Oauth2.0 协议到底是干什么的?

已于 2023-03-22 14:08:45 修改
阅读量707 收藏 1
点赞数
分类专栏: 编程 文章标签: Oauth2.0 第三方登录
于 2018-11-12 11:14:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoy_yan/article/details/83988916
版权

写在前面,本人写这篇 Oauth2.0 协议文章,只是突发奇想,了解了下市面上的第三方登录的原理。本人并没有深入去理解 Oauth2.0 协议,如果理解不对的地方,欢迎指正。

今天登录一个从未体验过的 App ,提醒要注册。一般情况下,我都会拿一个小号作为第三方登录的源泉,而不选择用手机号去注册。

这里的套路,大家都明白吧?

能不填手机号,就尽量别填,营销短信实在是太多了,防不胜防啊!

想必大家都用 QQ/微信 登录过第三方软件,如下图所示。

image

点击确认以后,就可以进入 App 使用了。而不需要再通过手机号、邮箱等方式去注册。之前我一直在想,这实现原理究竟是什么呢?

能够做出第三方登录的那几家大厂,不可能直接暴露用户帐号和密码的接口给对方的。中间肯定是有一个媒介,作为两边数据互通的桥梁,相当于多年以前「支付宝」的角色。

大致思路已经知道了,接下来具体的业务场景是怎么交互的。

假设有两家软件企业 W 和 Y,其中 W 企业我们假设为微信, Y 企业假设为印象笔记。即 W (微信)的用户可以把各种资料、表情包传到 Y (印象笔记)上长期保存,然后可以在不同的设备上查看。

如果你是这个需求的开发,会怎么去实现?

W (微信):让 Y (印象笔记)给我们提供一个接口,我怎么牛批,难道还要我去适配它?开玩笑。。。

赶紧的,速速给我提供一个接口:

https://keithxiaoy.com/saveData?account=nobug&data=kgezuishuai…

参数:account = Y 的登录账号 、data = 保存的数据

返回:成功 true、失败 false

有了这个接口,W 软件只需在界面上显示一个输入框,让用户输入他的 Y 软件账号,然后调用这个接口来保存数据即可。

实现起来这么容易?怎么可能。。。

不行?你总要给我个说法吧。

开放这样一个接口,相当于直接把 Y 公司的保存数据的接口全部暴露在网上,对于黑客来说,要发现这个接口太容易了。这样的话,Y 公司的用户数据就很危险了。

那怎么办?

这样吧,为了保证不能存数据到 Y ,我们把接口改成这样:

https://keithxiaoy.com/saveData?account=nobug&password=kgezuishuai&data=kgezhentamashuai…

除了要求 W 用户输入账号,还要输入密码。只有当账号密码验证通过,数据才保存到 Y 服务器。这样,即使黑客发现了这个接口,他不知道用户的密码,也就没办法作恶了。

这样总行了吧?

如果不是我这次查了下 Oauth 协议,我就理所当然的认为安全了。虽然黑客可以用撞库破解密码,但就我们这点隐私,还不至于让黑客发动攻击吧!

不就是保存点学习资料吗?黑客难道想跟我学习日语吗?

现实中,这个方案还是不可行!为什么?

因为两个企业之间根本没有信任可言,商场如战场。人与人之间的信任都很难实现,更不要说两个企业之间了。

Y 企业会想,W 企业会不会偷偷收集用户的帐号和密码。如果这些都让他知道了,那公司离倒闭也不远了。

站在用户的角度,用户会想“凭什么要我在 W 软件里面输入 Y 的密码,W 软件会不会把我 Y 的密码也记住呢?”。

怎么办?

我们先看下三方的交互模型

image

在这个场景下,用户 keithxiaoy 要储存笔记,访问他在 Y 的笔记数据库,但是他不能直接和 Y 操作,而必须通过 W。我们现在要解决的,就是让 keithxiaoy 放心,也让 Y 放心的方案。

大家联想到我开头写到的「支付宝」了吗?

Oauth2.0 就是类似于原始「支付宝」的功能,为了解决这个信任危机而提出来的交互模型。它告诉人们,在这种场景下,三方要怎么解决彼此的信任危机。

具体来说,Oauth2.0 的交互模型的核心是这个样子的:

image

资源拥有者:keithxiaoy

客户端:W 企业

资源服务器:Y 企业

鉴权服务器:类似于支付宝的功能,是一个对用户的身份进行认证、并对客户端进行授权的地方。一般情况下,鉴权服务器也是 Y 公司

再回头来看开头的那张授权图。

image

第三方授权的原理,其实就是 Oauth2.0。

在这个页面输入 Y 企业的帐号和密码,那么 W 企业是无法拿到的。

如果用户同意授权登录,鉴权服务器会通知 Y ,并给 W 发送一个访问令牌 Access Token 。有了这个访问令牌,W 就可以到 Y 的服务器上面去保存资源或者获取资源了。

最后,真正的接口形式会是这样的:

https://keithxiaoy.com/saveData?accesstoken=xxxxxx…

Y 的服务器在接收到这个请求之后,会拿着 Access Token,再去找鉴权服务器,检查这个 Access Token 的合法性和权限,如果通过的话,才返回数据给客户端 W。

看到这里,大家明白 Oauth2.0 协议到底是干什么的了吗?

嗯嗯,明白了,K哥真帅…

文中举例皆虚构,不代表现实世界任意一家企业。如有雷同,纯属巧合。

程序员K哥
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OAuth2.0协议中文版.pdf
03-27
OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
OAuth 2.0:开放授权的安全认证协议
恋上、小幸福的博客
07-13 1024
OAuth 2.0是一种开放标准的授权协议,允许用户授权第三方应用程序代表其访问受保护的资源。它解决了传统的用户名和密码认证方式存在的一些问题,提供了更安全、更便捷的身份验证和授权机制。
OAuth 2.0介绍
没有简介
08-24 1610
OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式:授权码模式、隐式授权模式、密码模式和客户端模式。OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权,是目前应用最广泛的开放平台鉴权方式之一。
OAuth 2.0入门和协议流程,授权模式包括授权码模式、简化(隐式)模式和密码模式。
最新发布
qq_73126462的博客
01-28 1128
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版用户可以通过选择其他登录方式来使用gitee,这里就使用到了第三方认证。来自RFC 6749OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。
OAuth2.0协议流程与授权模式、协议流程
m0_62019369的博客
01-05 1578
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。简化模式不通过第三方应用程序的服务器,直接在浏览器中向授权服务器申请令牌,跳过了"授权码"这个步骤,所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。(D)客户端收到授权码,附上早先的"重定向URI",向授权服务器申请令牌。
OAuth2.0基础及分布式认证管理系统的分析
A_991128a的博客
01-12 108
OAuth是开放授权的译文,是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户的名称、密码等重要信息提供给第三方应用或分享他数据的内容;OAuth2.0是OAut协议的延续版本,但不向后兼容,即完全废弃了OAuth1.0;很多大公司如Google、Yahoo、Microsoft等都提供了OAuth认证服务;对OAuth认证简单的理解:允许项目将之前实现的认证与授权的过程叫给第三方来进行保护;而OAuth协议就是用来定义如何让这个第三方的担保有效且双方可信;
(8)OAuth 2.0 协议详解
禅与计算机程序设计艺术
08-31 492
作者:禅与计算机程序设计艺术 1.简介 OAuth是一个开放授权协议,允许用户提供第三方应用访问其在某些网站上存储的私密信息(如照片、联系方式等),而无需将用户名或密码提供给第三方应用。OAuth 2.0 是 OAuth 1.0 的更新版本,主要是为了解决旧版 OAuth 在安全性和标准化方面的不足。本
OAuth 2.0授权协议详解
10-25
主要介绍了OAuth 2.0授权协议详解,本文对OAuth协议做了详解讲解,对OAuth协议的各个方面做了分解,读完本文你就会知道到底啥是OAuth了,需要的朋友可以参考下
OAuth2.0协议原理与实现
03-08
OAuth2.0协议原理与实现
Oauth2.0 协议 服务端 客户端 thinkphp5.0
02-08
Oauth2.0协议 整合php框架 客户端 服务端授权码模式小demo
oauth2.0协议授权
08-15
基于oauth2.0开发的一套授权服务,其中包括一些实体类是需要自己定义的,是无法拿到即用的,需要自己看懂并且应用于自己的项目
Oauth2协议详解&OAuth2.0 授权方式
qq_43842093的博客
05-03 1118
OAuth2是一个非常常用的协议,也非常的方便,主要目的就是使第三方服务器可以获得授权范围内的用户信息OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不兼容OAuth 1.0,即完全废止了OAuth1.0。
OAuth2.0四种授权模式及实战
CODEING一场空的博客
06-27 7494
Oauth2.0具有多种授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。在源码中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证码登录或者微信扫码登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证码模式。
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 4174
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
[转]OAuth2.0授权协议+4种认证模式了解
Admans的专栏
11-06 729
OAuth2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。对于用户而言,我们在互联网应用中最常见的 OAuth 应用就是各种。
OAuth2.0到底是什么?看完你就明白了!
qq_41826150的博客
06-30 1575
OAuth2是一种开放授权协议,是一种用于授权的规范。它提供了一种灵活的授权方式,允许用户在第三方应用中安全地授权访问其受保护的资源,而无需共享其用户名和密码。OAuth2协议定义了客户端如何请求授权、用户如何在客户端和应用之间进行授权,以及如何交换授权信息以获取Access Token。Access Token是第三方应用访问用户资源的凭证,具有一定的有效期限。OAuth2的引入解决了传统授权方式中存在的安全性和可维护性问题,使得用户可以更加灵活和安全地授权第三方应用访问其资源。
说下OAuth2.0协议
就当我是那云朵
02-07 193
说下OAuth2.0协议,有哪些角色,授权模式有哪些以及应用场景。
OAuth2.0协议详解
lixinkuan的博客
07-18 1019
OAuth2.0是OAuth协议(Open Authorization,一个安全的、开放而又简易的标准)的延续版本,但不向前兼容OAuth 2.0(即完全废止了OAuth1.0)。OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。同时为Web应用,桌面应用和手机,和起居室设备提供专门的认证流...
什么是OAuth2.0?解决什么问题?
08-15
OAuth2.0 是一个用于授权的开放标准协议,它允许用户授权第三方应用程序(如社交媒体应用程序)访问他们的受保护资源(如照片、视频等)。OAuth2.0 的主要目的是为了减少用户在第三方应用程序和资源服务提供者之间...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值