关于 OAuth2.0 详解

最新推荐文章于 2024-06-05 22:27:13 发布
最新推荐文章于 2024-06-05 22:27:13 发布
阅读量509 收藏
点赞数
分类专栏: OAuth2 文章标签: oauth oauth2 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47259205/article/details/112293537
版权
目录
  • OAuth是什么呢?
  • 版本
  • 应用场景
  • 三个重要步骤
  • AccessToken 与 RefreshToken
  • 获取用户授权的request token
OAuth是什么呢?

OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方不需要用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。oAuth是Open Authorization的简写。

在OAuth 2.0的认证和授权的过程中主要包括以下角色定义:

  • Resource owner: 资源所有者(通常指用户或者提供资源服务的平台)
  • Resource server:资源服务器(托管受保护资源的服务器)
  • Client:客户端(浏览器、APP)
  • Authorization server:授权服务器(颁发访问令牌、验证令牌、刷新令牌)
版本

OAuth 1.0 发布于2007年末

OAuth 2.0 发布于2010年初,现在都是用OAuth 2.0协议作为支撑

应用场景

例如:

  • QQ用户授权慕课网使用其他QQ账号相关信息
  • 获取授权后,在符合权限规则的情况下访问各种api
三个重要步骤
  1. 请求OAuth登录页

RequesToken URL – 未授权的令牌请求服务地址

​ 慕课网请求QQ登录页面时使用的带有 特定参数的URL

  1. 用户使用QQ号登录并授权

    即输入正确的账号和密码就可以啦,但如果输入的QQ号和密码不匹配 ,直接就会被QQ的OAuth服务器拒绝,然后让我们重新输入

  2. 返回登录结果

    User Authorization URL – 用户授权的令牌请求服务地址

    即可以这样理解:用户QQ登录授权之后需要请求点的一个带有特定参数的URL

    https://xx.qq.com/oauth/…?…
&client_id=100490322&……
&client_secret=xxxxxx&……
&code=xxxxx……
    响应数据里面还会包含一个重要的参数 :
    AccessToken --这个是用户通过第三方应用访问OAuth接口的令牌 (可以看做用户发送第三方网站的令牌)
AccessToken 与 RefreshToken
  • access token 是应用方访问资源服务器的接口时,需要提供的一个令牌。拥有这个令牌就代表着得到用户的授权。然而,这个授权应该是临时的,有一定有效期。这是因为,access token 在使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access token 泄露而带来的风险
  • 引入了有效期之后,应用方使用起来就不那么方便了。每当 access token 过期,应用方就必须重新向用户索要授权。这样用户可能每隔几天,甚至每天都需要进行授权操作。这是一件非常影响用户体验的事情
  • 于是OAuth2.0 引入了 refresh token 机制。refresh token 的作用是用来刷新 access token。鉴权服务器提供一个刷新接口
    如: http://xxx.xxx.com/refresh?refreshtoken=&client_id=

​ 传入 refresh token 和 client_id,鉴权服务器验证通过后,返回一个新的 access token

为了安全,OAuth2.0 引入了两个措施:

  1. refresh token 一定是保存在应用方的服务器上的,而绝不能存放在狭义的客户端(例如移动 app、PC端软件) 上。调用 refresh 接口的时候,一定是从服务器到服务器的访问

  2. OAuth2.0 引入了 client_secret 机制。即每一个 client_id 都对应一个 client_secret。这个 client_secret 会在应用方申请 client_id 时,随 client_id 一起分配给客户端。应用方必须把 client_secret 妥善保管在服务器上,决不能泄露。刷新 access token 时,需要验证这个 client_secret。

    https://xxx.xxx.com/refresh?refreshtoken=&client_id=&client_secret=

    [^refresh token是在用户完成授权时,随 access token 一起重定向到回调 url,传递给应用方。]:

获取用户授权的request token

请求参数:

​ OAUTH_token:可选。在前述步骤中获得的请求令牌。服务提供方可以声明此参数为必须,也可以允许不包含在授权URL中并提示用户手工输入。

​ OAUTH_callback:可选。消费方可以指定一个URL,当 获取用户授权 (获取用户授权)成功后,服务提供方将重定向用户到这个URL。

附加参数:由服务提供方定义的任意参数。

不要胖要瘦哦~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OAuth2.0 - 刷新令牌
A_991128a的博客
01-12 1788
刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给客户端,用于在当前访问令牌失效或过期时获取新的访问令牌,或者获取具有相同或更窄范围的附加访问令牌(访问令牌可能具有更短的范围)生命周期和少于资源所有者授权的权限)。颁发刷新令牌是可选的,由授权服务器决定。因为刷新令牌通常是用于请求额外的访问令牌的持久凭证,刷新令牌绑定到被它被颁发给的客户端。如果通过客户端凭证模式,建议选定其他的身份验证。的过期时间保存下来,每次调用平台方的业务。进行一下时间判断,如果过期则执行刷新。如果过期就只能让用户重新授权。
Security详解
myli92的博客
05-12 1071
1.HttpSecurity常用方法 方法 说明 openidLogin() 用于基于 OpenId 的验证 headers() 将安全标头添加到响应 cors() 配置跨域资源共享( CORS ) sessionManagement() 允许配置会话管理 portMapper() 允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 P
一文搞懂OAuth2.0
最新发布
沈洋的博客
06-05 779
2.此时该游戏APP后台会请求授权服务器(附上回调URL),游戏界面会跳转到微信授权页面,提示你需要向该游戏授权你的个人信息,例如用户昵称,手机号,好友信息等(这些其实就是需要做授权保护的资源)。2.此时该网页会请求授权服务器(附上回调URL),跳转到微信授权页面,提示你需要向该游戏授权你的个人信息,例如用户昵称,手机号,好友信息等(这些其实就是需要做授权保护的资源)。4.微信的授权服务器将通过调用请求中的回调URL,直接向该游戏颁发一个令牌(与授权码模式不同,此处直接给令牌,而非授权码)
OAuth2.0用refresh_token更新access_token令牌
张俊杰 的博客
02-07 6331
概述 使用oauth2时,如果令牌失效了,可以使用刷新令牌通过refresh_token的授权模式再次获取access_token。只需修改认证服务器的配置,添加refresh_token的授权模式即可。 修改授权服务器配置,增加refresh_token配置 ​ @Autowired private UserService userService; @Override public void configure(AuthorizationServerEndpointsConfigurer endpoint
【SSO单点登录】JWT续签问题 && OAuth2.0 中的refreshToken刷新机制
老男孩的架构路
10-14 2231
但假如这个时候用户正在提交重要信息,填了一大堆信息,按下按钮时,后台拦截器发现token过期,告知前端,前端直接退回登录页,那这次提交就相当于无效了,还得登录后重新填一遍【当然前端也能做缓存,这里就不考虑那么多了,只是个栗子】当然,更安全的方式是,客户端需要绑定一个client_id和secret,服务端会验证这个refreshToken是否是改客户端发起的,防止被盗用【这个是后话了,我们后续基于token的SSO单点登录,,绑定在token里边了,若登录后,管理员修改了角色的权限,而服务端此时还拿。
oauth2.0认证
recorded_living_tips的博客
07-28 348
对于ios,之前没有接触,后来在写项目的时候接触到了,对于消息推送机制,是很多
OAuth 2.0授权协议详解
10-25
主要介绍了OAuth 2.0授权协议详解,本文对OAuth协议做了详解讲解,对OAuth协议的各个方面做了分解,读完本文你就会知道到底啥是OAuth了,需要的朋友可以参考下
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
详解laravel passport OAuth2.0的4种模式
10-16
**laravel passport OAuth2.0的4种模式详解** OAuth2.0是一种授权框架,用于安全地让第三方应用访问用户的数据,而无需分享其原始凭证。laravel passport 是 Laravel 框架提供的一种用于构建 API 的强大工具,它...
OAuth2.0说明.docx
09-11
OAuth 2.0 认证协议详解 OAuth 2.0 是一个开放的授权标准,当前版本是 2.0 版本。它提供了一种安全的方式,使得第三方应用程序可以访问用户在服务提供商的资源,而不需要用户将用户名和密码提供给第三方应用程序。 ...
基于springcloud+security+oauth2.0实现的权限管理系统.zip
10-08
《基于SpringCloud+Security+OAuth2.0的权限管理系统实现详解》 在现代企业级应用开发中,权限管理和安全控制是至关重要的组成部分。本系统基于SpringCloud、Security和OAuth2.0三大技术栈构建,旨在提供一个高效、...
jwt需要存redis吗_想让 OAuth2 和 JWT 在一起愉快玩耍?请看松哥的表演
weixin_39875842的博客
12-03 1651
今日干货刚刚发表查看:66666回复:666公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。本文是我们 OAuth2 系列的第五篇,通过前面四篇文章相信大家对于 OAuth2 中的各种授权登录流程已经轻车熟路了。前面的文章松哥侧重于和大家理清楚 OAuth2 的登录流程,对于一些登录细节则没有去深究,接下来松哥会和大家把这些案例一一进行晚上。本文依然是在前面案例的基础...
Oauth2.0的四种模式
qq_37457564的博客
07-25 2109
1. 授权码模式 (1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize? client_id=p2pweb&response_type=code&scope=app&redirect_uri=http://xx.xx/notify 参数列表如下: client_id:客户端接入标识。 response_type:授权码模式固定为code。 scope:客户端权限
Spring Security OAuth2 Redis存储token refresh_token永不过期问题详解
热门推荐
OceanSky的专栏
07-27 1万+
1.先看几个实现类,然后再看源码分析这样会更清晰 OAuth2AccessToken接口的默认实现是DefaultOAuth2AccessToken类(自带过期时间属性) OAuth2RefreshToken接口的默认实现是DefaultOAuth2RefreshToken类(不带过期时间属性) ExpiringOAuth2RefreshToken接口父接口是OAuth2RefreshToke...
OAuth 2.0 授权认证详解
GJ_ia的博客
01-13 2631
从上图中可以看出,造成 CSRF 攻击漏洞问题的关键点在于,OAuth2 的认证流程是分为好几步来完成的,在上一章节授权码模式流程中的流程图中的第 4步骤中,第三方应用在收到一个 GET 请求时,除了能知道当前用户的 cookie,以及 URL 中的。"云冲印"网站将李四的 Google 账号同张三的"云冲印"账号关联绑定起来,从此以后,李四就可以用自己的 Google 账号通过 OAuth 登录到张三在 “云冲印” 网站中的账号,堂而皇之的冒充张三的身份执行各种操作。这样的前后端分离,可以避免令牌泄漏。
什么是OAuth2.0
s041109的博客
05-23 700
目录 前言 1.所以什么是OAuth2.0呢? 举例说明 2. OAuth2中的角色 3. 认证流程 前言 OAuth是Open Authorization的简写。 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。 同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。 1.所以什么是OAuth2.0呢? OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1
[转]OAuth2.0授权协议+4种认证模式了解
Admans的专栏
11-06 938
OAuth2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。对于用户而言,我们在互联网应用中最常见的 OAuth 应用就是各种。
双token刷新、续期,access_token和refresh_token实效如何设置
诚的博客
07-29 2236
双token刷新、续期,access_token和refresh_token实效如何设置 token认证,生成的token 过一段时间就会失效(不要故意把时间设的很长,这样不安全,token变得毫无意义!),用户需要重新登录获取token。用户经常使用客户端,使用过程中 由于token到期 客户端跳转到登录界面要求登录,这样体验极差!比如: token有效期2h,用户一直在使用客户端,使用过程中token到期跳转到登录页面邀请重新登录。第一次忍了,过了2个小时又要重新登录! 用户:MDZZ,再见。 为了
前后端利用accessToken与refreshToken无感刷新
没有翅膀的我们,只是随便认为不能飞而已
06-15 5330
项目初衷 以jwt(由header,payload和signature组成)为例,用户登录成功,后端返回accessToken。前端保存,请求接口携带,一切都是水到渠成的 可是在acessToken失效时,你正好请求一次接口,接口就挂了,可能你就跳到登录页了,用户体验也不好。我们希望虽然过期了,但是页面偷偷地刷新,不影响当前接口运行。如果你的方案是把accessToken的有效期设置地久一点,比如100年。你真的是个机智Boy,那设置jwt的意义何在。 方案 accessToken和refreshToken
oauth2.0详解
05-31
OAuth 2.0的核心思想是,第三方应用程序从授权服务器获取一个访问令牌,该令牌代表了用户已经授权了第三方应用程序访问他们的资源。第三方应用程序可以使用这个访问令牌来访问用户的资源。 OAuth 2.0定义了四种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值