OAuth2 01

最新推荐文章于 2024-09-10 17:18:18 发布
最新推荐文章于 2024-09-10 17:18:18 发布
阅读量515 收藏
点赞数
分类专栏: spring 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67338832/article/details/128814535
版权
OAuth2.0是一种开放标准,允许用户让第三方应用访问其存储在另一服务提供者上的信息,无需分享用户名和密码。它涉及四个角色:资源所有者、资源服务器、客户和授权服务器。认证流程包括授权码、隐藏方式、密码方式和凭证方式。令牌具有时效性和可撤销性,适用于不同安全需求的场景。
摘要由CSDN通过智能技术生成

目录

1.什么是OAuth

2.OAuth2中的角色

3.认证流程

4.生活中的OAuth2思维

5.令牌的特点

6.OAuth2的授权方式

        6.1 OAuth2授权码

        6.2 隐藏方式

        6.3 密码方式

        6.4 凭证方式

1.什么是OAuth2

1.OAuth2.0介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。


2.OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点:简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及到用户密钥等信息,更安全更灵活; 开放:任何服务提供商都可以实现OAuth,任何软件开发商都可以使用OAuth;

2.OAuth2中的角色

1. 资源所有者
能够授予对受保护资源的访问权限的实体,如果资源的所有者为个人,也被成为最终用户
2. 资源服务器
存储有受保护资源的服务器,能够接受并验证访问令牌,并响应受保护资源的访问请求
3. 客户
需要被授权,然后再访问受保护资源的实体。客户这个术语,并不是特指应用程序,服务器,计算机等。
4. 授权服务器
验证资源所有者并获取授权成功后,向客户发出访问令牌
 

3.认证流程

 

4.生活中的OAuth2思维

场景设置:小王出差在外,为家中买了一台空调需要上门安装,小王的老爸老王在家,小王家是小王的
老婆做主,只用获得老婆的许可方能有进入家中。现在空调客服人员需要进到小王家中安装空调。设计
的流程如下:
        
        1.客服人员发一个进门安装空调的的申请给小王
        2. 小王看到了服务人员的申请,在验证了客服人员的公司名称,工号等信息后,同意申请,并发给他一个授权码
        3. 客服人员获取授权码之后,使用授权码去申请进门的令牌,申请发到小王的老婆那里,小王老婆在验证了授权码之后给客服人员发了一个含有有效期为一天的令牌(小王的老婆可以查看到小王发的原始验证码)
        4.客服人员拿着令牌到小王家
        5.老王在验证令牌有效后可客服人员进入客厅安装空调,但这个令牌不能进入其他房间。
        6.一天后令牌会过期,如有需要则需要重新申请
        
上面的过程反应了 OAuth2 认证的典型流程,流程中的角色对应关系
客户 ---> 客服人员
资源所有者 ---> 小王
授权服务器 ---> 小王老婆
资源服务器 ---> 客厅

5.令牌的特点

使用令牌方式的优点:
        1.令牌又时效性,一般是短期的,且不能修改,密码一般是长期有效的
        2.令牌可以由颁发者撤销,且即时生效,密码一般可以不用修改而长期有效
        3.令牌可以设定权限的范围,且使用者无法修改
在使用令牌时需要保证令牌的保密,令牌验证有效即可进入系统,不会再做其他的验证。

6.OAuth2的授权方式

由于互联网有多种场景, OAuth2 定义了四种获取令牌的方式,可以选择合适与自己的方式
        1.授权码(authorization-code
        2.隐藏式(implicit
        3.密码式(password):
        4.客户端凭证(client credentials

        6.1 OAuth2授权码

第三方应用先申请一个授权码,然后再用该码获取令牌。
最常见的用法,安全性高,适合 web 应用。 授权码通过前端传送,令牌则是储存在后端,而且所有与资
源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。
流程如下:

 

.
1. 资源服务器提供一个链接,用户点击后就会跳转到认证服务器,授权用户数据给资源服务器使用, 资源服务器提供的连接的示例:
https : //b.com/oauth/authorize?
response_type = code &
client_id = CLIENT_ID &
redirect_uri = CALLBACK_URL &
scope = read
        1.1 response_type=code,表示使用授权码方式
        1.2 client_id=CLIENT_ID,请求者的身份 ID
        1.3 redirect_uri=CALLBACK_URL, 认证服务器接受请求之后的调转连接,可以根据这个连接将生成 的code 发送给资源服务器
        1.4 scope=read,授权范围为只读
1. 页面跳转后,用户登录认证服务器,同意或拒绝资源服务器的授权请求,认证服务器根据上一步的 redirect_uri地址,将生成的授权码返回给资源服务器。 
https://resouce.com/callback_url?code=AUTHORIZATION_CODE

        1.5  code 返回的认证码

1. 客户拿到认证码之后,向认证服务器发给请求,申请令牌
client_id 资源服务器的身份 ID
https : //b.com/oauth/token?
client_id = CLIENT_ID &
client_secret = CLIENT_SECRET &
grant_type = authorization_code &
code = AUTHORIZATION_CODE &
redirect_uri = CALLBACK_URL
client_id 资源服务器的身份 ID
client_secret=CLIENT_SECRET 安全参数,只能在后端发请求
grant_type=authorization_code 表示授权的方式为授权码
code=AUTHORIZATION_CODE 用来获取令牌的授权码
redirect_uri=CALLBACK_URL 令牌生成后的颁发地址
1. 认证服务器对授权码进行认证,通过后颁发令牌,
{
"access_token" : 访问令牌 ,
"token_type" : "bearer" ,
"expires_in" : 过期时间 ,
"refresh_token" : "REFRESH_TOKEN" ,
"scope" : "read" ,
"uid" : 用户 ID ,
"info" :{ ... }
}

        6.2 隐藏方式

隐藏方式合适的场景:
web 应用为纯前端应用没有后端,此时必须将令牌放在前端保存,省略了申请授权码的步骤。

 

 

1. 资源服务器提供连接,跳转到认证服务器,
https : //b.com/oauth/authorize?
response_type = token &
client_id = CLIENT_ID &
redirect_uri = CALLBACK_URL &
scope = read
        1.response_type=token 表示直接返回令牌
        2.client_id=CLIENT_ID 客户的身份 ID
        3.redirect_uri=CALLBACK_URL 生成令牌后的回调地址
        4.scope=read 授权范围,只读
用户需要在认证服务器登录,并进行授权, 授权成功后会根据第一步提供的 CALLBACK_URL 地址
返回生成的 token 
https://a.com/callback#token=ACCESS_TOKEN
这种方式的特点:这种方式不安全,适用于对安全性不高的场景,令牌的有效期一般设置的比较短,通
常是会话期间有效,浏览器关闭令牌就时效了

        6.3 密码方式

非常信任某个应用,将用户名和密码直接告诉应用,应用拿到用户名和密码后直接申请令牌
1. 资源服务器要求用户提供认证服务器的用户名和密码,拿到以后资源服务器向认证服务器申请令牌
https : //oauth.b.com/token?
grant_type = password &
username = USERNAME &
password = PASSWORD &
client_id = CLIENT_ID
grant_type=password 认证方式
username=USERNAME 用户名
password=PASSWORD 密码
client_id=CLIENT_ID 客户 id
1. 认证服务器验证身份通过后,直接在响应中发放令牌,资源服务器在响应中获取令牌。

        6.4 凭证方式

        

这种方式适用于没有前端的命令行应用,通过命令行的方式请求令牌
1. 资源服务器使用命令行向认证服务器发送请求
https : //oauth.b.com/token?
grant_type = client_credentials &
client_id = CLIENT_ID &
client_secret = CLIENT_SECRET
grant_type=client_credentials 凭证方式
client_id=CLIENT_ID 客户身份 ID
client_secret=CLIENT_SECRET 认证码
该方式真对的是第三方应用,而不是用户,可以多个用户共享一个令牌
不知道999
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Oauth2
分享身边生活经验blog
06-26 801
四、优化 优化点如下: 兼容性问题: 因为既要兼容原始登陆模块,又要兼容新建的管理员模块,所以需要判断是原始用户还是管理员用户。 验证token时需要判断是认证服务颁发的令牌还是老登陆系统颁发的令牌并分别验证。 分布式问题:ExceptionTransactionFilter中将request请求信息保存到session中,如果是分布式部署,会有访问不到session的问题发生。 异常返回问题:资源服务器自定义异常返回。 4.1 兼容性优化 生成令牌 逻辑 音箱作为第三方需要通过授
Oauth2(上)
分享身边生活经验blog
06-26 590
一、简介 1.1 业务场景 公司原来使用的是自建的用户登陆系统,但是只有登陆功能,没有鉴权功能。 现公司有如下业务场景: 需要接入各大智能音箱,音箱需要通过标准的Oauth2授权码模式获取令牌从而拿到服务器资源; 后台管理界面需要操作权限 ; 后期要做开发者平台,需要授权码模式。 所以在以上业务场景下开始自建Oauth2框架,框架需要兼容公司原有的用户登陆系统。 1.3 Oauth2框架 Oauth2扩展了Security的授权机制。 二、相关概念 2.1 单点登陆 即一个token可
OAuth2.0协议-授权码模式介绍及案例应用
痞子的博客
03-26 2590
一、关于OAuth2.0 1.什么是OAuth2.0 OAuth2.0(开放授权)是一个关于授权的开放的网络协议。 2.OAuth2.0的作用是什么? 让客户端安全可控地获取用户的授权,与服务提供商之间进行交互。可以免去用户同步的麻烦,同时也增加了用户信息的安全。 3.设计理念 OAuth在第三方应用与服务提供商之间设置了一个授权层。第三方应用不能直接登录服务提供商,只能登录授权层,以...
OAuth 2.0 和 OAuth 2.1
一个写了10年bug的程序员日常笔记。
05-10 984
OAuth 2.1 是 OAuth 2.0 的进化版,它旨在简化 OAuth 2.0 的实现,同时增强安全性。OAuth 2.0 和 OAuth 2.1 是授权框架的不同版本,它们用于允许应用程序安全地访问用户在另一个服务上的数据。这些变化意味着 OAuth 2.1 将更加注重安全性和最佳实践的实施,同时保持与 OAuth 2.0 的兼容性,以便开发者可以平滑过渡到新版本。:适用于在设备上运行的应用程序,这些设备可能没有传统的输入机制(如智能电视、打印机等),用户通过设备上的说明在另一设备上完成授权。
OAuth2.0授权码模式实战
03-30 4344
OAuth2.0是目前比较流行的一种开源授权协议,可以用来授权第三方应用,允许在不将用户名和密码提供给第三方应用的情况下获取一定的用户资源,目前很多网站或APP基于微信或QQ的第三方登录方式都是基于OAuth2实现的。本文将基于OAuth2中的授权码模式,采用数据库配置方式,搭建认证服务器与资源服务器,完成授权与资源的访问。 流程分析 在OAuth2中,定义了4种不同的授权模式,其中授权码模式(authorization code)功能流程相对更加完善,也被更多的系统采用。首先使用图解的方式简单了解一下它的
Java的oauth2.0 服务端与客户端的实现 (完整源码、demo)
10-01
下载项目压缩包,解压,里面两个maven项目:oauthserver和oauthclient01,分别对应oauth服务端和客户端。 服务端对应的数据库sql文件在源码压缩包里可以看到。 两个项目分别用8082端口(服务端端口)和8081端口...
jwt oauth2 对接_使用JWT的OAuth2的SSO分析
weixin_39617006的博客
12-20 561
参考:https://github.com/spring-guides/tut-spring-security-and-angular-js/blob/master/oauth2/README.adochttp://jwt.io/introduction/本文在文章的基础上扩展,使用jwt可减少了向认证服务器的请求,但jwt比swt(Simple Web Tokens)要长不少,还要依赖公钥解密....
springsecurity 集成 oauth2
贵在坚持
06-27 1586
什么是oauth2: A系统征求用户的同意后直接访问B系统,用户不需要登录也不需要访问B系统。
2021-01-26-SpringSecurity-OAUTH2-密码模式获取token-源码包hrm-itsource.rar
01-26
5. **OAuth2Authentication**:验证通过后,`OAuth2Authentication`对象被创建,封装了用户认证信息和权限范围。 6. **令牌创建**:最后,`AuthorizationServerTokenServices`创建一个访问令牌和刷新令牌,并返回给...
SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (一)
06-19 1120
配置:Maven,SpringBoot3.3.0,Spring-Security-oauth2-authorization-server 1.3.0(这个在pom中是用starter代替掉了),最后是JDK17,当然jdk版本不是必须的,其它版本也是可以的,只要别太低。作者当前用的SpringBoot是3.3.0的,算是比较新的版本,在这个版本的依赖列表中,Spring Authorization Server的版本是1.3.0。这里非常确定的告诉大家,资源服务器的代码和授权服务代码是在一个项目中的。
本地Linux服务器使用docker搭建DashDot并实现公网实时监测服务器信息
小沈.的博客
09-10 748
本地Linux服务器使用docker搭建DashDot并实现公网实时监测服务器信息
Linux:五种IO模型
MaoRuofeng的博客
09-09 791
阻塞IO: 在内核将数据准备好之前,系统调用会一直等待.所有的套接字,默认 都是阻塞方式。非阻塞 IO: 如果内核还未将数据准备好, 系统调用仍然会直接返回, 并且返回EWOULDBLOCK 错误码。 非阻塞 IO 往往需要循环的方式反复尝试读文件描述符(对于CPU会有较大的浪费), 这个过程称为轮询。 信号驱动 IO: 内核将数据准备好的时候, 使用 SIGIO 信号通知应用程序进行 IO操作。IO 多路转接: 虽然从流程图上看起来
如何选择国内大带宽服务器租用?
wanhengwangluo的博客
09-07 391
企业在进行选择服务器时,带宽的大小是决定数据信息传输速率的关键因素,大带宽服务器一般都是指可以为企业提供高于传统带宽的服务器,对于流量比较大和用户访问较为密集的网站和企业来说,大带宽能够保证在高峰时段用户仍然享受到快速响应和流量体验。国内的大带宽服务器租用一般是指能够提供较大的网络带宽的服务器租用服务,以此来满足对高速网络访问需求比较高的用户和业务,企业在选择国内的大带宽服务器租用能需要考虑到哪些因素呢?
【银河麒麟高级服务器操作系统】虚拟机服务器执行systemctl提示timeout——分析全过程及处理建议
银河麒麟操作系统的博客
09-10 698
了解全新产品,请点击访问产品信息产品名称银河麒麟高级服务器操作系统(海光版)V10ISO环境信息主机型号虚拟机systemd崩溃,后续systemd连接异常,systemctl失败。需要查明systemd崩溃原因根据sosreport中的messages信息,systemd发生了coredump,收到了信号SIGQUIT。见图2.1.1图2.1.1使用gdb分析systemd的coredump文件,显示systemd是收到了SIGQUIT后发生的coredump。并未调用错误处理函数。
新加坡服务器:亚洲地区的优选之选
seaarea_818的博客
09-07 510
在众多海外服务器中,新加坡服务器以其独特的地理位置、先进的技术支持、稳定的网络环境以及完善的法律保障,成为了亚洲地区乃至全球企业竞相选择的对象。综上所述,新加坡服务器凭借其优越的地理位置、先进的基础设施、稳定的政治环境、丰富的带宽资源、优惠的价格策略以及完善的数据安全保障措施,成为了亚洲地区乃至全球企业竞相选择的服务器部署地。大量的数据中心分布在新加坡各地,这些数据中心不仅配备了高端的硬件设备,还采用了先进的运维技术和管理模式,确保了服务器的稳定运行和高效性能。先进的基础设施,卓越的服务器配置。
【EulerOS】华为欧拉服务器操作系统安装与使用教程_欧拉操作系统安装教程
2401_86400233的博客
09-10 213
进入VMware Tools压缩包的目录下。复制此压缩包到/usr/local/bin目录下。(2)选择要安装的磁盘,点击“我要配置分区”,点击完成,进行下一步操作。执行./vmware-install.pl命令。进入/usr/local/bin目录下,解压此压缩包。设置完成后,点击“完成”,等待安装结束重启系统。点击“安装VMware Tools”。中途敲击回车键或者输入yes,进行安装过程确认。”,点击“完成”,返回主安装界面。(4)系统自动完成分区操作。(1)软件选择 选择“”,继续下一步操作。
服务器与个人计算机之间的区别
wanhengwangluo的博客
09-10 212
服务器则是需要7*24小时全天候不间断运行,提供持续的业务服务,需要进行定期的硬件维护和管理,服务器通常会配备高性能的处理器、大容量的内存和快速的存储设备,主要是用于数据存储和处理数据信息,可以支持大规模的并发访问和复杂的业务应用。个人计算机相对于服务器来说,更加注重与用户的体验感和个人使用,在尺寸方面更加小巧,有着较低的成本,十分适用于人们的日常办公和娱乐的配置,对于整体的性能要求也会相对低一点,通常在用户需要的时候开启并使用,能够进行自我维护和管理。
Linux用户和权限
最新发布
Keven_6的博客
09-10 692
chown root:itheima hello.txt, 将hello.txt所属用户修改为root, 用户组修改为itheima。共有7份信息—用户名:密码(x):用户ID:描述信息(无用):HOME目录:执行终端(默认bash)chown :root hello.txt, 将hello.txt所属用户组修改为root。chown root hello.txt, 将hello.txt所属用户修改为root。使用普通用户,切换到其他用户需输入密码,如切换到root。
【佳学基因检测】如何知道一个网站是用Nginx还是Apache运行的服务器
genedecoders的博客
09-07 550
我们在对网站进行维护时,首先需要知道网站是采用什么来支撑和运行的。本文介绍了如何知道一个网站是采用Nginx还是采用Apache来配置的。
spring security的使用方法,如何集成oauth2.0
07-14
2. 配置Spring Security:创建一个类,继承自`WebSecurityConfigurerAdapter`,并覆盖其中的方法,来配置Spring Security的行为。你可以设置用户认证规则、访问权限控制等。 3. 配置OAuth 2.0:创建一个类,继承自`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值