OAuth2.0 授权码模式

最新推荐文章于 2024-06-04 00:07:28 发布
最新推荐文章于 2024-06-04 00:07:28 发布
阅读量431 收藏 1
点赞数 1
分类专栏: Java 文章标签: oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wokoone/article/details/105647164
版权

OAuth2.0 授权码模式

OAuth 协议实际上是一个授权协议。

授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。

作用:
用户在不将服务提供商的用户名和密码交给第三方应用的情况下,让第三方应用可以有权限去访问用户存在服务提供商上面的一些资源。

授权协议和第三方登录的关系:
如果第三方应用拿到用户基本信息,并且根据用户信息构建 Authentication 并放入 SecurityContext 中的,那么对于 Spring Security 来说已经代表登录成功了,相当于用户使用在服务提供商上面的用户信基本息登录了第三方应用。

OAuth协议中的授权模式:
1、授权码模式。
2、密码模式。
3、简化模式。
4、客户端模式。

授权码模式流程:
三个概念:
1、资源所有者(Resource Owner)。
2、第三方应用客户端(Client)。
3、服务提供商(Provider)存储用户数据,包括认证服务器(Authorization Server)和资源服务器(Resource Server)。

1、资源所有者(Resource Owner)也就是用户访问第三方应用客户端,如果需要用户授权会将用户导向认证服务器。
2、用户同意授权(授权动作是在认证服务器上完成)。
3、认证服务器会将用户重新导向第三方应用客户端(用回调地址导向)并返回授权码(注意此时还不是令牌)。
4、第三方应用客户端会用授权码去认证服务器申请令牌(注意这个动作是在客户端后台服务器完成,对用户是不可见的)。
5、认证服务会校验授权码,如果正确会发放令牌返回给第三方应用客户端。
6、第三方应用客户端拿着令牌去资源服务器获取用户基本信息。

与其他模式的区别:
用户的授权动作是在认证服务器上完成,其他模式授权动作都是在第三方应用客户端上完成的。
好处:
1、其他模式有可能伪造用户授权信息,授权码模式的好处是明确知道是用户自己同意授权而不是伪造,因为授权动作是在认证服务器上完成的。
2、它不是直接返回令牌而是先返回授权码,它要求第三方应用客户端必须有一个后台服务器,先拿着授权码去申请令牌,然后需要配置回调地址来接收令牌。(如果是简化模式:没有后台服务器只是一个静态页面,认证服务器返回的直接就是令牌,在浏览器中就可以拿到令牌,这种安全模式低)。

在这里插入图片描述
在这里插入图片描述

天道有情战天下
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0授权模式实战教程
kkchenjj的博客
07-17 659
重定向用户至授权服务器:客户端应用将用户重定向到授权服务器的授权端点。用户授权:用户在授权服务器上登录并授权客户端应用访问其资源。授权码返回:授权服务器将用户重定向回客户端应用,并附带一个授权码。交换访问令牌:客户端应用使用授权码向授权服务器请求访问令牌。
搞懂oauth2.0授权模式
哇哦~
05-25 2779
最早的简单登录 图1 去访问一个网站,如果登录的话,需要注册,填一堆信息,用户名密码啥的,通常密码是前端加盐、哈希(md5,sha1等)然后再发给后端,后端存储起来,不能直接存储明文。然后再跳转到登录页面,输入用户名和密码,后端验证用户名和密码,如果成功了返回一个session id,然后前端就可以结合cookie使用。 问题: 1.安全性,需要对密码的加密有一个万全的应对之策 2.维护麻烦,用户用起来也麻烦 比较早的授权登录 后来yelp试图解决这些问题,如下图所示 图2 想用什么登录就
oauth2.0授权模式详解
weixin_44846436的博客
03-07 4840
oauth2.0授权模式 欢迎关注博主公众号「Java大师」, 专注于分享Java领域干货文章http://www.javaman.cn/sb2/oauth-code 授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。 这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。 1、授权模式流程 第一步,A
OAuth2.0授权标准详解,OAuth2.0四种授权模式详解
秃了也弱了
05-10 3526
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。
OAuth2.0授权模式介绍
well_nature的专栏
03-17 648
OAuth(Open Authorization),是一种开放标准授权协议。用于让用户可以授权第三方系统,访问自己在另一个系统上拥有的资源。本文主要讲述OAuth里的授权模式
自定义实现OAuth2.0 授权模式
特别享受思考问题的过程
12-15 4522
文章目录OAuth2.0 授权模式 实践依赖知识术语授权码流程认证服务器拉起请求用户授权页面用户手动授权提交授权、生成code下发Token第三方应用收到code并请求Token访问受保护的资源项目结构项目部署项目完整代码相关文章 OAuth2.0 授权模式 实践 本篇文章不适合作为授权模式的入门文章来阅读,适合想要自己实现授权模式或体验授权模式的开发者阅读 依赖知识 RestEasy nimbus-jose-jwt JPA CDI javax.security 术语 Resource Ow
Oauth2.0授权模式
zouyang920的博客
12-23 1828
图解介绍流程 以第三方qq为例 本示例实现了Oauth2之授权模式授权模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。 概述 实现 oauth2,可以简易的分为三个步骤 配置资源服务器 配置认证服务器 配置spring security 代码实现 1.pom.xml添加maven依赖 <dependencies> <dependency>
OAuth2.0系列二:OAuth2.0授权模式
青藤光年的博客
09-11 1636
OAuth2.0授权模式 OAuth2.0支持如下四种授权模式,其中安全级别最高的是授权模式。我们先了解一下在代码中如何简单的实现四种授权模式,下一篇在介绍关于四种授权模式的选型。 授权码 密码式 隐藏式 客户端凭证 注意:不管通过哪种授权模式获取授权,第三方应用在获取授权之前,都必须在系统备案,拿到客户端ID(Client ID)和客户端密钥(Client Secret)后再通过OA...
OAuth2.0授权模式对接与开发记录
最新发布
weixin_42454225的博客
06-04 645
因为云云接入平台的原因,无论是作为客户端还是作为服务端都完成了OAuth2.0授权模式的一条龙开发;在过程中不难免需要接收来自网络各式各样的OAuth2.0的时序图拆解,发现很少有一篇会从开发的角度上从时序图出发再到具体需要几个接口、设计几个缓存、刷新于授权机制等等;因此本篇作为唤醒未来的我记录而谱写创作;
oauth2.0 java_OAuth2.0授权模式
weixin_29723669的博客
02-12 656
OAuth2.0简单说就是一种授权的协议,OAuth2.0在客户端与服务提供商之间,设置了一个授权层(authorization layer)。客户端不能直接登录服务提供商,只能登录授权层,以此将用户与客户端区分开来。然后客户端在登录时候不使用账号密码,而是使用会自动过期的令牌token定义比较难理解,可以举个例子,假如我们要登录豆瓣网,可以你是没账号的,又不想注册,然后这时候可以用QQ登录,登录...
OAuth2.0授权模式.doc
07-27
OAuth2.0授权模式.doc OAuth2.0授权模式的文档,希望可以帮助学习者
OAuth2.0 密码模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant 的授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
Spring Security OAuth2 授权模式的实现
08-18
Spring Security OAuth2 授权模式OAuth 2.0 授权流程中的一种常见模式,该模式要求用户登录并对第三方应用(客户端)进行授权,出示授权码交给客户端,客户端凭授权码换取 access_token(访问凭证)。...
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
oauth2.0授权机制,授权
05-28
1. **授权模式**:这是OAuth2.0中最常见的授权类型,适用于有服务器端的应用。当用户同意授权后,授权服务器会返回一个授权码给客户端。客户端随后使用这个授权码向授权服务器验证并换取访问令牌(Access Token)...
contentType几种类型
热门推荐
wokoone的博客
10-08 2万+
Content-Type MediaType,即是Internet Media Type,互联网媒体类型;也叫做MIME类型,在Http协议消息头中,使用Content-Type来表示具体请求中的媒体类型信息。 类型格式:type/subtype(;parameter)? type 主类型,任意的字符串,如text,如果是号代表所有; subtype 子类型,任意的字符串,如html,如果是号代表所有; parameter 可选,一些参数,如Accept请求头的q参数, Content-Type的 char
mac版本的xshell远程ssh工具
wokoone的博客
10-17 1万+
mac版本的xshell远程ssh工具
质量平台-sonarlint-常见问题及修复方式
wokoone的博客
08-30 8199
质量平台-sonarlint-常见问题及修复方式
windows下安装使用netcat
wokoone的博客
11-02 3926
windows下安装使用netcat
springboot oauth2.0 授权模式
05-11
SpringBoot OAuth2.0 授权模式是一种常见的授权方式,通常用于安全访问受保护的 API。在此模式下,客户端必须向授权服务器发送一个授权请求,授权服务器返回一个授权码,客户端使用该授权码向资源服务器请求访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值