OAuth2.0 授权方式

最新推荐文章于 2022-11-09 10:39:25 发布
最新推荐文章于 2022-11-09 10:39:25 发布
阅读量221 收藏
点赞数
分类专栏: Spring Family Bucket 文章标签: spring
原文链接:https://juejin.cn/post/6847009773477429255
版权

OAuth2.0 授权方式

OAuth2.0 的授权简单理解其实就是获取令牌(token)的过程,OAuth 协议定义了四种获得令牌的授权方式(authorization grant )如下:

  • 授权码(authorization-code
  • 隐藏式(implicit
  • 密码式(password):
  • 客户端凭证(client credentials

但值得注意的是,不管我们使用哪一种授权方式,在三方应用申请令牌之前,都必须在系统中去申请身份唯一标识:客户端 ID(client ID)和 客户端密钥(client secret)。这样做可以保证 token 不被恶意使用。

下面我们会分析每种授权方式的原理,在进入正题前,先了解 OAuth2.0 授权过程中几个重要的参数:

  • response_type:code 表示要求返回授权码,token 表示直接返回令牌
  • client_id:客户端身份标识
  • client_secret:客户端密钥
  • redirect_uri:重定向地址
  • scope:表示授权的范围,read只读权限,all读写权限
  • grant_type:表示授权的方式,AUTHORIZATION_CODE(授权码)、password(密码)、client_credentials(凭证式)、refresh_token 更新令牌
  • state:应用程序传递的一个随机数,用来防止CSRF攻击。
1、授权码

OAuth2.0四种授权中授权码方式是最为复杂,但也是安全系数最高的,比较常用的一种方式。这种方式适用于兼具前后端的Web项目,因为有些项目只有后端或只有前端,并不适用授权码模式。

下图我们以用WX登录掘金为例,详细看一下授权码方式的整体流程。

在这里插入图片描述在这里插入图片描述

用户选择WX登录掘金,掘金会向WX发起授权请求,接下来 WX询问用户是否同意授权(常见的弹窗授权)。response_typecode 要求返回授权码,scope 参数表示本次授权范围为只读权限,redirect_uri 重定向地址。

https://wx.com/oauth/authorize?
  response_type=code&
  client_id=CLIENT_ID&
  redirect_uri=http://juejin.im/callback&
  scope=read
复制代码

用户同意授权后,WX 根据 redirect_uri重定向并带上授权码。

http://juejin.im/callback?code=AUTHORIZATION_CODE
复制代码

当掘金拿到授权码(code)时,带授权码和密匙等参数向WX申请令牌。grant_type表示本次授权为授权码方式 authorization_code ,获取令牌要带上客户端密匙 client_secret,和上一步得到的授权码 code

https://wx.com/oauth/token?
 client_id=CLIENT_ID&
 client_secret=CLIENT_SECRET&
 grant_type=authorization_code&
 code=AUTHORIZATION_CODE&
 redirect_uri=http://juejin.im/callback
复制代码

最后 WX 收到请求后向 redirect_uri 地址发送 JSON 数据,其中的access_token 就是令牌。

 {    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  ......
}
复制代码

2、隐藏式

上边提到有一些Web应用是没有后端的, 属于纯前端应用,无法用上边的授权码模式。令牌的申请与存储都需要在前端完成,跳过了授权码这一步。

前端应用直接获取 tokenresponse_type 设置为 token,要求直接返回令牌,跳过授权码,WX授权通过后重定向到指定 redirect_uri

https://wx.com/oauth/authorize?
  response_type=token&
  client_id=CLIENT_ID&
  redirect_uri=http://juejin.im/callback&
  scope=read
复制代码

3、密码式

密码模式比较好理解,用户在掘金直接输入自己的WX用户名和密码,掘金拿着信息直接去WX申请令牌,请求响应的 JSON结果中返回 tokengrant_typepassword 表示密码式授权。

https://wx.com/token?
  grant_type=password&
  username=USERNAME&
  password=PASSWORD&
  client_id=CLIENT_ID
复制代码

这种授权方式缺点是显而易见的,非常的危险,如果采取此方式授权,该应用一定是可以高度信任的。

4、凭证式

凭证式和密码式很相似,主要适用于那些没有前端的命令行应用,可以用最简单的方式获取令牌,在请求响应的 JSON 结果中返回 token

grant_typeclient_credentials 表示凭证式授权,client_idclient_secret 用来识别身份。

https://wx.com/token?
  grant_type=client_credentials&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET
复制代码

三、令牌的使用与更新

1、令牌怎么用?

拿到令牌可以调用 WX API 请求数据了,那令牌该怎么用呢?

每个到达WX的请求都必须带上 token,将 token 放在 http 请求头部的一个Authorization字段里。

如果使用postman 模拟请求,要在Authorization -> Bearer Token 放入 token注意:低版本postman 没有这个选项。

在这里插入图片描述在这里插入图片描述

2、令牌过期怎么办?

token是有时效性的,一旦过期就需要重新获取,但是重走一遍授权流程,不仅麻烦而且用户体验也不好,那如何让更新令牌变得优雅一点呢?

一般在颁发令牌时会一次发两个令牌,一个令牌用来请求API,另一个负责更新令牌 refresh_tokengrant_typerefresh_token 请求为更新令牌,参数 refresh_token 是用于更新令牌的令牌。

https://wx.com/oauth/token?
  grant_type=refresh_token&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET&
  refresh_token=REFRESH_TOKEN

wx.com/oauth/token?
grant_type=refresh_token&
client_id=CLIENT_ID&
client_secret=CLIENT_SECRET&
refresh_token=REFRESH_TOKEN
王野也不野
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
4-OAuth2.0协议简单认识
码农小胖哥
03-16 7789
上一篇胖哥和大家一起通过日志分析了Spring Security OAuth2的authorization_code模式,相信流程你已经了解了一些。但是你会不会有这样的疑问,用户访问客户端自己的资源/foo/hello为啥还要跳到第三方gitee登录?正常情况下自己的资源只要自己认证就能访问,借助于其它平台认证授权是怎么回事? 解惑 Spring Security OAuth2 Login纯粹是“借别人的鸡下自己的蛋”。真正的目的是授权去访问/v5/user获得gitee平台当前用户的信息,借第三方平台的用
OAuth2.0的简要介绍和四种授权方式
Aprilyang42的博客
07-19 619
OAuthOAuth含义OAuth授权方式介绍第一种授权方式授权第三种方式:密式第四种方式:凭证式刷新令牌 OAuth含义 OAuth是一种授权机制,数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的令牌(token)用来代替密,供第三方应用使用。 令牌和密的作用是一样的,都可以进入系统,但有三点差异: 1.令牌是短期的,到期会自动失效,用户无法修改。密一般长期有效,用户不修改,就不会发生变化。 2. 令牌可以被数据所有者撤销,会立即失效。 3. 令牌有权限范
OAuth2.0 有哪些授权方式
最新发布
Authing的博客
11-09 532
详细解释 OAuth2.0授权方式
OAuth2:四种授权方式
Leon_Jinhai_Sun的博客
07-30 1932
OAuth2:四种授权方式
OAuth2.0四种授权模式以及Oauth2.0实战
热门推荐
CODEING一场空的博客
04-11 1万+
OAuth2.0四种授权模式实现演示以及自定义授权模式。 Oauth2.0具有多种授权许可机制协议:授权许可机制、客户端凭据机制、资源拥有者凭据机制(密模式)和隐式许可机制。
微信oauth2.0授权
10-11
总的来说,微信OAuth2.0授权是连接微信生态系统的重要桥梁,它为开发者提供了便捷且安全的方式来获取和识别用户,从而实现更丰富的功能和服务。理解并正确使用OAuth2.0授权机制,对于开发微信相关的应用至关重要。
OAuth 2.0授权协议详解
10-25
主要介绍了OAuth 2.0授权协议详解,本文对OAuth协议做了详解讲解,对OAuth协议的各个方面做了分解,读完本文你就会知道到底啥是OAuth了,需要的朋友可以参考下
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
OAuth20:一个简单的OAuth 2.0授权服务器和客户端实现
05-31
这个项目的想法是编写一个简单的 OAuth 2.0 授权服务器。 不要期望太多。 它正在逐步发展。 代看起来不太好。 很多东西都是硬编的。 它更像是一个简单的概念证明应用程序。规格本项目使用以下 RFC 文档作为其...
适用于Gin-Gonic的OAuth 2.0授权服务器和授权中间件-Golang开发
05-26
oauth中间件Gin-Gonic的OAuth 2.0授权服务器和授权中间件该库提供基于Gin-Gonic的OAuth 2.0授权服务器和可在资源服务器中使用的授权中间件dev oauth中间件Gin-Gonic的OAuth 2.0授权服务器和授权中间件该库提供了基于Gin-Gonic的OAuth 2.0授权服务器以及可在与Gin-Gonic开发的资源服务器中使用的授权中间件。 生成状态授权服务器授权服务器由OAuthBearerServer结构实现,该结构管理两种授权类型的授权(密和client_credentials)。 该授权服务器旨在提供授权
Oauth2.0基于Spring Authorization Server模块client_secret_jwt模式
Lance
03-17 2010
介绍 处理oauth2.0请求授权client授权模式, 使用授权服务器对客户端进行身份验证时使用的身份验证方法 client_secret_basic client_secret_post client_secret_jwt private_key_jwt none 序号 授权服务器对客户端进行身份验证时使用的身份验证方法 说明 3 client_secret_jwt JwtClientAssertionAuthenticationConverter 基于项目:
Oauth2.0 security 中对client-secret的加密
qq_40823552的博客
04-21 7047
简单记录了一下今天踩的巨坑,今天利用Oauth做了单点登录,在网上找的案例,但是在研究中发现数据库中存在这么一下这两条数据 实在是不明白其中的client_secret是如何产生的,利用passwordEncoder.encode()去加密配置文件中的client-secret根本不对,在网上找了很久的资料才找到了一个可用的答案 原本的client加载数据库资源是这么写的 @Override public void configure(ClientDetailsServiceConfigurer
OAuth2.0简介
西瓜游侠的博客
03-26 5176
OAuth 2.0是用于授权的行业标准协议。 1 相关名词 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密; Resource server(资源服务器):受保护资源所在的服务器,如果请求包含正确的访问令牌,就可以访问受保护的资源; Client(客户端):请求访问资源的客户端,可以是浏览器、移动设备或者服务器,客户端会携带访问令牌访问资源服务器上的资源; Authorization server(认证服务器):负责认证客户端身份的服务器,如果客户端认证通过,会给
加密与授权 Oauth2.0
ys.hubery
01-05 5075
加密算法 对称加密 加密和解密使用同样规则(简称"密钥"),这被称为"对称加密算法" 非对称加密 授权机制 OAuth OAuth2.0 授权(authorization-code 隐藏式(implicit) 密式(password) 客户端凭证(client credentials) ...
OAuth2.0
weixin_33720956的博客
08-23 229
OAuth2.0 OAuth1.0虽然在安全性上经过修补已经没有问题了,但还存在其它的缺点,其中最主要的莫过于以下两点:其一,签名逻辑过于复杂,对开发者不够友好;其二,授权流程太过单一,除了Web应用以外,对桌面、移动应用来说不够友好。 为了弥补这些短板,OAuth2.0做了以下改变: 首先,去掉签名,改用SSL(HTTPS)确保安全性,所有的token不再有对应的secret存在,这也直接...
OAuth 2.0
BLOG域名:programb.blog.csdn.net
03-30 111
You can authenticate with OAuth 2.0 using UAA as a provider. pom.xml org.springframework.security spring-security-config org.springframework.security spring-security-oauth2-client Th...
oauth2.0方式认证分析
qq_39584267的博客
08-19 3225
oauth2.0方式认证分析
OAuth 2.0 授权协议详解
OAuth 2.0是现代互联网中不可或缺的一部分,它为开发者提供了一种安全、灵活的方式来访问和共享用户数据,同时保护了用户的隐私和数据安全。在开发过程中,理解并正确实施OAuth 2.0规范至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值