OAuth的历史以及OAuth2.0的详细说明

最新推荐文章于 2022-03-02 09:10:58 发布
最新推荐文章于 2022-03-02 09:10:58 发布
阅读量637 收藏 1
点赞数
分类专栏: 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43972437/article/details/118549977
版权

OAuth 是什么

OAuth 2.0 是一种开放协议。
OAuth 2.0 的标准是 RFC 6749 文件。

举例:我们都在网站或者手机应用中见过“谷歌登陆”和“绑定 Facebook“这样的按钮。如果你点击这个按钮,就会有一个窗口弹出并显示“这个应用想要访问你的公共个人主页、通讯录……“,同时它会询问你是否授权。概括而言,这就是 OAuth。

OAuth发展历史

  • 2007年发布了OAuthCore 1.0:此版本的协议存在严重的安全漏洞
  • 2009年6月发布了OAuthCore 1.0 Revision A:修复了前一版本的安全漏洞,并成为RFC5849
  • 2010年4月发布了OAuth2.0,是OAuth协议的下一版本,但与OAuth 1.0版本互不兼容。

所以我们现在可以只关注 OAuth2.0

为什么需要OAuth

阮老师用了一个外卖员举例,很形象了我就不赘述了

颁发令牌方式

OAuth 的核心就是向第三方应用颁发令牌。
OAuth 2.0 规定了四种获得令牌的流程。你可以选择最适合自己的那一种,向第三方应用颁发令牌。

  • 授权码(authorization-code)
  • 隐藏式(implicit)
  • 密码式(password):
  • 客户端凭证(client credentials)

这里我们只讲一下授权码的方式,其他三种不常见。

授权码(最常见)

1、第三方应用先申请一个授权码,然后再用该码获取令牌。

第一步,A 网站提供一个链接,用户点击后就会跳转到 B 网站,授权用户数据给 A 网站使用。下面就是 A 网站跳转 B 网站的一个示意链接。

https://b.com/oauth/authorize?
  response_type=code&
  client_id=CLIENT_ID&
  redirect_uri=CALLBACK_URL&
  scope=read

上面 URL 中,response_type参数表示要求返回授权码(code),client_id参数让 B 知道是谁在请求,redirect_uri参数是 B 接受或拒绝请求后的跳转网址,scope参数表示要求的授权范围(这里是只读)。

第二步,用户跳转后,B 网站会要求用户登录,然后询问是否同意给予 A 网站授权。用户表示同意,这时 B 网站就会跳回redirect_uri参数指定的网址。跳转时,会传回一个授权码,就像下面这样。

https://a.com/callback?code=AUTHORIZATION_CODE

第三步,A 网站拿到授权码以后,就可以在后端,向 B 网站请求令牌。

https://b.com/oauth/token?
 client_id=CLIENT_ID&
 client_secret=CLIENT_SECRET&
 grant_type=authorization_code&
 code=AUTHORIZATION_CODE&
 redirect_uri=CALLBACK_URL

上面 URL 中,client_id参数和client_secret参数用来让 B 确认 A 的身份(client_secret参数是保密的,因此只能在后端发请求),grant_type参数的值是AUTHORIZATION_CODE,表示采用的授权方式是授权码,code参数是上一步拿到的授权码,redirect_uri参数是令牌颁发后的回调网址。

第四步,B 网站收到请求以后,就会颁发令牌。具体做法是向redirect_uri指定的网址,发送一段 JSON 数据。

{    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  "uid":100101,
  "info":{...}
}

上面 JSON 数据中,access_token字段就是令牌,A 网站在后端拿到了。

2、令牌的使用

A 网站拿到令牌以后,就可以向 B 网站的 API 请求数据了。

此时,每个发到 API 的请求,都必须带有令牌。具体做法是在请求的头信息,加上一个Authorization字段,令牌就放在这个字段里面。

curl -H "Authorization: Bearer ACCESS_TOKEN" \
"https://api.b.com"

上面命令中,ACCESS_TOKEN就是拿到的令牌。

参考资料

https://oauth.net/
http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html
https://www.ruanyifeng.com/blog/2019/04/oauth_design.html
https://www.ruanyifeng.com/blog/2019/04/github-oauth.html

Lvan的前端笔记
关注
专栏目录
OAuth2.0 全面介绍
oscar999的专栏
01-08 1234
OAuth 是一种授权协议, 通过他, 用户可以授权第三方应用访问自己保存在资源服务器上的资源。 OAuth 目前使用的版本是2.0。
说透OAuth 2.0 [1] - 什么是认证和授权?
李浩好好学习
10-11 2751
说透OAuth 2.0 [1] - 什么是认证和授权?引子认证认证实体变更认证方式变更信任系统变更授权总结 引子 我在面试Web相关岗位时,经常会问面试者一个问题,什么是认证,什么是授权?(也请你花一分钟时间思考一下) … 部分面试者会给我如下的答案: 当用户打开浏览器或者App的时候,如果某些功能不是匿名用户能操作的,那么我们就会将用户引导到登录页面,让用户输入自己的用户名和密码、当然也可能是手机短信验证等方式,在安全性较高的系统还会要求输入验证码。如果验证通过,那么用户就拥有了可以操作这些功能的权限。
什么是oAuth(开放式授权)?OAUTH协议特点和授权流程?
一亩地的专栏
05-02 1253
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。oAuth是Open Authorization的简写。定义OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可...
OAuth 2.0 和 OpenID Connect 的基本原理和区别(干货)
热门推荐
qq_24550639的博客
12-13 1万+
基本原理 首先要明确OAuth OpenID Connect学习起来比较难,对谁都会比较难,所以心态要放好,因为有很多专业属于、缩写等等,你要是之前不知道,就基本上很难看懂。而且OAuth和OpenID Connect不像HTTP这样的协议,有固定的格式,OAuth和OpenID Connect其实没有很固定的格式,没有人告诉你,一定要怎么做。 所以本文都是大白话,让大家更容易看懂。 为什么要用OAuth 和 OIDC来做授权和身份验证? 原来,是怎么进行身份验证的? 简单的表格登录验证模式,密码哈希存在数
OAuth2.0简介
程序员杂谈
12-04 287
简介 OAuth2.0(开放授权)是一个关于授权的开放的网络协议。 允许用户让第三方应用访问该用户在某一网站上存储的的资源(如:照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth是一个关于授权(Authorization)的开放网络标准,目前的版本是2.0版。注意是Authorization(授权),而不是Authentication(认证)。...
OAuth 2.0 跟进学习: <一>OAuth 2.0概览
DJb4ke的专栏
06-03 217
前言: OAuth 1.0已经在IETF尘埃落定,编号是RFC5894 http://tools.ietf.org/html/rfc5849 这也标志这OAuth已经正式成为互联网标准协议。   OAuth 2.0也早已经开始讨论和建立的草案   OAuthOAuth组织的主页 http://www.oauth.net/2/   OAuth2.0的草案 http://too...
OAuth 流程与发展总结 (1.0 => 1.0a => 2.0)
weixin_34168880的博客
03-25 114
OAuth 流程与发展 (1.0 => 1.0a => 2.0) 概述 概述: 开放授权协议 作用: 允许第三方应用访问服务提供方中注册的终端用户的部分资源 下面是官方描述: [OAuth描述] The OAuth 2.0 authorization framework enables a third-party appli...
Oauth2.0简介
qq_42511550的博客
06-09 200
1,什么是开放平台 在一些大型互联网公司,随着公司的业务发展逐渐庞大,需要和外部合伙伙伴进行合作,需要将公司的接口开放给外部其他合伙伙伴进行调用。 比如腾讯的QQ互联网、微信开放平台、蚂蚁金服开放平台 、微博开放平台,比如实现功能QQ联合登陆、微信扫码登陆。 还有就是在大型集团公司中,分为总公司,和旗下多个分公司,总公司与分公司相互通讯也可以采用开放平台形式对接口进行授权。 QQ互联网开放平台 http://wiki.connect.qq.com/%E5%87%86%E5%A4%87%E5%B7%A5%E4
新浪微博OAuth2.0API(Wbm.SinaV2API)V1.0.10.31
11-02
同时,压缩包内的“使用前说明.txt”文件提供了详细的SDK使用指南,包括配置步骤、示例代码以及可能遇到的问题和解决方案。开发者可以参考此文件快速上手。 压缩包中的“Wbm.SinaV2Demo.sln”是SDK的示例工程,包含...
记录Spring Security OAuth2.0认证授权7:前后端代码分离
m0_54983229的博客
01-29 1305
一、jwt令牌在网关处的过期时间校验 二、refresh-token接口缺少用户信息 三、新建business-server模块作为web容器 四、前后端分离 1、关闭认证服务表单登录 2、前后端代码 五、测试 六、源代码地址 历史文章 Spring Security OAuth2.0认证授权一:框架搭建和认证测试 Spring Security OAuth2.0认证授权二:搭建资源服务 Spring Security OAuth2.0认证授权三:使用JWT令牌 Spring Security OAuth2
OAuth 2.0 详解
架构师的成长之路的博客
03-05 1531
OAuth 2.0 概述更多干货分布式实战(干货)spring cloud 实战(干货)mybatis 实战(干货)spring boot 实战(干货)React 入门实战(干货)构建中小型互联网企业架构(干货)OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。参考材料一、应用场景为了理解OAuth的适用场合,让我举一个假设的例子。有...
OAuth那些事儿之初识oauth
精彩人生
09-28 495
什么是OAuth oauth官网 对其的定义: An open protocol to allow secure API authorization in a simple andstandard method from desktop and web applicati
OAuth2.0介绍
烟草的香味的博客
02-19 339
为什么 关于OAuth出现的背景, 在上一篇OAuth1.0介绍 中已经写过了, 而2.0的提出必然是为了解决1.0中出现的问题. 感兴趣的可以去看看. 2.0针对1.0的问题提出了解决方案, 将协议升级为HTTPS 同时取消了secret加密签名. 对非 web 应用也进行了支持. 介绍 OAuth是什么呢? 在RFC 文档中是这样介绍的. The OAuth 2.0 authorization framework enables a third-party application to obtain
OAuth2
猎人在吃肉
12-11 278
转载: https://www.cnblogs.com/sky-chen/tag/oauth2/
深入理解OAuth 2.0
weixin_45203607的博客
03-02 757
介绍 2012年10月,OAuth 2.0协议正式发布为RFC 6749。现在百度开放平台,腾讯开放平台等大部分的开放平台都是使用的OAuth 2.0协议作为支撑。 OAuth是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 在OAuth 2.0的认证和授权的过程中主要包括以下角色定义: Resource owner: 资源所有者(通常指用户或者提供资源服务的平台) Resource server:资源服务器(
OAuth-维基百科(一)
DADADIE的专栏
03-26 1190
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样
关于OAuth 2.0的理解与应用
LSYZWF的博客
04-21 389
文章目录一、 定义理解二、 四种授权方式个人理解三、 OAuth2.0的应用四、 总体体会 摘要:OAuth2.0是一种授权机制,主要核心就是向第三方应用颁发令牌。通过引入授权层并将客户端的角色与资源所有者的角色分开来解决传统客户端与服务器身份验证模型中存在的问题与局限性。 关键字:OAuth2.0、授权方式、授权码、应用 下面我从以下几个主要的方面来展现我对OAuth2.0的认识: 一、 定义理解 关于OAuth2.0的很多专业术语都很难读懂,但可以从实际生活中的例子来展现OAuth2.0的原理。比如,快
OAuth授权 | 看这篇就够了
weixin_34117522的博客
09-09 444
背景 上一篇我们介绍了单点登录(SSO),它能够实现多个系统的统一认证。今天我们来谈一谈近几年来非常流行的,大名鼎鼎的OAuth。它也能完成统一认证,而且还能做更多的事情。至于OAuth与SSO的区别,将在文章最后总结。 如上图所示,用户通过浏览器(Browser)访问app1,他想用微信的账号直接登录,这样就免去了在app1系统的注册流程。这样的流程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lvan的前端笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值