程你已经了解了一些。但是你会不会有这样的疑问,用户访问客户端自己的资源/foo/hello为啥还要跳到第三方gitee登录?正常情况下自己的资源只要自己认证就能访问,借助于其它平台认证授权是怎么回事? 解惑 Spring Security OAuth2 Login纯粹是“借别人的鸡下自己的蛋”。真正的目的是授权去访问/v5/user获得gitee平台当前用户的信息,借第三方平台的用
一文读懂Oauth2四种客户端授权模式
ningkangming的博客
06-27 1911
Oauth是一个关于授权(authorization)的开放网络工业标准,允许用户授权第三方应用访问用户存储在其它应用上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本。 本文主要介绍Oauth2四种授权模式,包括授权码模式、简化模式、密码模式、客户端模式。
OAuth2.0 有哪些授权方式
Authing的博客
11-09 542
详细解释 OAuth2.0 的授权方式
微服务安全——OAuth2.1详解、授权码模式、SpringAuthorizationServer实战、SSO单点登录、Gateway整合OAuth2
最新发布
qq_44027353的博客
07-23 3301
Spring Authorization Server 是一个框架,它提供了 和 规范以及其他相关规范的实现。它建立在 Spring Security 之上,为构建 OpenID Connect 1.0 身份提供者和 OAuth2 授权服务器产品提供了一个安全、轻量级和可定制的基础。说白了,Spring Authorization Server 就是一个认证(授权服务器。官方主页:https://spring.io/projects/spring-authorization-server因为随着网络和
OAuth2的四种授权方式
qq_46073180的博客
01-31 1563
OAuth2四种授权方式
OAuth2.0 四种授权方式讲解
让优秀成为一种习惯!
12-25 3198
OAuth2通过将用户密码信息与第三方应用程序隔离,提高了应用程序的安全性。同时,OAuth2是一个开放的标准,可以与不同的应用程序、平台和设备兼容,易于理解和使用,可以快速集成到应用程序中。
OAuth2.0系列(OAuth2.0中四种授权方式
一天不写代码难受的博客
10-15 354
之前我们已经说了,OAuth2.0就是一个协议,使用这个协议,我们就可以让一个系统操作另一个系统。既然一个系统要操作另一个系统,那么系统A就要有权限操作B系统啊。所以用户就需要授权给A系统,让他操作B系统。 现在就有了不同方式授权,现在是4种,我们分别解释: 第一种授权方式授权码模式(authorization code) 用户想要A系统直接访问B系统,并且打印B系统的照片。当用户登录A系统之后,要操作B系统的时候,A系统就弹出一个界面,问用户,是不是让本系统操作B系统,当用户选择了否,那么A系统就
OAuth2.0 的四种授权方式
热门推荐
zeki10的博客
07-08 1万+
OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。 OAuth2.0 是 OAuth 协议的一个版本,有 2.0 版本那就有 1.0 版本,有意思的是 OAuth2.0 却不向下兼容 OAuth1.0 ,相当于废弃了 1.0 版本。 举个小栗子解释一下什么是 OAuth 授权? 在家肝文章饿了定了一个外卖,外卖小哥 30 秒火速到达了我家楼下,奈何有门禁进不来,可以输入密码进入,但
Spring Security OAuth2 授权码模式的实现
08-18
Spring Security OAuth2 授权码模式的实现 Spring Security OAuth2 授权码模式是 OAuth 2.0 授权流程中的一种常见模式,该模式要求用户登录并对第三方应用(客户端)进行授权,出示授权码交给客户端,客户端凭授权...
Spring cloud Oauth2的密码模式数据库方式实现登录授权验证
12-09
综上所述,实现“Spring Cloud Oauth2的密码模式数据库方式实现登录授权验证”涉及多个步骤,包括设置Authorization Server和Resource Server,配置数据库,实现用户认证逻辑,以及处理令牌的生成与管理。...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现网关登录授权验证是一个复杂而关键的过程,它涉及到现代微服务架构中的安全性设计。OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为...
Spring cloud Oauth2的密码模式内存方式实现登录授权验证
12-09
综上所述,Spring Cloud Oauth2的密码模式内存方式实现登录授权验证涉及了多个步骤,包括配置、用户管理、登录处理和安全控制。理解并熟练掌握这些步骤,将有助于构建安全、可扩展的微服务架构。
Spring cloud Oauth2的密码模式使用JWT方式实现登录验证授权
12-10
Spring Cloud Oauth2是OAuth2规范的Java实现,它提供了一整套服务端组件,如Authorization Server(授权服务器)和Resource Server(资源服务器)。授权服务器负责验证用户凭证并发放令牌,而资源服务器则使用这些...
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
通俗易懂的OAuth2授权教程(转载)
Persims的博客
08-25 1552
OAuth 2.0是用于授权的行业标准协议。OAuth 2.0侧重于客户端开发人员的简单性,同时为web应用程序、桌面应用程序、移动电话和客厅设备提供特定的授权流。本规范及其扩展正在IETF OAuth工作组内开发。
OAuth2:四种授权方式
Leon_Jinhai_Sun的博客
07-30 1942
OAuth2:四种授权方式
OAuth2授权机制介绍指南
qq_63492318的博客
02-01 736
带你从零认识OAuth2授权机制是什么样的,拥有哪些角色。。。
OAuth2.0 授权方式
小熊的博客
10-15 224
OAuth2.0 授权方式 OAuth2.0 的授权简单理解其实就是获取令牌(token)的过程,OAuth 协议定义了四种获得令牌的授权方式(authorization grant )如下: 授权码(authorization-code) 隐藏式(implicit) 密码式(password): 客户端凭证(client credentials) 但值得注意的是,不管我们使用哪一种授权方式,在三方应用申请令牌之前,都必须在系统中去申请身份唯一标识:客户端 ID(client ID)和 客户端密钥(cl
Oauth2(开放授权
大人的博客
01-18 804
1.OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容, 2. 应用场景 2.1第三方应用授权登录:在APP或者网页接入一些第三方应用时,时长会需要用户登录另一个合作平台,比如QQ,微博,微信的授权登录。 2.2原生app授权:app登录请求后台接口,为了安全认证,所有请求都带token信息,如果登录验证、请求后台数据 2.3前后端分离单页面应用(spa):前后端分离框架,前端请求后台数据
Spring Security实现Oauth2授权详解
"基于Spring Security的Oauth2授权实现方法,通过示例代码详细解析,适合学习和工作中参考,包括授权码模式、认证服务和资源服务等核心概念" 在本文中,我们将深入探讨如何使用Spring Security实现Oauth2授权。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值