有没有必要在项目里使用Oauth2,不为了技术而技术,你可能并不需要 OAuth2

最新推荐文章于 2024-09-13 21:13:41 发布
最新推荐文章于 2024-09-13 21:13:41 发布
阅读量3.2k 收藏 8
点赞数 2
分类专栏: 笔记 文章标签: Oauth2 授权
原文链接:https://mdluo.com/you-may-not-need-oauth2
版权

OAuth2 是一个关于 授权 (Authorization)的网络标准,在网上已经有大量的资料来解释,本文不再详细解释原理和规范的详情。关于 Authorization 和 Authentication 的区别之后会写另外一篇文章来分析。在此仅列两个比较优质的解释 OAuth2 原理的文章:

尽管如此,这里还是描述一下 OAuth2 的使用场景,以便约定和明确一下角色方便后面叙述。

角色

  • A (twitter): 托管内容、搭建 OAuth2 服务、提供第三方登录接入;
  • C: twitter 的用户,在 twitter 网站上产生内容;
  • B1 (medium.com): 希望 C 用 twitter 账号来登录自己的网站,并且希望获得 C 的 twitter 头像和用户名等基本信息;
  • B2 (buffer.com): 希望 C 用 twitter 账号登录 buffer.com 并编写内容然后直接发布到 twitter
  • B3 (twitterrific): twitter 的第三方 iOS 客户端

使用场景

用户 C 想要用自己的 twitter 的账号登录 medium.com,或者想用 buffer.com 来管理 twitter 的内容,或者想用 twitterrific 来刷推。但是这三个情况 用户 C 都不希望把自己的 twitter 用户名和密码直接交给 B,而是希望 twitter 和 B 之间通过某种协商,给 B 相应的权限。

需要多少权限是 B 在 twitter 的开放平台上设置的,是不是把这些权限(或者给部分权限)给 B 是用户 C 自己决定的,而且这个决定的操作(授权)是在 twitter 的网站或者官方 APP 里进行的。

在用户觉得某个 B 不值得信任的时候,在 twitter 的账号管理界面可以撤销对它的授权。或者当 twitter 发现某个 B 有违规操作的时候,可以完全禁止 B 获得授权。

OAuth2 就能满足以上的授权需求。

搭建 OAuth2 服务(担任 A)

什么时候需要自己搭建 OAuth2 服务呢?一般来说两种情况:

  • 作为 twitter、Facebook、微信、QQ 这种有完善的用户系统、在互联网占到了基础设施级别的用户量,开放给其他网站做社交媒体登录;
  • 作为 reddit 这种论坛网站,或者微博、twitter 这种社交媒体,开放给第三方开发客户端或者扩展应用。这种网站的特点是:本身是功能比较丰富,

接入 OAuth2 服务(担任 B)

什么时候需要接入别人提供的 OAuth2 服务呢?跟上面的担任 A 相对应的两种情况:

  • 自己的网站想要用户使用 twitter、Facebook、微信、QQ 来登录,让用户跳过繁琐的注册过程,提高转化率;
  • 想要为 reddit、微博、twitter 之类的网站开发客户端或者扩展应用。

不需要 OAuth2 的场景

总的来说,任何用来做 认证(Authentication)的场景都不适合用 OAuth,比如:

  • 只有一套用户系统的时候:用常规的用户名密码模式或者联合身份等就够了。
  • 有多套用户系统,但是这个数量是有限的而且是受控制的,比如同一家公司的几个子产品之间有不同的用户系统,但是希望能把这些用户打通:这就是典型的 Single Sign On 的应用场景。
清晨先生
关注
专栏目录
Oauth2.0(一):为什么需要 Oauth2.0 协议?
blowing00的专栏
02-28 730
假设有两家互联网企业 A 和 B,其中 B 是一家提供相片云存储的公司。即 B 的用户可以把相片上传到 B 网站上长期保存,然后可以在不同的设备上查看。某一天,A 和 B 谈成了一项合作:希望 B 用户在使用 A 的客户端时,也可以观看他在 B 的相片。假设你是技术负责人,需要出一个实现方案,怎么做? 要不让 B 提供一个接口: http://xxx.xxx.co...
对不起,我来晚了,为什么要学习OAuth 2.0?
新栋BOOK
07-05 479
我从2014年加入京东,便开始接触开放平台相关的技术,主要包括网关、授权两块的内容。在刚开始的几年时间面,我一直都认为网关是开放平台的核心,起到 “中流砥柱” 的作用,毕竟网关要承载整...
oauth2的优势
iteye_9302的博客
10-08 2240
1 oauth1.0对手机客户端,移动设备等非server第三方的支持不好。其实oauth1.0也是可以支持手机客户端,移动设备等,也有相应的流程。但是oauth1.0是将多种流程合并成了一种,而事实证明,这种合并的流程体验性非常差 2 oauth1.0的三步认证过程比较繁琐和复杂,对第三方开发者增加了极大的开发难度 3 oauth1.0的加密需求过于复杂,第三方开发者使用oaut...
2.为什么需要 OAuth2
Lambda
01-19 1037
为什么需要 OAuth2? 应用场景 我们假设有一个“云笔记”产品,并提供了“云笔记服务”和“云相册服务”,此时用户需要在不同的设备 (Android、iPhone、TV、Watch)上去访问这些“资源”(笔记、图片) 那么用户如何才能访问属于自己的那部分资源呢?此时传统的做法就是提供自己的账号和密码给我们的“云笔记”,登录成功后就可以获取资源了。但是这样做法会有以下几个问题: ...
使用OAuth2有什么优点和缺点
越努力越幸运。
01-18 628
使用OAuth2有以下几个优点:然而,使用OAuth2也存在一些缺点:
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
在SpringBoot中集成OAuth2,我们需要使用Spring Security OAuth2模块。首先,设置授权服务器,配置授权码和令牌端点,以及客户端详细信息。然后,创建资源服务器,配置必要的安全拦截器,以验证OAuth2令牌。此外,...
spring boot 基于数据库整合OAuth2
08-25
本教程将深入探讨如何在Spring Boot项目中集成OAuth2,并基于数据库存储相关配置,确保系统的安全性和可扩展性。 首先,OAuth2的核心概念包括四个角色:资源所有者(Resource Owner)、客户端(Client)、授权...
oauth2.zip
11-20
首先,OAuth2 是一个授权框架,它允许第三方应用在用户许可的情况下,获取有限的访问权限,而无需共享用户的原始密码。在分布式系统中,Spring Cloud Oauth2 提供了强大的认证和授权服务,使得服务间的授权变得更加...
sonar-oauth2:用于SonarQube的OAuth2身份验证插件
05-17
开发这样一个插件需要对SonarQube的API和OAuth2协议有深入理解。开发者需要实现OAuth2的授权和令牌验证逻辑,并确保与SonarQube的用户管理、权限系统以及会话管理无缝对接。 **未来发展方向** 尽管目前插件实现了...
Spring Boot项目中实现OAuth2客户端模式(Client Credentials Grant Type)
最新发布
lucky_love816的博客
09-13 1151
创建一个实现了ClientDetailsService接口的服务类,用于加载客户端详情。
跟我总结OAuth2.0
秋风扶柳笛的专栏
04-12 9197
公司准备使用一种网页的安全认证来实现多个应用系统的单点登录,经过研究采用了现阶段比较流行的OAuth2.0 。下面是对OAuth2.0一些整理和总结以便以后的学习交流。 一、学习OAuth2.0我们先了解一下OAuth是什么?         OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们
关于Oauth2一些浅谈
牧码人博客@luckyhe.com
11-05 409
《关于Oauth2一些浅谈》首发橙寂博客转发请加此提示 关于Oauth2一些浅谈 1.引入 关于Oauth2首先概念上的一些东西我想纠正下:就是Oauth2是目前比较完善的一种权限认证规范(思想),他并不是一门技术。只是当前Spring基于这个规范,基于Spring Security写了一套方便广大开发者,比较完善的一个类库。 本文会从规范的角度去讲一个完整Oauth2规范是咋样的。 2.概述 OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将
分享一个小公司可以直接用的Springboot项目+Oauth2.0认证+JPA+Swagger文档+Thymeleaf的项目
一个到老才知道分享的人的博客
10-30 296
小公司或者刚入门的用来改造足够了。 说明文档 1、项目使用资源 项目框架使用 springboot 安全控制使用 security-oauth2 数据库使用 mariadb,数据库操作使用 jpa 页面模板使用 thymeleaf 接口文档使用 swagger 2、项目说明 因公司规模问题,想做一个使用于一个以后可以对应该公司规模项目的一个开箱即用的项目,该项目是一个小型的系统架构,把资源认证和权限认证放在了一起,适用于单需求项目,该项目开包即用,自带角色管理,用户管理,权限管理,菜单管理和api接.
微服务安全Spring Security OAuth2实战
沮丧的南瓜
12-27 6338
文章目录一、OAuth2.0介绍1.1 应用场景1.2 基本概念1.3 优缺点二、OAuth2的设计思路2.1 客户端授权模式授权码模式简化(隐式)模式密码模式客户端模式2.2 令牌的使用2.3 更新令牌三、Spring Security OAuth2快速开始3.1 授权服务器3.2 整体架构3.3 授权码模式 一、OAuth2.0介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,
oauth2.0 授权码模式简单理解
weixin_39887965的博客
10-27 2245
什么是 oauth协议 ? 百度百科上有解释:允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要分享他们的访问许可或他们数据的所有内容。 简单的来讲就是一个令牌,这个令牌可以有一定的权限,在不知道用户密码的情况下也可以进行部分的功功能操作。用一个例子帮助理解:一
OAuth 2.0 授权认证详解
GJ_ia的博客
01-13 2861
从上图中可以看出,造成 CSRF 攻击漏洞问题的关键点在于,OAuth2 的认证流程是分为好几步来完成的,在上一章节授权码模式流程中的流程图中的第 4步骤中,第三方应用在收到一个 GET 请求时,除了能知道当前用户的 cookie,以及 URL 中的。"云冲印"网站将李四的 Google 账号同张三的"云冲印"账号关联绑定起来,从此以后,李四就可以用自己的 Google 账号通过 OAuth 登录到张三在 “云冲印” 网站中的账号,堂而皇之的冒充张三的身份执行各种操作。这样的前后端分离,可以避免令牌泄漏。
OAuth2.0 - 使用JWT替换Token 及 JWT内容增强
小毕超博客
01-16 8145
一、OAuth2.0 上篇文章我们讲解了OAuth2.0的几种认证模式,前面的讲解Token采用OAuth2.0自带的方式生成的Token,但是这种方式也存在这弊端,通过前面的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。 因此我们可以采用JWT生成令牌,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行
java 客户端实现oauth2访问
08-31
要实现Java客户端使用OAuth2进行访问,首先需要了解OAuth2的基本原理和流程。OAuth2是一种授权协议,用于在不直接暴露用户密码的情况下,授权第三方应用程序访问受保护资源。以下是使用Java客户端实现OAuth2访问的一般步骤: 1. 注册OAuth2客户端:在目标服务提供商的开发者平台上注册一个OAuth2客户端,并获取到客户端ID和客户端秘钥等必要信息。 2. 构建授权URL:使用客户端ID、授权范围和重定向URL等信息构建授权URL。用户将被重定向到此URL以进行用户身份验证和授权。 3. 用户授权:用户在浏览器中访问授权URL,并根据需要提供登录凭据和授权选项。认证成功后,用户将被重定向回重定向URL。 4. 获取访问令牌:在重定向URL中,从认证服务器接收授权代码(authorization code)。使用授权代码向认证服务器发送请求以获取访问令牌。 5. 访问受保护资源:使用获得的访问令牌作为身份验证标识,向受保护资源的API发送请求,获取受保护资源的数据。 在Java中实现以上步骤,可以使用第三方库来简化开发流程,例如Spring Security、Apache Oltu等。这些库提供了OAuth2的相关实现类和工具方法,可以轻松地完成OAuth2的认证和访问流程。 在实现过程中,需要编写Java代码来构建授权URL、处理重定向URL、发送获取访问令牌的请求,并使用获得的访问令牌来访问和处理受保护资源。具体实现过程和代码细节,可以参考相关OAuth2库的文档和示例代码。 总之,Java客户端实现OAuth2的访问需要了解OAuth2的基本原理和流程,并使用相关的第三方库来简化开发过程。通过正确实现OAuth2的认证和访问流程,可以实现安全和授权的API访问。
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值