OAuth 1.0 协议学习

最新推荐文章于 2024-06-22 17:50:01 发布
最新推荐文章于 2024-06-22 17:50:01 发布
阅读量1.7k 收藏
点赞数
分类专栏: IAM 文章标签: OAuth1.0 认证授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wentyoon/article/details/79818109
版权
OAuth 1.0 是一种开放协议,用于授权第三方应用访问用户资源。它涉及Service Provider、User、Consumer的角色,以及Request Token、Access Token的交换。OAuth认证分为三步:获取Request Token、用户授权、换取Access Token。安全方面,OAuth 1.0存在会话固化攻击,但在1.0a中得到修复,通过预定义callback和oauth_verifier参数增强安全性。
摘要由CSDN通过智能技术生成

OAuth是一种开放的协议,为桌面程序和web应用提供了一种简单的,标准的方式去访问需要用户授权的API服务。

OAuth中的定义

  • Service Provider: 允许通过OAuth访问的web app,比如云存储服务
  • User: 拥有Service Provider账户的人
  • Consumer: website or app, 通过OAuth访问Service Provider,例如:云打印
  • Protected Resource:Service Provider的用户数据,例如用户保存在Service Provider上的照片
  • Consumer Developer:实现Consumer的个人或组织
  • Consumer Key: app申请接入OAuth时从OAuth服务商获得,用于在Service Provider中标识自己
  • Consumer Secret: 与key对应
  • Request Token: Consumer用来获取用户授权,并交换Access Token的值
  • Access Token: Consumer用来代表User获取Protected Resource
  • Token Secret: Consumer用来确定Token所有权的密码

请求URLs

  • Request Token URL: 获取未授权的Request Token服务地址;
  • User Authorization URL: 为Consumer访问获取用户授权的服务地址;
  • Access Token URL: 用授权的Request Token换取Access Token的服务地址;

部分参数

  • oauth_consumer_key: app申请接入OAuth时从OAuth服务商获得的Client ID
  • oauth_consumer_secret:oauth_consumer_key对应的密钥
  • oauth_signature_method: OAuth向三个URL请求时的数字签名方法
  • oauth_signature:数字签名
  • oauth_timestamp: 请求时间戳
  • oauth_nonce:随机字符串,用与防止请求重放攻击
  • oauth_version:可选字段,默认1.0

OAuth认证过程

OAuth认证是用户在不共享凭证的前提下与Consumer共享Protect Resource的过程。OAuth使用Service Provider提供的Token代替用户凭证请求用户Protected Resource。
OAuth 授权分三步完成:
- 1,Consumer 获取未授权 Request Token
- 2,User 授权Request Toke

最低0.47元/天 解锁文章
uncle_Y
关注
专栏目录
OAuth1.0/2.0的机制原理讲解及开发流程
XyWang95的博客
12-03 1558
1、OAuth的简述 OAuth(Open Authorization,开放授权)是为用户资源的授权定义了一个安全、开放及简单的标准,第三方无需知道用户的账号及密码,就可获取到用户的授权信息,并且这是安全的。(我喜欢简单明了,这里没看懂,没关系,接着往下面看) 2、OAuth的原理 (流程图) 我在图上分了四个步骤,下面是四步的讲解: 第一步:用户访问第三方网站,比如:就是你需要使用
开放平台_OAuth1.0
weixin_34124651的博客
08-30 112
OAuth1.0简介   oauth1.0是RFC制定的标准的第三方网站/客户端的认证服务 规范文档在: http://www.ietf.org/rfc/rfc5849.txt   网站使用oauth的目的是不让第三方开发者知道和记录用户的用户名和账号信息,用户在第三方应用登录服务的时候是在客户端提供的登录页面进行登录和验证的。   国内几家大型网站都已经实现了oauth1.0,比...
OAuth1.0介绍
烟草的香味的博客
02-19 3576
背景 为什么需要OAuth授权呢? 最典型的应用场景就是第三方登录了, 我们开发了一个网站希望用户可以QQ登录, 但是怎么能拿到用户的 QQ 信息呢? 用户将 账号密码告诉我们当然可以, 但是这样有如下隐患: 我们拿到了用户的密码, 这样很不安全. 而且任意一个应用被黑, 所有相关站点均受影响 QQ 需要支持密码登录, 但是单纯密码登录并不安全. 因此进而影响 QQ 的安全问题 我们拿到密码之后, 就相当于拥有了用户的所有信息, 这样无法进行权限限制 可能只是希望授权用户名和头像, 但是连着好友列表一起
OAuth 2.0资源授权机制与安全风险分析
最新发布
道阻且长,行则将至。
06-22 1456
OAuth 2.0 用于资源授权和登录认证的过程中,授权码模式相对于隐式授权模式、密码模式等具备更高的安全性,但是第三方开发者在实现 OAuth2.0 授权逻辑的时候,一定要考虑一些必要的安全逻辑,防止存在授权认证缺陷。
OAuth 1.0 简介
每天积累一点,一年后你会发现,自己变化很大
12-19 5040
By Charles | 1757 views | 2014/05/14 现在已经是OAuth2.0的时代了,整个中国互联网圈子,基本都在使用OAuth2.0了,但是我们可以看到,Twitter,这个曾经引领 了互联网开放平台的先驱,依然固执得坚持着使用OAuth1.0,而且现如今都在使用OAuth2.0的这些中国互联网平台们,也都经历过 OAuth1.0的历史阶段。了解历史才能
OAuth1.0协议的理解
wangyuquanliuli的专栏
05-01 3874
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。协议地址为:http://oauth.net/core/1.0/#rfc.section.A.5 研究的是OAuth1.0,因为2.0褒贬不一,连创始人都宣布脱离关系了。。。而1.0基本各个大网站都支持的不错 具体举个例子: 比如
基于ASP的QQ登录(基于oauth1.0版本).zip
07-11
在本项目中,“基于ASP的QQ登录(基于oauth1.0版本).zip”是一个使用ASP(Active Server Pages)技术实现的QQ登录功能,它依赖于OAuth 1.0协议进行授权OAuth是一种开放标准,允许用户提供一个令牌,而不是用户名和...
MATLAB WEB API(使用 OAuth 1.0/2.0 连接到 WEB 服务):直接从 MATLAB 使用 WEB 服务-matlab开发
05-31
随着互联网技术的发展,MATLAB 提供了与各种 Web 服务交互的能力,其中包括 OAuth 1.0OAuth 2.0 协议,这两种协议是现代 API 认证授权的标准。本篇文章将深入探讨如何使用 MATLAB Web API 直接从 MATLAB 调用 ...
ASP源码—QQ登录OAuth2插件 v1.0.zip
10-16
总之,ASP源码—QQ登录OAuth2插件 v1.0.zip是一个实现QQ社交登录功能的工具,它通过OAuth2协议与QQ开放平台进行交互,为用户提供便捷的登录方式。开发者可以通过学习和理解这个插件的源码,掌握如何在ASP项目中集成...
php对应C hmac sha1算法 (OAuth 1.0 加密生成oauth_signature 需要)
走自己的路让别人来看
06-05 2150
php OAuth api 开放授权 signing key 生成 oauth_signature 需要用到的加密算法 找了好久终于找到了!记录一下 php对应C hmac sha1算法   function oauth_hmacsha1($key, $data) { return base64_encode(hmacsha1($key, $data));
OAuth1.0协议
浮白
06-03 4834
OAuth1.0协议 概要 OAuth提供了一种client代表资源的拥有者访问server的方法,也就是在资源拥有者不向第三方提供证书(通常是指用户名和密码)的情况下,允许第三方使用用户代理重定向访问服务器上的资源。   1        介绍 OAuth协议最初是设计用于解决一个最普遍的问题,如何代理访问受保护的资源,,于是在2007年10月建立OAuth1.0的一些标准。在2009
OAUTH协议简介
梦里梦外
10-20 242
摘 要:OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH授权不会使第三方触及到用户的帐号信 息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。同时,任何第三方都可以使用 OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界...
OAuth 1.0a 的 C# 代码实现
weixin_30429201的博客
06-25 469
补充:由于很多人跟我要API Proxy,特意在codeplex建了个项目。大家可以去下载。 地址: http://tinalight.codeplex.com/ 大概是在2月底的时候研究了一下新浪微博开放API,只做到登录通过获取了第一把数据后就没有时间了。。因此一直搁置了下来。现在把当时调用OAuth进行验证的代码分享出来,希望对开放API感兴趣的同学有所帮助。 OAuth 1...
WP REST API:设置和使用OAuth 1.0a身份验证
代码教主
06-10 1299
在本系列的前一部分中,我们通过安装WP REST API团队在GitHub上可用的插件,在服务器上设置了基本的HTTP身份验证。 基本的身份验证方法允许我们通过在请求标头中发送登录凭据来发送经过身份验证的请求。 虽然方便快捷,但这些凭据也有可能落入错误的人手中。 因此,此方法仅应在安全网络上用于开发和测试目的。 为了在生产服务器上使用身份验证,需要一种更安全的方式发送经过身份验证的请求,而...
彻底弄懂OAuth
qq_34446716的博客
04-06 2167
OAuth简介 OAuth是一个开放的标准,能提供一种安全的API授权,使第三方应用不需要密码账号,就可以申请获得该用户资源的授权。 1.使用场景例子 如果一个用户需要两项服务:图片在线存储服务A、图片在线打印服务B。由于服务A与服务B是由两家不同的服务提供商提供的,所以用户在这两家服务提供商的网站上各自注册了两个用户,假设这两个用户名、密码都各不相同。当用户要使用服务B打印存储在服务A上的图片时,用户该如何处理? 方法一:用户先将待打印的图片从服务A上下载下来并上传到服务B上打印,这种方式安全但处理比
OAuth学习笔记
weixin_30642561的博客
09-30 117
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站) 在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,...
OAuth接口说明及OAuth 核心1.0 中文翻译版
Care iOS技术团队
04-21 4755
<br /><br />OAuth 协议是现在众多网站提供API服务所选择的认证方式,是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起,目的是为API服务提供一个安全、统一和开放的标准。<br />官方网站对 OAuth 的一句话介绍是:<br />An open protocol to allow secure API authentication in a simple and standard method from desktop
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值