OAuth2.0授权码模式介绍

已于 2023-04-07 14:14:17 修改
阅读量593 收藏 3
点赞数
分类专栏: 其他 文章标签: 微信小程序 小程序 微信
于 2023-03-17 20:18:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/well_nature/article/details/129627635
版权

概述

OAuth(Open Authorization),是一种开放标准授权协议。用于让用户可以授权第三方系统,访问自己在另一个系统上拥有的资源。
本文主要讲述OAuth里的授权码模式。

场景

考虑如下场景,
比如用户先注册微信,进行实名认证。后来登录了某个微信小程序,为了使用其上的某个功能,微信小程序希望获得用户的微信账号是否实名认证的信息。

这里
微信就是资源系统:用户的资源所在的系统,拥有资源服务和OAuth2.0认证服务。
实名认证信息就是资源。
微信小程序就是三方系统:请求获得用户的资源,实现用户需要的功能。
用户:同时在资源系统和三方系统都拥有账户并需要使用功能,在资源系统拥有数据资源,在三方系统请求使用功能。

这种场景中,如果使用账号名+密码方式的授权方式,那么用户需要给三方系统他的账号名和密码。
三方系统使用用户的账号名+密码登录资源系统,查询获得资源。
注意:这里会有很多的三方系统,三方系统请求的资源各不相同。

这种方式的问题是:
1.用户的密码给了第三方系统,存在极大的个人隐私暴露风险。
2.用户不能随便改自己的密码,一旦改了,那么之前授权给的所有三方系统会失去授权,需要重新授权,非常麻烦。
3.三方系统拿到账号名和密码,登录资源系统后,拥有所有数据资源权限,除了获得当前资源,可以获得用户的任意资源。
4.用户无法管理已授权记录,即取消某一个三方系统授权,或者取消某一个资源的授权。
5.资源系统一般针对账号名+密码登录方式,都会有验证码,或者动态图进行验证,以确认是人工操作。一旦需要给三方系统进行密码授权,那么需要提供单纯的账号名和密码登录。

OAuth2.0授权码模式

针对以上问题,OAuth2.0认证方式应运而生。
授权码模式,思路是,创造出授权凭证的概念,通过授权凭证来表示用户授权三方系统访问资源系统的某个资源。
大致流程:

  1. 三方系统需要为用户在资源系统上请求授权。
  2. 用户在资源系统上允许授权。
  3. 资源系统生成用户允许三方系统访问某个资源的授权凭证,交给三方系统。
  4. 三方系统可以通过用户的授权凭证访问资源,用户可以在资源系统上查看管理自己的授权凭证。
    其中,
    三方系统要维护每个用户对应的授权凭证,授权了哪些资源。
    资源系统要维护每个用户对应的授权凭证,授权给哪个三方系统,哪些资源。

调用关系图:
在这里插入图片描述

流程:

  1. 注册
    首先资源系统需要知道向谁授权了,三方系统需要在资源系统上注册,得到clientId和clientSecret,这是三方系统在资源系统上的认证的身份认证信息。

  2. 请求三方系统某个功能
    用户打开三方系统页面,请求使用某个功能

  3. 返回资源系统的给予授权的页面链接
    三方系统返回给用户一个资源系统的给予授权的页面链接。
    这个链接中附带了以下参数:
    clientId参数,是告诉资源系统,用户给哪个三方系统授权。
    resources参数(可选),是告诉资源系统,三方系统请求授权的资源列表。
    回调url参数,作用是当用户授权成功了,资源系统需要回调跳转到三方系统的哪个链接地址,告诉三方系统授权成功以及继续处理。
    state参数,是三方系统请求授权上下文参数。资源系统跳转回三方系统的回调url链接时带回,用以让三方系统获得这边请求授权的上下文信息(三方系统的用户id等)进行继续处理(绑定存储授权信息)。

  4. 登录、授权
    用户登录资源系统的账号。操作授权,参数和给予授权的页面链接参数一致。
    资源系统生成授权码,对应用户的账号对三方系统的授权,以及授权资源列表。
    注意这里要校验回调链接是否合法,通过签名或者配置白名单。

  5. 返回三方系统授权回调链接
    资源系统返回给用户三方系统的授权回调链接。
    这个链接中附带了以下参数:
    state参数。
    authCode,授权码。用以三方系统获得授权凭证。

  6. 访问授权回调链接
    用户访问三方系统的访问授权回调链接,触发三方系统执行授权回调。
    这个链接中附带了以下参数:
    state参数。
    authCode,授权码。用以三方系统获得授权凭证。

  7. 获得授权凭证
    三方系统向资源系统请求授权凭证。附带参数:clientId,clientSecret,authCode。
    资源系统校验clientId,clientSecret,authCode通过,生成记录授权凭证,表示用户的账号对三方系统的授权,以及授权的资源列表。将授权凭证返回给三方系统。
    三方系统拿到授权凭证,根据state拿到上下文参数,包括用户账号id,将授权凭证和用户账户id映射存储。

  8. 根据授权凭证请求资源
    三方系统用授权凭证向资源系统资源服务请求资源。
    参数:授权凭证

  9. 校验授权凭证
    资源系统资源服务向认证服务校验授权凭证。
    认证服务校验通过。

10.返回资源数据
资源系统资源服务向三方系统返回资源数据。

11.返回功能处理结果
三方系统拿到资源数据,完成功能操作,向用户返回功能处理结果。

后续,
资源系统存储了用户向三方系统授权资源的授权凭证。后续用户可以查看、变更及删除等。
三方系统存储了用户的授权凭证,后续都可以根据授权凭证请求资源。

well_nature
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0授权模式.doc
07-27
OAuth2.0授权模式.doc OAuth2.0授权模式的文档,希望可以帮助学习者
Oauth2系列2:授权模式
weigeshikebi的博客
05-22 8889
Oauth2系列2:授权模式
今日分享丨单点登录原理及OAuth20授权协议
最新发布
m1024292777的博客
04-07 909
随着企业信息化建设的不断提高,多业务系统的统一集成逐步成为核心诉求,而打通这些系统间身份更是重要环节。即为用户和所有业务系统提供标准且便捷的身份认证机制,需要做到以下几点:• 单点登录。对终端用户而言只需要一处登录即可访问所有业务系统,无需重复登录。• 安全且标准的集成协议。对业务系统而言需要有标准且统一的协议规范支持身份认证集成,在安全性保障的前提下,最好做到开箱即用,减少重复开发。
OAuth2.0原理图解:第三方网站为什么可以使用微信登录
JAVA前线技术专栏
02-20 683
欢迎大家关注公众号「JAVA前线」查看更多精彩分享文章,主要包括源分析、实际应用、架构思维、职场分享、产品思考等等,同时欢迎大家加我个人微信「java_front」一起交流学习 1 文章概述 假设小明开发了一个A网站,需要支持微信登陆和淘宝账号登陆。如果你是微信或者淘宝开发人员,你会怎么设计这个功能?本文结合淘宝开放平台官方文档以淘宝账号为例。 从最简单视角去思考,用户在网站A输入淘宝用户名和密,网站A调用淘宝接口校验输入信息,校验通过则登陆成功,整体流程如下图: 上述思路存在什么问题?最显.
Springboot+oauth2.0实现微信登录(oauth2.0自定义授权模式
hgswsdn的博客
02-20 5094
1、前置准备参考 https://blog.csdn.net/qq_34190023/article/details/81133619 2、微信登录实现流程图 3、oauth自定义授权模式 上图大概描述了微信登录的一个流程。如果你是用oauth2.0,就会存在一个问题。oauth2.0自身支持四种授权模式,分别是: authorization code(授权模式) implicit(简化模式) resource owner password credentials(密模式) client crede
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 4242
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
微信OAuth2.0 登录流程以及安全性分析
热门推荐
正在努力工作的搬砖人
04-09 1万+
本文详细阐述的微信OAuth2授权流程详细说明,以及OAuth2.0是如何保证鉴权安全的
oauth2.0授权模式详解
weixin_44846436的博客
03-07 4670
oauth2.0授权模式 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章http://www.javaman.cn/sb2/oauth-code 授权(authorization code)方式,指的是第三方应用先申请一个授权,然后再用该获取令牌。 这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。 1、授权模式流程 第一步,A
OAuth2.0-授权模式
超频化石鱼的博客
01-29 1586
OAuth2.0授权模式主要解决了信任问题:一个第三方网站需要访问我们Github上的数据(例如用户头像),那Github为什么要信任该网站?该对网站信任到什么程度?基于此,如果可以为该网站提供一个专门的,该有专门的权限和过期时间,且Github可随时清除的授权,这样问题就可以解决了。
OAuth2.0四种授权模式及实战
CODEING一场空的博客
06-27 8498
Oauth2.0具有多种授权许可机制协议:授权许可机制、客户端凭据机制、资源拥有者凭据机制(密模式)和隐式许可机制。在源中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证登录或者微信登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证模式
Springboot +spring security,OAuth2 四种授权模式概念
weixin_40991408的博客
05-27 2649
Springboot +spring security,OAuth2 四种授权模式概念
OAuth2.0模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant 的授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
Spring Security OAuth2 授权模式的实现
08-18
主要介绍了Spring Security OAuth2 授权模式的实现,文中通过示例代介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
《OAuth 2.0 入门指南:掌握授权模式》这篇文章的demo示例源
12-27
此上传包含了《OAuth 2.0 入门指南:掌握授权模式》文章中提到的完整演示示例源。这个示例源旨在提供一个实际的、可操作的示范,让读者可以直观地理解和学习 OAuth 2.0 授权模式的实现细节。 源包括了设置...
webapi基于Owin中间件的oauth2.0身份认证
10-07
基于Owin中间件的OAuth2.0身份认证,文章位置https://blog.csdn.net/u013938578/article/details/82956188
OAuth2.0-授权模式解析
艾雨辰
03-08 1280
前言 OAuth 2.0是行业标准的授权协议。 OAuth 2.0取代了2006年创建的原始OAuth协议所做的工作。它专注于客户端开发人员的简单性,同时为Web应用程序,桌面应用程序,移动电话和客厅设备提供特定的授权流程。该规范及其扩展正在IETF OAuth工作组内开发。 授权模式流程解析 在Oauth2.0授权模式中会涉及以下几个角色,我们分别授予他们具体的场景解释: Clien...
OAuth2.0 微信授权机制
weixin_33910137的博客
05-03 146
我在了解设计Restful接口的时候,发现涉及到接口验证,可以利用OAuth2.0机制来验证。 我开发的微信端Web网页通过微信授权的时候,微信端也是用OAuth2.0机制来获取用户基本信息。 OAuth2.0 有四种授权模式授权模式微信)、简化模式(前者简化版)、密模式、客户端模式授权模式微信) 开发的微信端Web应用可以利用通过微信来获取用户基本信息,这样就免了用户去注册登录的繁杂...
Spring Security OAuth2.0(一)-----前言-授权模式及代实例
qq_42264638的博客
04-21 2656
Spring Security OAuth2.0(一)-----前言-授权模式及代实例
OAuth2接入微信
偶尔写些东西,意思一下我也参与了内卷
01-16 1349
OAuth 2.0 是一种授权框架,它可以让第三方应用程序在得到你的授权后,有限度地访问一些开放的个人信息。它被广泛用于互联网上的身份验证和授权机制。OAuth 2.0 可以比作使用微信账号登录 Apifox:你扫授权后,Apifox 从微信获得一个访问令牌,这个令牌让 Apifox 获取你的部分信息(如昵称和头像)用于登录,无需单独设置账号密,同时确保你的其他微信信息保持私密。这样一来,你就可以安全且便捷地使用微信账号在 Apifox 上工作。
springboot oauth2.0 授权模式
05-11
SpringBoot OAuth2.0 授权模式是一种常见的授权方式,通常用于安全访问受保护的 API。在此模式下,客户端必须向授权服务器发送一个授权请求,授权服务器返回一个授权,客户端使用该授权向资源服务器请求访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值