OAuth2.0

已于 2022-04-26 13:02:12 修改
阅读量164 收藏
点赞数
分类专栏: IT 文章标签: 编辑器 vscode macos oauth2
于 2022-01-16 18:49:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45064872/article/details/122526134
版权

什么是多点登陆?什么是单点登录

大家有没有发现半年以前,登陆http://price.rccchina.com 后再进http://in.rccchina.com/ 是免登陆的?
在这里插入图片描述
在这里插入图片描述

Oauth 为何物?

OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。
举个小栗子解释一下什么是 OAuth 授权?
周末在家点了一个外卖,外卖小哥30秒火速到达了我家楼下,奈何有门禁进不来,可以输入密码进入,但出于安全的考虑我并不想告诉他密码。
此时外卖小哥看到门禁有一个高级按钮“一键获取授权”,只要我这边同意,他会获取到一个有效期 2小时的令牌(token)正常出入
在这里插入图片描述

Oauth2.0 的使用及认证方式

第三方登录是应用开发中的常用功能,通过第三方登录,我们可以更加容易的吸引用户来到我们的应用中。现在,很多网站都提供了第三方登录的功能,第三方网站的登录API或SDK千奇百怪,对于一个新手来说无疑是很不友好的,但是一些比较大的网站他们的接入方式其实都遵循一个协议 那就是Oauth2.0(目前1.0 已经遗弃),就像HTTP 协议一样,大家都用这个协议,对于开发者而言只要懂得其的设计原理,调用方法,不管接入什么第三方应用上手其实很快的。

OAuth 2.0术语
  • 资源拥有者(resource owner): app用户
  • 拥有app想要的数据(用户名,头像等)客户(client):app
  • 授权服务器(Authorization server):授权的系统
  • 资源服务器(Resource server):拥有用户数据的系统
  • 授权许可(Authorization grant):用户对于数据授权的证明
  • Redirect Uri(重定向Uri):当用户允许之后,重定向到的地方
  • 访问令牌(access token):从资源服务器获取数据的令牌
  • 访问(Scope):决定app可以对用户进行的操作的等级
OAuth2.0 授权方式

OAuth2.0 的授权简单理解其实就是获取令牌(token)的过程,OAuth 协议定义了四种获得令牌的授权方式(authorization grant )如下:授权码(authorization-code)、隐藏式(implicit)、密码式(password)、客户端凭证(client credentials),但值得注意的是,不管我们使用哪一种授权方式,在三方应用申请令牌之前,都必须在系统中去申请身份唯一标识:客户端 ID(client ID)和 客户端密钥(client secret)。这样做可以保证 token 不被恶意使用。

授权码(authorization code)方式

指的是第三方应用先申请一个授权码,然后再用该码获取令牌

这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。
第一步,A 网站提供一个链接,用户点击后就会跳转到 B 网站,授权用户数据给 A 网站使用。下面就是 A 网站跳转 B 网站的一个示意链接。

https://b.com/oauth/authorize?response_type=code&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read

上面 URL 中,response_type参数表示要求返回授权码(code),client_id参数让 B 知道是谁在请求,redirect_uri参数是 B 接受或拒绝请求后的跳转网址,scope参数表示要求
的授权范围(这里是只读)。
第二步,用户跳转后,B 网站会要求用户登录,然后询问是否同意给予 A 网站授权。用户表示同意,这时 B 网站就会跳回redirect_uri参数指定的网址。跳转时,会传回一个授权码,就像下面这样。

https://a.com/callback?code=AUTHORIZATION_CODE

上面 URL 中,code参数就是授权码。
第三步,A 网站拿到授权码以后,就可以在后端,向 B 网站请求令牌。

https://b.com/oauth/token?client_id=CLIENT_ID&client_secret=CLIENT_SECRET&grant_type=authorization_code&code=AUTHORIZATION_CODE&redirect_uri=CALLBACK_URL

上面 URL 中,client_id参数和client_secret参数用来让 B 确认 A 的身份(client_secret参数是保密的,因此只能在后端发请求),grant_type参数的值是AUTHORIZATION_CODE,表示采用的授权方式是授权码,code参数是上一步拿到的授权码,redirect_uri参数是令牌颁发后的回调网址。
第四步,B 网站收到请求以后,就会颁发令牌。具体做法是向redirect_uri指定的网址,发送一段 JSON 数据

{    
  "access_token":"ACCESS_TOKEN",# 这个就是令牌
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  "uid":100101,
  "info":{...}
}

在这里插入图片描述

隐藏式(implicit)

允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)

https://b.com/oauth/authorize?response_type=token&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read

上面 URL 中,response_type参数为token,表示要求直接返回令牌。
第二步,用户跳转到 B 网站,登录后同意给予 A 网站授权。这时,B 网站就会跳回redirect_uri参数指定的跳转网址,并且把令牌作为 URL 参数,传给 A 网站。

https://a.com/callback#token=ACCESS_TOKEN

在这里插入图片描述

这种方式把令牌直接传给前端,是很不安全的。因此,只能用于一些安全要求不高的场景,并且令牌的有效期必须非常短,通常就是会话期间(session)有效,浏览器关掉,令牌就失效了。

密码式(password)

如果你高度信任某个应用,允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌
第一步,A 网站要求用户提供 B 网站的用户名和密码。拿到以后,A 就直接向 B 请求令牌。

https://oauth.b.com/token?grant_type=password&username=USERNAME&password=PASSWORD&client_id=CLIENT_ID

第二步,B 网站验证身份通过后,直接给出令牌。注意,这时不需要跳转,而是把令牌放在 JSON 数据里面,作为 HTTP 回应,A 因此拿到令牌。
这种方式需要用户给出自己的用户名/密码,显然风险很大,因此只适用于其他授权方式都无法采用的情况,而且必须是用户高度信任的应用。

凭证式(client credentials)

适用于没有前端的命令行应用,即在命令行下请求令牌。

https://oauth.b.com/token?grant_type=client_credentials&client_id=CLIENT_ID&client_secret=CLIENT_SECRET

第一步,A 应用在命令行向 B 发出请求。
第二步,B 网站验证通过以后,直接返回令牌。

如何快速写接入一个第三方服务?

这里以接入github 为例,授权方式为授权码(为什么选github 因为其他的需要申请呀~~~)

前期准备工作

client_id: 注册后可查看
client_secret: 注册后可查看
home_page_url:想接入应用的 主页
authorization_callback_url: 授权后回调地址
注册链接可以通过这个链接查看

https://github.com/settings/applications/new

在这里插入图片描述
这里我的回调地址就是百度

准备接入链接
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <a href="https://github.com/login/oauth/authorize?client_id=c074eda37d77d9b28d95&redirect_uri=http://www.baidu.com">登录到github</a>
</body>
</html>

在这里插入图片描述

获取授权

在这里插入图片描述

获取授权码code

在这里插入图片描述

获取token

在这里插入图片描述

用token 获取github 的一些数据

在这里插入图片描述

思考:
1.在授权码模式为什么不把token 直接返回给前端?需要先返回code 再用code 换取token?
2. 为什么授权一次后,再次点击,如果授权的账号已经登陆,是不会弹出授权界面?
3.token 该怎么存?该怎么生成?(如果所有的服务都完全可信)
https://docs.github.com/en/developers/apps/building-oauth-apps/authorizing-oauth-apps

weixin_45064872
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
登录和oauth机制
JackChan
11-12 1万+
登录一、javaweb中如何去维持登录状态 登录后信息放入 session中 页面内验证session中是否有登录信息 如果有,不需要再次登录 如果没有,跳转登录页面 如果登录后点击注销,删除session中登录信息,并清除页面缓存(必要的) 二、javaweb中哪些情况我们的session会过期 过期–>很长时间没有去访问网站 主动关闭–>用户注销 切换浏览器 三、手机端如何维持登录状态通过ses
Java的oauth2.0 服务端与客户端的实现 (完整源码、demo)
10-01
Java的oauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:...
OAuth 2.0 认证
codeLife1993的博客
09-02 474
1. 基本认知 1.1 业务场景 A网站需要获取B网站用户的数据,需要跳转到B网站,用户登陆后授权,A网站得到一个有时效和权限的令牌(token),可以通过令牌获取用户的信息。 1.2 令牌与密码的区别 令牌是短期的,到期会自动失效,用户自己无法修改。密码一般长期有效,用户不修改,就不会发生变化。 令牌可以被数据所有者撤销,会立即失效。以上例而言,屋主可以随时取消快递员的令牌...
运维锅总详解OAuth 2.0协议
最新发布
专注于输出具有实用价值的软件运维经验及教程
07-13 1230
OAuth 2.0 作用及工作流程是什么?OAuth 2.0 有哪些应用场景?OAuth 2.0历史又是如何演进的?希望读完本文,能帮您解答这些疑惑!
OAuth的机制原理讲解及开发流程
xu_ya_fei的专栏
10-08 645
本想前段时间就把自己通过QQ OAuth1.0、OAuth2.0协议进行验证而实现QQ登录的心得及Demo实例分享给大家,可一直很忙,今天抽点时间说下OAuth1.0协议原理,及讲解下QQ对于Oauth1.0的认证开发。闲话多说了点,下面直接进入主题。 1、OAuth的简述 OAuth(Open Authorization,开放授权)是为用户资源的授权定义了一个安全、开放及简单的标准,第三方无
oauth授权
attilax的专栏
02-08 3478
1.OAuth OAuth是一种国际通用的授权方式,它的特点是不需要用户在第三方应用输入用户名及密码。OAuth的技术说明可参看官方网站 http://oauth.net (英文)。 微博系统中,OAuth的Access token不会过期,只有用户手工撤销授权或收回您的app访问权限access token才会失效。 目前OAuth只支持授权读写访问,授权的应用可以获取用户数据及发表微博。目前暂时不支持只读权限授权。
OAuthon2.0机制详解
whyrookie的博客
07-05 228
最近在忙企业微信和钉钉的第三方应用开发,需要获取一些信息,第一个就是这个OAuthon2.0,先详细了解下概念和流程 一、应用场景 我们要想用第三方播放器播放你的云盘账号里面的一些秘密视频资源,为了要获取这些秘密视频,就必须要播放器能够读取这个账号在云盘的视频信息。 传统方法是,用户将自己的云盘用户名和密码,告诉播放器,后者就可以读取用户的视频。这样的做法有以下几个严重的缺点。 (1)播放器为了后续的服务,会保存用户的密码,这样很不安全。 (2)云盘不得不部署密码登录,而我们知道,单纯的密码登录...
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
oauth2.0.zip_oauth2.0
09-20
这个压缩包文件"oauth2.0.zip_oauth2.0"包含了深入理解OAuth 2.0的基础知识,特别是针对初学者的入门介绍。其中的"oauth2.0.pdf"文档很可能是详细阐述OAuth 2.0概念、工作流程和实际应用的教程。 OAuth 2.0的核心...
webapi基于Owin中间件的oauth2.0身份认证
10-07
**OAuth2.0简介** OAuth2.0是一种授权框架,广泛应用于Web API的身份验证和授权。它允许第三方应用在用户授权的情况下,访问该用户的特定资源,而无需获取用户的用户名和密码。OAuth2.0的核心是将认证和授权分离,...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
OAuth2.0 原理
热门推荐
安梓晨的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程六、OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
简单介绍 Oauth2.0 原理
weixin_41044151的博客
06-01 580
有两家互联网企业 A 和 B,其中 B 是一家提供相片云存储的公司。用户可以把相片上传到 B 网站上长期保存,然后可以在不同的设备上查看。某一天,A 和 B 谈成了一项合作:希望用户在使用 A 的客户端时,也可以观看他在 B 的相片。这个技术上要怎么实现呢? 选项一:由 B 提供一个接口: GET /photos?account= 参数: account : B 账号 返回: 指定账号下的所有相片 有了这个接口,A 的客户端只需在界面上显示一个输入框,让用户输入他的 B 账号,然后调用这个接口来获取相片就可
OAuth机制
leo_618的专栏
04-25 227
OAuth(Open Authorization,开放授权)是为用户资源的授权定义了一个安全、开放及简单的标准,第三方无需知道用户的账号及密码,就可获取到用户的授权信息,并且这是安全的。OAuth的机制原理讲解及开发流程 http://kb.cnblogs.com/page/189153/ http://blog.csdn.net/alonesword/article/details/12190
深入理解OAuth 2.0:原理、流程与实践
八戒的博客
07-08 1039
OAuth 2.0 是一套关于授权的行业标准协议。OAuth 2.0 允许用户授权第三方应用访问他们在另一个服务提供方上的数据,而无需分享他们的凭据(如用户名、密码)。
OAuth2四种不同的标准模式
记事本
06-10 5473
OAuth2标准为了应对不同的场景,设计了四种不同的标准模式。 1、授权码模式 授权码模式是四种模式中最繁琐也是最安全的一种模式。 client向资源服务器请求资源,被重定向到授权服务器(AuthorizationServer) 浏览器向资源拥有者索要授权,之后将用户授权发送给授权服务器 授权服务器将授权码(AuthorizationCode)转经浏览器发送给client c...
OAuth授权(一)
单线程男孩儿
01-19 423
一、资源的授权 在互联网行业,公司要能长期存活下来,用户量很重要,比如腾讯、新浪,它们的用户量是非常巨大的 要想长期留住用户,用户资源(数据)的管理也很重要,如果你经常在不经过用户同意的情况下,把用户的一些资源共享出去,那肯定是留不住用户的,甚至会遭到法律的制裁 但是,有时候确实要把某些用户资源共享出去,比如第三方想访问用户的QQ数据、第三方想访问用户的新浪微博数据 要想把
OAuth协议的四种模式
Evan.Zhou的博客
02-09 1053
密码模式 Resource Owner Password 授权码模式 Authorization code grant 密码模式 1、用户提供用户名和密码给客户端应用 2、客户端应用使用用户提供的用户名和密码和自己应用的ClientId和ClientSecrect请求令牌 3、校验用户身份(用户名密码)和客户端应用身份(ClientSecrect)并返回访问令牌和刷新令牌 缺点:不安全,密码会...
OAuth 2.0入门指南
"Getting Started with OAuth 2.0" 是一本由 Ryan Boyd 撰写的书籍,主要介绍了OAuth 2.0的使用和概念。OAuth 2.0 是OAuth协议的升级版本,它不与之前的OAuth 1.0兼容,并且在2012年10月正式成为RFC标准。 OAuth ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值