OAuth2.0简介

最新推荐文章于 2024-06-05 22:27:13 发布
最新推荐文章于 2024-06-05 22:27:13 发布
阅读量505 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54597234/article/details/124932368
版权
OAuth2.0 是目前使用非常广泛的授权机制,用于授权第三方应用获取用户的数据。 举例说明:

用户可以通过选择其他登录方式来使用百度,这里就使用到了第三方认证。

OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。 ...... 资源所有者同意 以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。

一、OAuth2中的角色 

  1. 资源所有者
        能够授予对受保护资源的访问权限的实体,如果资源的所有者为个人,也被成为最终用户
  1. 资源服务器
        存储有受保护资源的服务器, 能够接受并验证访问令牌,并响应受保护资源的访问请求
  1. 客户
        需要被授权,然后再访问受保护资源的实体。客户这个术语,并不是特指应用程序,服务器,计算机等。
  1. 授权服务器
        验证资源所有者并获取授权成功后,向客户发出访问令牌

二、Oauth设计理念

OAuth在"客户端"与"服务提供商"之间,设置一个授权层(authorization layer)。

  1. “客户端"不能直接登录"服务提供商”,只能登录授权层,以此将用户与客户端区分开来
  2. "客户端"登录授权层所用的令牌(token),与用户的密码不同。用户可在登录时,指定授权层令牌的权限范围和有效期。
  3. "客户端"登录授权层以后,"服务提供商"根据令牌的权限范围和有效期,向"客户端"开放用户储存的资料。

三、认证流程 

 

  1. client 客户
  2. authorization-server 认证服务
  3. resource-owner 资源所有者
  4. resource-server 资源服务器
流程:
  • 客户向资源所有者申请授权码
  • 资源所有者下发授权码
  • 客户拿到授权码后向认证服务器申请令牌
  • 认证服务器接到申请下方令牌
  • 客户获取令牌后向资源服务器请求数据

四、OAuth2授权方式 

由于互联网有多种场景, OAuth2 定义了四种获取令牌的方式,可以选择合适与自己的方式
  • 授权码(authorization-code
  • 隐藏式(implicit
  • 密码式(password):
  • 客户端凭证(client credentials

 五、流程

5.1 资源所有者

资源所有者接到客户的请求,需要返回授权码

5.2客户

编写一个controller,向资源所有者发送请求来获取授权码

5.3客户

资源所有者生成授权码后,需要回调客户的一个接口,将授权码传回, 客户得到授权码后,需要向认证 服务器发出请求,申请令牌

5.4认证服务器

认证服务器接到客户请求,生成令牌,并返回令牌数据

5.5客户

客户获取了令牌,并使用令牌向资源服务器请求数据

5.6资源服务器

资源服务器接到请求,返回数据

酒吴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
webapi基于Owin中间件的oauth2.0身份认证
10-07
**OAuth2.0简介** OAuth2.0是一种授权框架,广泛应用于Web API的身份验证和授权。它允许第三方应用在用户授权的情况下,访问该用户的特定资源,而无需获取用户的用户名和密码。OAuth2.0的核心是将认证和授权分离,...
springboot集成oauth2.0
07-27
SpringBoot集成OAuth2.0是将流行的OAuth2.0安全框架与SpringBoot应用程序相结合的过程,以便为API和Web应用提供安全的访问控制。OAuth2.0是一个授权框架,允许第三方应用在用户授权的情况下访问其受保护的资源,而...
OAuth2.0优缺点
张俊杰 的博客
02-07 2980
优点: ● 更安全,客户端不接触用户密码,服务器端更易集中保护 ● 广泛传播并被持续采用 ● 短寿命和封装的token ● 资源服务器和授权服务器解耦 ● 集中式授权(专门一个服务去做授权认证),简化客户端 ● HTTP/JSON友好,易于请求和传递token ● 考虑多种客户端架构场景 ● 客户可以具有不同的信任级别 缺点: 不同的公司都有自己的OAuth2实现方式,会出现兼容性的问题, OAuth2只是一个协议,不是具体的实现,不同的公司的实现方式是不一样的. ...
OAuth2.0实现高级功能:更强大和灵活
禅与计算机程序设计艺术
07-05 3772
作者:禅与计算机程序设计艺术 OAuth2.0 实现高级功能:更强大和灵活 摘要 本文旨在介绍 OAuth2.0 的高级功能,包括访问令牌生成、用户信息授权、代码片段化等。通过对比 OAuth2.0 和 OAuth1.0,重点讲解 O
一文搞懂OAuth2.0
最新发布
沈洋的博客
06-05 787
2.此时该游戏APP后台会请求授权服务器(附上回调URL),游戏界面会跳转到微信授权页面,提示你需要向该游戏授权你的个人信息,例如用户昵称,手机号,好友信息等(这些其实就是需要做授权保护的资源)。2.此时该网页会请求授权服务器(附上回调URL),跳转到微信授权页面,提示你需要向该游戏授权你的个人信息,例如用户昵称,手机号,好友信息等(这些其实就是需要做授权保护的资源)。4.微信的授权服务器将通过调用请求中的回调URL,直接向该游戏颁发一个令牌(与授权码模式不同,此处直接给令牌,而非授权码)
1.OAuth 2实战 --- OAuth 2.0是什么,为什么要关心它
enlyhua的专栏
02-10 1351
OAuth 是一个安全协议,用于保护全球范围内大量且不断在增长的web api,它用于连接不同的网站,还支持原生应用和移动应用于云服务之间的连接。 它是各个领域标准协议中的安全层。 1.OAuth 2.0是什么 OAuth 2.0 是一个授权协议,它允许应用软件代表(而不是充当)资源拥有者去访问资源拥有者的资源。应用向资源拥有者请求授权,然后得到令牌(token),并用它来访问资源。 ...
使用OAuth2有什么优点和缺点
越努力越幸运。
01-18 583
使用OAuth2有以下几个优点:然而,使用OAuth2也存在一些缺点:
OAuth2相关知识和理解
fenger_c的博客
06-02 1706
1 什么是OAuth2? 是一个代理授权的框架 是基于令牌Token的授权(无需用户密码也能拥有访问权限) 认证和授权解耦分离 主流的标准安全框架,可以支持多种使用场景 服务器WebApp 浏览器单页SPA 无线/原生APP 服务器对服务器之间 2 OAuth2核心-令牌Token是什么? 给应用赋予有限的访问权限,让应用有权限去访问用户数据 举个例子,你把你的保时捷911停到一家酒店,那么你会给酒店服务员保时捷钥匙帮你停车,你给服务员的钥匙,是有限制的,不能行使太远的距..
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
oauth2.0.zip_oauth2.0
09-20
这个压缩包文件"oauth2.0.zip_oauth2.0"包含了深入理解OAuth 2.0的基础知识,特别是针对初学者的入门介绍。其中的"oauth2.0.pdf"文档很可能是详细阐述OAuth 2.0概念、工作流程和实际应用的教程。 OAuth 2.0的核心...
OAuth2.0协议中文版.pdf
03-27
OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
完整Oauth 2.0实现实例
03-06
OAuth 2.0 是一种广泛使用的授权框架,它允许第三方应用在用户许可的情况下访问其私有资源。在本文中,我们将深入探讨 OAuth 2.0 的核心概念,并结合 Java 实现来理解其工作原理。 OAuth 2.0 主要分为四个角色:...
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
微信oauth2.0授权
10-11
微信OAuth2.0授权是一种广泛应用于移动应用和网站的第三方登录解决方案,主要目的是为了安全地获取用户的微信身份标识——openid,以便提供个性化服务或者与其他微信功能集成。在本文中,我们将详细探讨微信OAuth2.0...
Oauth2.0 协议 服务端 客户端 thinkphp5.0
02-08
OAuth2.0是一种广泛使用的开放授权协议,它允许第三方应用在用户无需透露其登录凭证的情况下,获取有限的访问权限去操作用户的资源。这个协议的主要目的是为了解决API的安全访问问题,尤其是在社交媒体、云存储和...
OAuth2.0Demo
03-06
OAuth2.0是一种广泛使用的开放授权协议,它允许第三方应用以安全的方式获取用户在另一服务上的资源,而无需用户在每次请求时都提供密码。在本文中,我们将深入探讨OAuth2.0的核心概念、实现机制,以及如何在Spring ...
OAuth 2.0介绍
没有简介
08-24 2889
OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式:授权码模式、隐式授权模式、密码模式和客户端模式。OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权,是目前应用最广泛的开放平台鉴权方式之一。
【授权与认证】OAuth 2.0 和 OIDC 的异同点
叮当猫的喵i
01-30 2893
OIDC 协议定义的名词和 OAuth 2.0 协议定义的稍微有些出入:OpenID Provider ,简称 OP :相当于 OAuth 2.0 中的授权服务器,除了负责颁发 Access Token ,还会颁发 ID Token。例如 IDaaS 就是一个 OP。Relying Party ,简称 RP :代指 OAuth 2.0 中的客户端。End User ,简称 EU :即用户。最后, OIDC 的授权流程与 OAuth 2.0 是一样的,
Oauth2的定义
m0_37779570的博客
08-24 1786
什么是Oauth2.0 用于REST/APIs的代理授权框架(Delegated authorization framework) 基于令牌Token的授权,在无需暴露用户面的情况下,时引用能获取对用户数据的有限访问权限 解耦认证和授权 事实上的标准安全框架,支持多种用例场景,例如: 服务端WebApp 浏览器单页SPA 无线/原生App 服务器对服务器之间 OAuth2.0的...
OAuth 2.0入门指南
"Getting Started with OAuth 2.0" 是一本由 Ryan Boyd 撰写的书籍,主要介绍了OAuth 2.0的使用和概念。OAuth 2.0 是OAuth协议的升级版本,它不与之前的OAuth 1.0兼容,并且在2012年10月正式成为RFC标准。 OAuth ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值