微服务应用之OAuth2.0的四种授权方式

最新推荐文章于 2024-05-10 08:20:00 发布
最新推荐文章于 2024-05-10 08:20:00 发布
阅读量3.8k 收藏 8
点赞数 2
分类专栏: 微服务 文章标签: 微服务 服务器 OAuth2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45974176/article/details/127054572
版权

引言

OAuth 2.0 是一种授权机制,主要用来颁发令牌(token)。
OAuth 2.0 的标准是 RFC 6749 文件,这个文件写出(由于互联网有多种场景,)本标准定义了获得令牌的四种授权方式(authorization grant )
即以下四种授权方式:

  • 授权码(authorization-code)
  • 隐藏式(implicit)
  • 密码式(password):
  • 客户端凭证(client credentials)

一、授权码

介绍

授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。

这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。

流程:
在这里插入图片描述

说明:

A [步骤1,2]:用户访问客户端,需要使用服务提供商(微信)的数据,触发客户端相关事件后,客户端拉起或重定向到服务提供商的页面或APP。
B [步骤3]:用户选择是否给予第三方客户端授权访问服务提供商(微信)数据的权限;
C [步骤4]:用户同意授权,授权认证服务器将授权凭证code码返回给客户端,并且会拉起应用或重定(redirect_uri)向到第三方网站;
D [步骤5,6]:客户端收到授权码后,将授权码code和ClientId或重定向URI发送给自己的服务器,客户端服务器再想认证服务器请求访问令牌access_token;
E[步骤7,8]:认证服务器核对了授权码和ClientId或重定向URI,确认无误后,向客户端服务器发送访问令牌(access_token)和更新令牌(refresh_token),然后客户端服务器再发送给客户端;
F[步骤9,10]:客户端持有access_token和需要请求的参数向客户端服务器发起资源请求,然后客户端服务器再向服务提供商的资源服务器请求资源(web API);
G [步骤11,12,13]:服务提供商的资源服务器返回数据给客户端服务器,然后再回传给客户端使用;

A步骤中客户端申请认证的URI,包含以下参数:

https://server.example.com/oauth/auth?response_type=code&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read
  • response_type:必选项,表示授权类型,此处的值固定为"code",表示使用授权码模式;
  • client_id:必选项,表示客户端的ID,第三方应用注册的id,身份认证;
  • redirect_uri:可选项,表示重定向URI,接受或拒绝请求后的跳转网址;
  • scope:可选项,表示申请的权限范围;
  • state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值

C步骤中,服务器回应客户端的URI,包含以下参数:

https://server.example.com/callback?code=AUTHORIZATION_CODE&state=xyz
  • code:表示授权码,该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。
  • state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数

D步骤中,客户端向认证服务器申请令牌的HTTP请求,包含以下参数:

https://server.example.com/oauth/token?client_id=CLIENT_ID&client_secret=CLIENT_SECRET&grant_type=authorization_code&code=AUTHORIZATION_CODE&redirect_uri=CALLBACK_URL
  • client_id:客户端id,第三方应用在服务提供者平台注册的;
  • client_secret:授权服务器的秘钥,第三方应用在服务提供者平台注册的;
  • grant_type:值是AUTHORIZATION_CODE,表示采用的授权方式是授权码;
  • code:表示上一步获得的授权码;
  • redirect_uri:redirect_uri参数是令牌颁发后的回调网址,且必须与A步骤中的该参数值保持一致;

E步骤中,认证服务器发送的HTTP回复,包含以下参数:

{    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  "uid":100101,
  "info":{...}
}

access_token字段就是访问令牌

二、隐藏式

介绍:

有些 Web 应用是纯前端应用,没有后端。这时就不能用上面的方式了,必须将令牌储存在前端。RFC 6749就规定了第二种方式,允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)“隐藏式”(implicit)。

流程:
在这里插入图片描述
说明:

A [步骤1,2]:用户访问客户端,需要使用服务提供商(微信)的数据,触发客户端相关事件后,客户端拉起或重定向到服务提供商的页面或APP。
B [步骤3]:用户选择是否给予第三方客户端授权访问服务提供商(微信)数据的权限;
C [步骤4]:用户同意授权,授权认证服务器将访问令牌access_token返回给客户端,并且会拉起应用或重定(redirect_uri)向到第三方网站;
D[步骤5]:第三方客户端向资源服务器发出请求资源的请求;
E[步骤6,7]:服务提供商的资源服务器返回数据给客户端服务器,然后再回传给客户端使用

A步骤中,客户端发出的HTTP请求,包含以下参数:

https://server.example.com/oauth/authorize?response_type=token&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read
  • response_type:表示授权类型,此处的值固定为"token",表示要求直接返回令牌,必选项;
  • client_id:表示客户端的ID,第三方应用注册的id,用于身份认证,必选项;
  • redirect_uri:表示重定向URI,接受或拒绝请求后的跳转网址,可选项;
  • scope:表示申请的权限范围,可选项;
  • state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值

C步骤中,认证服务器回应客户端的URI,包含以下参数:

https://server.example.com/cb#access_token=ACCESS_TOKEN&state=xyz&token_type=example&expires_in=3600
或
https://a.com/callback#token=ACCESS_TOKEN
  • access_token:表示访问令牌,必选项。
  • token_type:表示令牌类型,该值大小写不敏感,必选项。
  • expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
  • scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。
  • state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。

注意,令牌的位置是 URL 锚点(fragment),而不是查询字符串(querystring),这是因为 OAuth 2.0 允许跳转网址是 HTTP 协议,因此存在"中间人攻击"的风险,而浏览器跳转时,锚点不会发到服务器,就减少了泄漏令牌的风险。

三、密码式

介绍:

如果你高度信任某个应用,RFC 6749也允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)

使用用户名/密码作为授权方式从授权服务器上获取令牌,一般不支持刷新令牌。这种方式风险很大,用户向客户端提供自己的用户名和密码。客户端使用这些信息,向"服务商提供商"索要授权。在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,而认证服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式。

流程:
在这里插入图片描述
说明:

A[步骤1,2]:用户向第三方客户端提供,其在服务提供商那里注册的账户名和密码;
B[步骤3]:客户端将用户名和密码发给认证服务器,向后者请求令牌access_token;
C[步骤4]:授权认证服务器确认身份无误后,向客户端提供访问令牌access_token;

B步骤中,客户端发出的HTTP请求,包含以下参数:

https://oauth.example.com/token?grant_type=password&username=USERNAME&password=PASSWORD&client_id=CLIENT_ID
  • grant_type: 标识授权方式,这里的password表示"密码式,必选项;
  • username: 表示用户名,必选项;
  • password: 表示用户的密码,必选项;
  • scope: 表示权限范围,可选项;

四、凭证式

介绍:

指客户端以自己的名义,而不是以用户的名义,向"服务提供商"进行认证。严格地说,客户端模式并不属于OAuth框架所要解决的问题。在这种模式中,用户直接向客户端注册,客户端以自己的名义要求"服务提供商"提供服务,其实不存在授权问题。

流程:
在这里插入图片描述

附:参考资料

1、OAuth2.0原理浅析
2、OAuth 2.0 的四种方式
3、理解OAuth 2.0

--流星。
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
OAuth2.0四种授权方式
学习
07-26 2121
互联网应用中,OAuth 是一种授权机制。数据的所有者Owner告诉系统,同意授权第三方应用Client进入系统获取这些数据。系统产生一个短期的进入令牌token,用来代替密码,供第三方应用使用。令牌相较与密码,有这些优势,1.令牌是短期的,到期会自动失效 2.令牌可以被数据所有者撤销,会立即失效 3.令牌有权限范围(scope)。 关于OAuth可以关注 阮一峰讲OAuth和江南一点雨讲解OAuth OAuth非常好的一点就是考虑了实际应用中的复杂场景,总结了四种授权方式(authorization gr
OAuth2.0四种授权方式
热门推荐
zeki10的博客
07-08 1万+
OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。 OAuth2.0 是 OAuth 协议的一个版本,有 2.0 版本那就有 1.0 版本,有意思的是 OAuth2.0 却不向下兼容 OAuth1.0 ,相当于废弃了 1.0 版本。 举个小栗子解释一下什么是 OAuth 授权? 在家肝文章饿了定了一个外卖,外卖小哥 30 秒火速到达了我家楼下,奈何有门禁进不来,可以输入密码进入,但
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
OAuth2.0四种授权模式及实战
CODEING一场空的博客
06-27 1万+
Oauth2.0具有多种授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。在源码中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证码登录或者微信扫码登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证码模式
OAuth2.0授权标准详解,OAuth2.0四种授权模式详解
最新发布
秃了也弱了
05-10 1369
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。
Oauth2.0四种授权模式适用场景和授权流程介绍以及个人的一些思考
玖涯博客
03-09 4796
Oauth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准,先前曾经了解过在 spring-security-oauth2 中 Oauth 四种模式的实现,也通过 Shiro 实现了 Oauth 的授权流程。 目前 spring-security-oauth2 已经被逐步废弃,Spring 也提供了新的框架 spring-authorization-server,整个框架基于 Oauth 2.1 开发。目前重新整理项目代码,借此机会详细梳理一遍 Oauth2.0 授权模式的适用场景和授权流程,
OAuth 2.0 授权认证详解
顺其自然~专栏
06-26 8134
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
(图解)OAuth 2.0授权模式应用场景
weixin_42233867的博客
04-22 1826
主要看一下授权模式客户端凭证模式。 OAuth和OAuth 2.0都是为了解决第三方应用程序访问资源服务器(Resource Server)中的用户资源的问题。但是它们之间存在一些重要的区别。本文将从认证流程、安全性和应用场景三个方面深入剖析OAuth 2.0与OAuth的区别。及OAuth 2.0授权的工作流程
[转]OAuth2.0授权协议+4种认证模式了解
Admans的专栏
11-06 881
OAuth2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。对于用户而言,我们在互联网应用中最常见的 OAuth 应用就是各种。
一种基于OAuth2.0微服务电力系统授权方案.pdf
08-28
"一种基于OAuth2.0微服务电力系统授权方案.pdf" 本文主要介绍了一种基于OAuth2.0微服务电力系统授权方案,以解决传统电力系统信息孤岛问题。该方案引入双重校验机制,同时对客户端和用户进行授权鉴权,满足电力...
springcloud_oauth2.0-master.zip
12-19
每个微服务都独立部署、独立运行,但随之而来的是如何实现各微服务间的安全通信,这正是OAuth2.0和Spring Security的作用所在。本文将深入探讨如何利用SpringCloud、SpringBoot、OAuth2.0、Spring Security以及Redis...
practice oauth2.0_English version
10-09
这个"practice oauth2.0_English version"的资源涵盖了OAuth 2.0的核心概念、实施细节以及与之相关的认证、授权、计费和单点登录(SSO)等关键领域。 1. **认证(Authentication)**:OAuth 2.0并非设计为一种认证...
spring cloud + vue + oAuth2.0全家桶实战
11-03
Spring Cloud作为Java领域的微服务治理框架,Vue.js作为前端的轻量级库,以及OAuth2.0作为授权框架,三者结合可以构建出高效、安全、易维护的前后端分离系统。本实战教程将详细介绍如何利用这些技术打造一个模拟商城...
基于springcloud+security+oauth2.0实现的权限管理系统.zip
10-08
再者,OAuth2.0是一种授权协议,用于允许第三方应用在用户授权的情况下访问其存储在另一应用中的特定资源。在本系统中,OAuth2.0主要应用于权限授予流程,用户可以通过授权码(Authorization Code)或者密码...
OAuth 2.0介绍
没有简介
08-24 2711
OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式授权模式、隐式授权模式、密码模式客户端模式。OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权,是目前应用最广泛的开放平台鉴权方式之一。
OAuth2.0 四种模式
m0_60492092的博客
06-28 1004
优点:access_token不会经过浏览器或移动端的App,而是直接从服务端去交换,这样就最大限度的减小了令牌泄漏的风险,安全性高。优点:不需要多次请求转发,额外开销,同时可以获取更多的用户信息。缺点:安全性无法保障,需要授权应用完全信任,且授权应用安全可靠。缺点:没有后台,授权码暴露在前端,安全性无法保障。缺点:局限性,认证服务器应用方必须有超高的信赖。优点:无用户参与,过程简单。
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 4354
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
Oauth2.0学习内容
shijinjins的博客
10-15 657
oauth2.0学习内容,及其四种授权方式四种存储token方式
spring security6.0 oauth2.0 微服务
08-17
Spring Security 6.0 是一个用于保护应用程序的安全框架,而 OAuth 2.0 是一种用于授权和认证的开放标准。结合使用 Spring Security 6.0 和 OAuth 2.0 可以实现微服务的安全保护。 在微服务架构中,通常会有多个服务相互协作提供功能。为了确保这些服务之间的安全通信和访问控制,可以使用 Spring Security 6.0 提供的 OAuth 2.0 支持。 首先,你需要设置一个认证服务器来处理用户的认证和授权请求。这个服务器可以使用 Spring Security OAuth2 提供的功能来实现。通过配置认证服务器,你可以定义客户端应用程序的注册信息、用户的认证方式(例如用户名密码、社交媒体登录等)以及访问令牌的生成和验证规则。 然后,你需要在你的微服务中配置 Spring Security 6.0 来验证和解析访问令牌。通过将 Spring Security 6.0 集成到你的微服务中,你可以使用 OAuth 2.0 提供的访问令牌来保护你的接口和资源。在每个请求到达微服务之前,Spring Security 6.0 将会验证访问令牌的有效性,并根据配置的访问规则决定是否允许请求继续处理。 需要注意的是,使用 Spring Security 6.0 和 OAuth 2.0 进行微服务的安全保护需要一定的配置和代码编写,具体的实现方式会根据你的项目需求和架构设计而有所不同。你可以查阅相关的文档和教程来了解更多细节,并根据实际情况进行配置和开发。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

--流星。

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值