Oauth2.0学习记录

最新推荐文章于 2023-06-27 00:02:40 发布
最新推荐文章于 2023-06-27 00:02:40 发布
阅读量138 收藏
点赞数
分类专栏: 前端 文章标签: oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47702774/article/details/107412344
版权

Oauth2.0学习记录

几乎每个系统,都不开身份验证,验证的方式也很多,Oauth2.0,SSO,还有最近新接触到的JWT,傻傻搞不清楚,他们之间到底是什么关系呢?
先简单整理一下Oauth2.0的内容,接下来继续学习SSO和JWT,继续完善,奥利给!

  1. 什么是Oauth2.0?

    一种允许通过简单标准的方法从Web,移动和桌面应用程序进行安全授权开放协议。简单的说OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。

  2. 什么是令牌(token)?与密码有什么不同?

    • 令牌是有期限的,到期自动失效,且用户不能自己修改;密码一般长期有效,用户不修改就不会发生变化。
    • 令牌可以被数据所有者撤销,立即失效;密码一般不允许被他人撤销。
    • 令牌有权限范围,只能在有限范围内使用;密码一般没有限制。

    在Oauth2.0中,令牌的颁发方式有四种,即四种授权类型。

  3. 四种授权类型

    授权码(authorization-code),隐藏式(implicit),密码式(password),客户端凭证(client credentials)

    以下说明的示例:A网站需要向B网站获取授权

    第一种方式:授权码

    这种方式是第三方应用先申请一个授权码,然后再用该码获取令牌,这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。

    过程:

    • A 网站提供一个链接,用户点击后就会跳转到 B 网站,

    • 用户跳转后B 网站后会要求用户登录,然后询问是否同意给予 A 网站授权。若用户表示同意,则B网站会携带授权码跳回指定网址

    • A网站拿到授权码后,在后端向B网站请求令牌(token)

    • B网站颁发令牌,向指定网址传送一段JSON数据

      {    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  "uid":100101,
  "info":{...}
}
    第二种方式:隐藏式

    有些 Web 应用是纯前端应用,没有后端,RFC 6749(OAuth 2.0 的标准)规定允许直接向前端颁发令牌,这种方式没有授权码。

    过程:

    • A 网站提供一个链接,用户点击后就会跳转到 B 网站,
    • 用户跳转后B 网站后会要求用户登录,然后询问是否同意给予 A 网站授权。若用户表示同意,则B网站会携带令牌(token)跳回指定网址
    • A网站在前端直接拿到token

    这种方式把令牌直接传给前端,是很不安全的。因此,只能用于一些安全要求不高的场景,并且令牌的有效期必须非常短,通常就是会话期间(session)有效,浏览器关掉,令牌就失效了。

    第三种方式:密码式

    RFC 6749允许用户将用户名和密码告诉你高度信任的应用。

    过程:

    • A网站要求用户提供B网站的用户名和密码,拿到之后,A直接向B请求令牌
    • B验证身份通过后,直接将令牌反正放在Json数据中返回给A。

    这种方式风险很大,适用于其他方式都无法采用的情况。

    第四种方式:凭证式

    在命令行下请求令牌,适用于没有前端的命令行应用

    过程:

    • A 应用在命令行向 B 发出请求
    • B 网站验证通过以后,直接返回令牌

    这种方式给出的令牌,是针对第三方应用的,而不是针对用户的,即有可能多个用户共享同一个令牌。

  4. 令牌的使用

    在请求的头信息,加上一个Authorization字段,令牌就放在这个字段里面。

    比如A 网站拿到令牌以后,向 B 网站的 API 请求数据,每个请求,都必须带有令牌。

    Authorization: Bearer ACCESS_TOKEN

  5. 令牌的更新

    令牌是有有效期的,当令牌到期后,用户无需重新按照以上流程申请令牌,而是自动更新令牌。

    具体方法是,B 网站颁发令牌的时候,一次性颁发两个令牌,一个用于获取数据,另一个用于获取新的令牌(refresh token 字段)。令牌到期前,用户使用 refresh token 发一个请求,去更新令牌。

    https://b.com/oauth/token?grant_type=refresh_token&client_id=CLIENT_ID& client_secret=CLIENT_SECRET&  refresh_token=REFRESH_TOKEN

    参考链接:http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

我叨叨叨叨叨叨
关注
专栏目录
OAuth 2.0(三):令牌机制
weixin_34975714的博客
11-17 626
令牌机制
practice oauth2.0_English version
10-09
这个"practice oauth2.0_English version"的资源涵盖了OAuth 2.0的核心概念、实施细节以及与之相关的认证、授权、计费和单点登录(SSO)等关键领域。 1. **认证(Authentication)**:OAuth 2.0并非设计为一种认证...
Oauth2统一登录平台 v1.2
11-08
OAuth2.0几乎成了当今第三方平台的一个标准中的标准(我不知道几年后会出3.0),那既然是一个标准,为什么就不能用一个相对标准的类库或项目来实现呢?翻遍整个china的开源项目,就别说是C#了,连java、php都没有这样的现成项目,那老朽就卖一把老,继续为各位献上一点微薄之力吧。由于时间关系,第一版我就做了6个接口的对接,其中微信的回调地址是在公众平台设置的,不支持传参,注意哦整个项目只有register_third.aspx是需要跟您的会员系统对接,其他都不需要修改~~哦,忘了说,appkey和appsecret啥的是需要改的,您懂的。PS:说清楚了,在这个项目上老衲的角色只是搬运工,绝非100%的原创,倘若哪天项目火了之后被拉上法庭说我侵权就不值当了。
OAuth2.0 知多少
weixin_33882443的博客
03-17 104
1. 引言 周末逛简书,看了一篇写的极好的文章,点击大红心点赞,就直接给我跳转到登录界面了,原来点赞是需要登录的。 可是没有我并没有简书账号,一直使用的QQ的集成登录。下面有一排社交登录按钮,我们可以用第三方社交账号登陆即可。点击QQ图标,就给我跳转到了QQ登录授权页面,如下图: 从图片上我们可以看到主要包括两个部分,一个是左边的用户登录,一个是右边告知简书将获取哪些权限。输入QQ账号和密码,...
Oauth2.0详解及安全使用
weixin_30480075的博客
09-04 862
引言:刚刚参加工作的时候接到的第一个任务就是接入新浪的联合登录功能,当时新浪用的还是oauth1.0协议。接入的时候没有对oauth协议有过多的了解,只是按照开放平台的接入流程进行开发,当时还在想这么麻烦就是为了作一个登录功能?(为当年的无知汗颜...)。再后来上家公司需要开发一套自己的基于oauth2.0的联合登录功能,粗粗的看了下oauth2.0协议流程,自以为了解了便开始设计开发,现在来看真...
OAuth2.0
NanGe_BoKe
12-06 631
1、OAuth的简述   OAuth(Open Authorization,开放授权)是为用户资源的授权定义了一个安全、开放及简单的标准,第三方无需知道用户的账号及密码,就可获取到用户的授权信息,并且这是安全的。(我喜欢简单明了,这里没看懂,没关系,接着往下面看)   2、OAuth的原理                                          
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
配合压缩包中的"配套笔记_Spring Security OAuth2.0认证授权_v1.1",读者可以详细学习如何在实际项目中设置这些组件,以及如何处理授权过程的每一个步骤。笔记可能涵盖了创建自定义授权服务器和资源服务器的配置,...
基于Java的黑马OAUTH2.0权限管理专题学习记录设计源码
最新发布
05-28
本项目是基于Java的黑马OAUTH2.0权限管理专题学习记录设计源码,包含126个文件,其中包括43个Java源文件、30个Class文件、14个XML配置文件、12个JAR包、8个Properties文件、5个Iml文件、4个Lst文件、2个Gitignore...
oauth2.0.rar
08-23
Springboot2+SpringSecurity+Oauth2+Mysql数据库实现持久化客户端数据 分为授权服务和资源服务2个工程 ,详细说明参看https://www.cnblogs.com/zsg88/p/11382054.html
OAuth2.0入门
hmjcxy的博客
02-01 578
OAuth2入门
详解OAuth2.0
Joker_ZJN的博客
04-25 2126
一文聊明白OAuth2.0
OAuth2.0详解(简介篇)
breakloop
08-22 4574
本博文,只是一个OAuth2.0引子。用于介绍OAuth的大致内容。 有关OAuth授权模式以及实现,我们将在之后的博文中进行描述。(一)什么是Oauth2.0首先,什么是OauthOauth,即Open Authorization,是一种解决用户资源共享问题的协议。例如,我们可以使用微信身份登录某些APP,这样就无需进行花样繁多的注册。该协议使用授权的方式,在其他APP不触及用户名及密码的情况
OAuth2.0基础篇(1)
梦与时光遇的博客
08-01 213
OAuth2.0的知识
OAuth2.0四种授权模式及实战
CODEING一场空的博客
06-27 1万+
Oauth2.0具有多种授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。在源码中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证码登录或者微信扫码登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证码模式。
OAuth 2.0 授权认证详解
热门推荐
顺其自然~专栏
06-26 1万+
OAuth 2.0 (Open Authorization)标准目前被广泛应用在第三方登录场景中,以下是虚拟出来的角色,阐述 OAuth2 能帮我们干什么,引用阮一峰这篇中的例子:有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样获得用户的授权呢?
OAuth2.0从入门到实战(附github地址)
Javaer
02-25 4206
Oauth2.0 从入门到实战,一篇文章搞懂第三方登录和SSO
Spring Security OAuth2.0认证授权实战案例解析
资源摘要信息:"Spring Security OAuth2.0认证授权案例实战读书笔记" 本读书笔记主要围绕Spring Security OAuth2.0认证授权的实战案例进行深入探讨和分析。Spring Security OAuth2.0作为目前非常流行的开源安全框架...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值