OAuth协议入门之授权码模式

已于 2022-01-22 20:54:52 修改
阅读量3.4k 收藏 2
点赞数 2
分类专栏: 协议 文章标签: 安全
于 2022-01-22 20:48:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43410352/article/details/122640724
版权

最近在业务中接触到了OAuth协议,之前没有遇见过,记录一下

一、什么是OAuth协议

OAuth(开放授权)是一个开放授权标准,即用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要用户提供自己的账号密码,只需提供一个令牌。

二、结合具体例子,理解OAuth

想必大家都遇到过这样一个场景,登录一个网站不想输入自己的账号密码,而是使用QQ,微信进行授权登录

以上就一个OAuth授权的大致流程,这样做有什么好处呢?

(1)用户可以不用注册帐号,就可登录网站使用资源,且不用担心帐号失窃,因为这个授权过程是安全的

(2)方便了用户,网站就可以更容易获取用户量

(3)QQ,微信将海量的数据开放给第三方网站,既是为其他小企业做的贡献,也增大了自身的知名度

以上三方都获得了便利

三、OAuth授权有哪几种模式

了解授权模式之前,需先理解以下名词:

        Third-party application:第三方应用程序,又可称作客户端,比如打开慕课网、知乎,使用第三方登录的时候,这时候慕课网,知乎就是客户端。

        HTTP service:HTTP服务提供商,本文中简称"服务提供商",即上例的微信,QQ等。

        Resource Owner:资源所有者,本文中又称"用户"(user),即登录用户。

        Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。

       Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。

OAuth有以下四种模式:

  • 授权码授权模式(Authorization code Grant)
  • 隐式授权模式(Implicit Grant)
  • 密码模式(Resource Owner Password Credentials Grant) 
  • 客户端凭证模式(Client Credentials Grant)

下面主要讲解一下最常用的授权码模式

 注意,不管哪一种授权方式,客户端申请令牌之前,都必须先到系统备案(向服务提供商备案),说明自己的身份,然后会拿到两个身份识别码:客户端 ID(client ID)和客户端密钥(client secret)。这是为了防止令牌被滥用,没有备案过的第三方应用,是不会拿到令牌的。

授权码授权模式:

这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。

这里假设第三方平台为A,授权服务器为B:

(1)其中第2步会把重定向的地址返回给客户端,重定向到授权服务器一般会携带以下几个参数

https://b.com/oauth/authorize?response_type=code&client_id=CLIENT_ID&
redirect_uri=CALLBACK_URL&scope=read

 上面 URL 中,response_type参数表示要求返回授权码(code),client_id参数让 B 知道是谁在请求,redirect_uri参数是 B 接受或拒绝请求后的跳转网址,scope参数表示要求的授权范围(这里是只读)。这些参数一般都会和服务提供商约定好。

(2)跳转到B 网站后会要求用户登录,然后询问用户否同意给予 A 网站授权。用户表示同意,这时 B 网站就会跳回redirect_uri参数指定的A网址。跳转时,会传回一个授权码,就像下面这样。

https://a.com/callback?code=AUTHORIZATION_CODE

(3)A 网站拿到授权码以后,就可以在后端,向 B 网站请求令牌。

https://b.com/oauth/token?client_id=CLIENT_ID&client_secret=CLIENT_SECRET&
grant_type=authorization_code&code=AUTHORIZATION_CODE&redirect_uri=CALLBACK_URL

同样的也会携带部分参数:client_id参数和client_secret参数用来让 B 确认 A 的身份(client_secret参数是保密的,因此只能在A后端发请求),grant_type参数的值是AUTHORIZATION_CODE,表示采用的授权方式是授权码,code参数是上一步拿到的授权码,redirect_uri参数是令牌颁发后的回调网址,也就是A登录成功后的首页地址。

(4)B 网站收到请求以后,就会颁发令牌。具体做法是向redirect_uri指定的网址,发送一段 数据,数据中包含一些必要的信息和Token,类似下面这样

{
"access_token":"ACCESS_TOKEN",
"token_type":"bearer",
"expires_in":2592000,
"refresh_token":"REFRESH_TOKEN",
"scope":"read",
"uid":100101,
"info":{...}
}

(5)A拿到这些信息后,以后请求B的资源服务器,只需携带上token,就可以获取B授权访问的数据啦,而B每次都会校验token是否合法以及是否有效


参考文章:

OAuth2.0的四种授权模式 - alittlesmile - 博客园

OAuth2.0协议 - Chars-D - 博客园

OAuth 2.0 的四种方式 - 阮一峰的网络日志

dotaer-df
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringOAuth2授权流程分析
hungteshun的专栏
08-08 2584
SpringOAuth2授权流程分析
ASP.NET从入门到精通
12-04
ASP.NET提供了内置的身份验证和授权机制,如Forms Authentication、Windows Authentication和OAuth。理解这些机制并能正确配置,可以确保应用的安全性。 八、Web服务与API ASP.NET支持创建RESTful Web服务和Web API...
oauth2.0授权模式详解
weixin_44846436的博客
03-07 4789
oauth2.0授权模式 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章http://www.javaman.cn/sb2/oauth-code 授权(authorization code)方式,指的是第三方应用先申请一个授权,然后再用该获取令牌。 这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。 1、授权模式流程 第一步,A
Oauth2系列2:授权模式
weigeshikebi的博客
05-22 8963
Oauth2系列2:授权模式
OAuth2.0的四种授权方式
一江溪水
12-11 2620
OAuth简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。
加密与授权 Oauth2.0
ys.hubery
01-05 4937
加密算法 对称加密 加密和解密使用同样规则(简称"密钥"),这被称为"对称加密算法" 非对称加密 授权机制 OAuth OAuth2.0 授权(authorization-code 隐藏式(implicit) 密式(password) 客户端凭证(client credentials) ...
ASP.NET 完全入门
03-15
6. **ASP.NET Identity**:一套用户认证和授权系统,用于管理用户注册、登录、密重置等功能,支持多种身份提供者,如OAuth、Facebook、Google等。 7. **Web API**:ASP.NET 提供的构建RESTful服务的框架,用于...
API函数快速入门基础教程
05-21
- 异步处理:对于耗时的操作,采用异步模式,避免阻塞其他请求。 通过本教程,你将学会如何开始使用API函数,从理解基本概念到实际调用API,再到测试和优化,逐步成为一名熟练的API开发者。在实践中不断探索和学习...
Photon服务器引擎 入门教程二服务器端源
03-17
Photon引擎支持多种协议,如UDP和TCP,可以实现快速的游戏同步和高效的资源管理。 2. **Unity集成**:Unity是一款强大的游戏开发引擎,支持C#编程。通过Unity的API,开发者可以方便地将Photon集成到项目中,实现跨...
atfinke:自动(通过操作)显示lastfm最近的曲目
02-08
OAuth是一种授权协议,它允许第三方应用在用户许可的情况下访问其存储在另一服务上的私人数据,而不必分享用户名和密。这确保了用户数据的安全性。 **使用流程** 1. **安装与配置**:首先,你需要安装必要的...
Spring Security OAuth2 授权模式的实现
08-18
主要介绍了Spring Security OAuth2 授权模式的实现,文中通过示例代介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security OAuth2.0(一)-----前言-授权模式及代实例
qq_42264638的博客
04-21 2811
Spring Security OAuth2.0(一)-----前言-授权模式及代实例
OAuth2授权模式---详解
Ying_hao_kun的博客
12-25 1169
是一个业界标准的授权协议(authorization protocol),这里的授权是以委派代理(delegation)的方式。可以这样理解,OAuth 2.0提供一种协议交互框架,让某个应用能够以安全地方式获取到用户的委派书,这个委派书在OAuth 2.0中就是访问令牌(access token),随后应用便可以使用该委派书,代表用户来访问用户的相关资源。在OAuth 2.0的协议交互中,有四个角色的定义,
oauth2.0 授权模式简单理解
weixin_39887965的博客
10-27 2200
什么是 oauth协议 ? 百度百科上有解释:允许用户提供一个令牌,而不是用户名和密来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要分享他们的访问许可或他们数据的所有内容。 简单的来讲就是一个令牌,这个令牌可以有一定的权限,在不知道用户密的情况下也可以进行部分的功功能操作。用一个例子帮助理解:一
sso 四种授权模式
wql56789的博客
11-22 846
OAuth2是目前最流行的授权机制,用来授权第三方应用,获取用户数据。允许用户授权B应用不提供帐号密的方式去访问该用户在A应用服务器上的某些特定资源。
OAuth2】用户授权第三方应用,使用授权模式实例案例进行详解(源代)
最新发布
SAME_LOVE的博客
12-28 1298
授权(authorization code)方式,指的是第三方应用先申请一个授权,然后再用该获取令牌。这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。
手把手OAuth2授权模式(Authorization Code)
xuejianxinokok的专栏
04-30 6066
手把手入门OAuth2授权模式(Authorization Code) 1.简单介绍 OAuth2 授权模式模式基本上是用用户凭证获取token 后来获取资源的访问权限。其交互步骤如下图: 交互过程如下: 用户在客户端程序上操作某些功能希望从资源服务器获取数据 客户端程序重定向浏览器请求到授权服务器要求授权,在重定向之前客户端程序会给授权服务器传递一个参数作为回调地址 授权服务器请求用户同意,这个步骤一般需要用户先登录,如果已经登录则可能弹出一个交互页面请求用户同意授权 用户决定同意授权 授权服务器
理解OAuth2.0认证与客户端授权模式详解
热门推荐
爱琴孩的博客
05-20 1万+
什么是OAuth协议 OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth授权不会使第三方触及到用户的帐号信息(如用户名与密),即第三方无需使用用户的用户名与密就可以申请获得该用户资源的授权,因此 OAuth安全的。OAuth 是 Open Authorization 的简写 OAuth 本身不存在一个标准的实现,后端开发者自己根据实际...
springboot oauth2.0 授权模式
05-11
SpringBoot OAuth2.0 授权模式是一种常见的授权方式,通常用于安全访问受保护的 API。在此模式下,客户端必须向授权服务器发送一个授权请求,授权服务器返回一个授权,客户端使用该授权向资源服务器请求访问令牌,最终客户端使用该访问令牌访问受保护的 API。 SpringBoot 提供了 OAuth2.0 授权模式的支持,使用 Spring Security 相关组件实现了 OAuth2.0 的授权相关功能。在 SpringBoot 应用中,我们可以通过编写配置类来配置 OAuth2.0 客户端和资源服务器相关参数,从而启用授权模式,具体流程如下: 1. 配置 OAuth2.0 客户端参数,包括授权服务器 URL、客户端 ID、客户端密钥等。 2. 在客户端应用中发起授权请求,包括重定向到授权服务器的 URL、授权类型等参数。 3. 授权服务器验证请求参数,生成授权并将其返回给客户端。 4. 客户端使用授权授权服务器请求访问令牌。 5. 授权服务器验证授权并生成访问令牌,将其返回给客户端。 6. 客户端使用访问令牌访问受保护的 API。 SpringBoot OAuth2.0 授权模式提供了一种安全的访问 API 的方式,可以保护 API 的访问安全。同时,通过使用 Spring Security 相关组件,开发者可以轻松地完成授权相关的配置操作,从而集中关注业务逻辑的实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值