OAuth2.0协议-授权码模式介绍及案例应用

最新推荐文章于 2024-05-10 08:20:00 发布
最新推荐文章于 2024-05-10 08:20:00 发布
阅读量2.4k 收藏 8
点赞数 1
分类专栏: 日常 文章标签: OAuth2.0 授权码模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yibailiheng/article/details/88823104
版权

一、关于OAuth2.0

1.什么是OAuth2.0

OAuth2.0(开放授权)是一个关于授权的开放的网络协议。

2.OAuth2.0的作用是什么?

让客户端安全可控地获取用户的授权,与服务提供商之间进行交互。可以免去用户同步的麻烦,同时也增加了用户信息的安全。

3.设计理念

OAuth在第三方应用与服务提供商之间设置了一个授权层。第三方应用不能直接登录服务提供商,只能登录授权层,以此将用户与客户端区分开来。第三方应用登录授权层所用的令牌,与用户的密码不同。用户可以在登录授权的时候,指定授权层令牌的权限范围和有效期。 

第三方应用登录授权层以后,服务提供商根据令牌的权限范围和有效期,向第三方应用开放用户资源。

4.应用场景

实现第三方应用的接口访问控制。第三方应用登录。

比如:

5.运行流程

(A)用户打开客户端以后,客户端要求用户给予授权。

(B)用户同意给予客户端授权。

(C)客户端使用上一步获得的授权,向认证服务器申请令牌。

(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。

(E)客户端使用令牌,向资源服务器申请获取资源。

(F)资源服务器确认令牌无误,同意向客户端开放资源。

6.客户端的授权模式

客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。OAuth 2.0定义了四种授权方式。

  • 授权码模式(authorization code)
  • 简化模式(implicit)
  • 密码模式(resource owner password credentials)
  • 客户端模式(client credentials)

二、授权码模式

授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。

(A)用户访问客户端,后者将前者导向认证服务器。

(B)用户选择是否给予客户端授权。

(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。

(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。

(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

下面是上面这些步骤所需要的参数。

A步骤中,客户端申请认证的URI,包含以下参数:

  • response_type:表示授权类型,必选项,此处的值固定为"code"
  • client_id:表示客户端的ID,必选项
  • redirect_uri:表示重定向URI,可选项
  • scope:表示申请的权限范围,可选项
  • state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。

三、授权码模式代码(基于springboot)

应用案例运行流程

应用B的pom.xml需要添加oauth2的相关依赖:

<!--oauth2相关依赖 -->
<dependency>
    <groupId>org.apache.oltu.oauth2</groupId>
    <artifactId>org.apache.oltu.oauth2.authzserver</artifactId>
    <version>1.0.0</version>
</dependency>
<dependency>
    <groupId>org.apache.oltu.oauth2</groupId>
    <artifactId>org.apache.oltu.oauth2.resourceserver</artifactId>
    <version>1.0.0</version>
</dependency>
<dependency>
    <groupId>org.apache.oltu.oauth2</groupId>
    <artifactId>org.apache.oltu.oauth2.common</artifactId>
    <version>1.0.0</version>
</dependency>

应用A的配置文件application.properties:

#应用id和秘钥  用于注册表示用户  获取token值会用到
client.ak = c3c31e1e-2117-4eee-8ca6-011594675ef1
client.sk = 5143faab-67e6-48aa-acf2-8e716b4b5983

client.oauth.server.host = hostname  #服务B的ip地址
client.oauth.server.token.url = http://${client.oauth.server.host}/accessToken
client.oauth.server.redirect.url = http://127.0.0.1:8080

 

3.1 浏览器获取应用B端的code值

1.前端js发起请求

MC.http.ajax({
    async: false,
    url: clientUrl + "/remote/siti/test?callback=?",
    data: "",
    timeout: 500,
    dataType: 'jsonp',
    type: 'get',
    success: function (rsp) {
        if (null != rsp && rsp.result == "ok") {
            isTestConnect = true;
            MC.cookie.set("isConnection", "1");
            var code = null;
            var busType = null;
            MC.http.ajax({
                url: '/teacher/user/code',
                dataType: 'json',
                type: 'get',
                async: false,
                success: function (rsp) {
                    // alert(rsp);
                    code = rsp.code;
                },
                error: function () {
                    MC.msg('alert', '获取code失败,请稍后再试');
                }
            })
            var urls = url.split("/");
            busType = urls[urls.length - 1];
            window.location.href = cIp + "/online?code=" + code + "&busType=" + busType;//cip=http://hostname:port   获取code成功后,刷新页面到指定的url  
            return;
        }
    },
    error: function () {
        MC.cookie.set("isConnection", "0");
    }
})

2.后台代码

@Autowired
private OAuthService oAuthService;

/**
 * controller
 * 用户登录状态获得和用户关联的code
 * @param request
 * @return
 */
@RequestMapping(value = "/code", method = RequestMethod.GET, produces = MediaType.APPLICATION_JSON_VALUE)
public Map<String, Object> code( HttpServletRequest request){
    String code = oAuthService.fetchOrGenCode(request);
    HashMap codeMap = new HashMap();
    codeMap.put("code",code);
    return codeMap;
}

@Override
public String fetchOrGenCode(HttpServletRequest request) {

    //获取缓存中的用户信息
    String userNo = (String) request.getSession().getAttribute("UserNo");
    if(null == userNo){
        userNo = (String) request.getSession().getAttribute("outUserNo");
    }
    return code(userNo);
}

public String code(String userNo){
    try {
        String code = getCode(userNo);
        if (null != code) {
            return code;
        }else{
            if (null != userNo) {
                String authorizationCode = GeneAuthorizationCode(userNo);
                saveCode(userNo, authorizationCode);
                addAuthCode(authorizationCode,userNo);
                return authorizationCode;
            }
        }
    } catch (Exception e) {
        if (null != userNo) {
            String authorizationCode = GeneAuthorizationCode(userNo);
            saveCode(userNo, authorizationCode);
            addAuthCode(authorizationCode,userNo);
            return authorizationCode;
        }
    }
    return null;
}

2.应用A 通过code+ak+sk值去应用B获取token值

/**
 * 过滤器  拦截/inner/* 路径下所有的请求
 */
@Configuration
@EnableAsync
@PropertySource("classpath:message.properties")
public class WebConfig {
    @Bean
    public FilterRegistrationBean innerCheckFilterRegistrationBean(InnerCheckFilter innerCheckFilter) {
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
        filterRegistrationBean.setFilter(innerCheckFilter);
        filterRegistrationBean.setEnabled(true);
        filterRegistrationBean.setDispatcherTypes(EnumSet.allOf(DispatcherType.class));
        filterRegistrationBean.addUrlPatterns("/inner/*", "*.html", "*.htm");
        filterRegistrationBean.setOrder(3);
        return filterRegistrationBean;
    }
}
/**
 * 拦截器InnerCheckFilter
 */ 
@Component("innerCheckFilter")
public class InnerCheckFilter implements Filter {
    private static Set<String> beforeLoginSkipUrls = new HashSet<String>();
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        log.info("ZxtkCheck filter init...");
		beforeLoginSkipUrls.add("/inner/login");
    }
    @Override
	public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) servletRequest;
		HttpServletResponse response = (HttpServletResponse) servletResponse;
		HttpSession session = request.getSession();
		request.setCharacterEncoding("UTF-8");
		String[] tokenMessage = new String[0];
		
		String code = request.getParameter("code");
		String sessionToken = request.getParameter("token");
		if (sessionToken == null){
			if (code != null) {
				//获取taken
				OAuthAccessTokenResponse tokenResponse;
				try {
					tokenResponse = oauthClient.makeTokenRequestWithAuthCode(code);  //通过code获取token值
					if (tokenResponse != null) {//表示已经获取到了token 解析token中的值
						tokenMessage = Base64Util.deCode(tokenResponse.getAccessToken().toString()).split("#");
						session.setAttribute("token", tokenResponse.getAccessToken());
						session.setAttribute("code", code);
						session.setAttribute(code, tokenResponse.getAccessToken());
						session.setMaxInactiveInterval(tokenResponse.getExpiresIn().intValue());
					}else{
						response.sendRedirect("/login.html");
					}
				} catch (Exception e) {
					e.printStackTrace();
				}
				response.sendRedirect("/inner/login?usrId=" + tokenMessage[1]);
			}else{
				chain.doFilter(request,response);
			}
		}else{
			chain.doFilter(request,response);
		}
	}
    @Override
    public void destroy() {
        beforeLoginSkipUrls.clear();
        log.info("InnerCheck filter destroy...");
    }
}

/**
 * 获取token的实现类
 */
@Component
public class OauthClient {
    @Value("${client.ak}")
    private String ak;

    @Value("${client.sk}")
    private String sk;

    @Value("${client.oauth.server.token.url}")
    private String OAUTH_SERVER_TOKEN_URL;

    @Value("${client.oauth.server.redirect.url}")
    private String OAUTH_SERVER_REDIRECT_URI;

    /**
     * 根据授权码获取accessToken
     * @param authCode 服务器端code
     * @return  OAuthAccessTokenResponse
     * @throws OAuthProblemException
     * @throws OAuthSystemException
     */
    public OAuthAccessTokenResponse makeTokenRequestWithAuthCode(String authCode)
            throws OAuthProblemException, OAuthSystemException {
        OAuthClientRequest request = OAuthClientRequest
                .tokenLocation(OAUTH_SERVER_TOKEN_URL)//访问地址
                .setClientId(ak)//ak
                .setClientSecret(sk)//sk
                .setGrantType(GrantType.AUTHORIZATION_CODE)
                .setCode(authCode)
                .setRedirectURI(OAUTH_SERVER_REDIRECT_URI)//返回地址
                .buildBodyMessage();

        OAuthClient oAuthClient = new OAuthClient(new URLConnectionClient());
        return oAuthClient.accessToken(request);
    }
}

token返回值:

 

 

半路笙歌
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
OAuth2.0系列之授权模式实践教程(二)
Nicky's blog
06-11 5212
OAuth2.0系列之授权模式(authorization code)实践教程(二)1、授权模式简介1.1 前言1.2 流程图 1、授权模式简介 1.1 前言 在上一篇文章中我们学习了OAuth2的一些基本概念,对OAuth2有了基本的认识,接着学习OAuth2.0授权模式中的授权模式 ps:OAuth2.0授权模式可以分为: 授权模式(authorization code) 简化模式(implicit) 密模式(resource owner password credentials) 客户
springcloud_oauth2.0-master.zip
12-19
在本案例中,我们将利用Spring Security与OAuth2.0结合,实现对微服务的认证和授权。 Redis则作为一个高效的内存数据结构存储系统,常被用作缓存或消息代理。在我们的系统中,Redis可以存储用户的令牌,提高令牌...
手把手OAuth2授权模式(Authorization Code)
xuejianxinokok的专栏
04-30 6126
手把手入门OAuth2授权模式(Authorization Code) 1.简单介绍 OAuth2 授权模式模式基本上是用用户凭证获取token 后来获取资源的访问权限。其交互步骤如下图: 交互过程如下: 用户在客户端程序上操作某些功能希望从资源服务器获取数据 客户端程序重定向浏览器请求到授权服务器要求授权,在重定向之前客户端程序会给授权服务器传递一个参数作为回调地址 授权服务器请求用户同意,这个步骤一般需要用户先登录,如果已经登录则可能弹出一个交互页面请求用户同意授权 用户决定同意授权 授权服务器
OAuth2.0授权标准详解,OAuth2.0四种授权模式详解
最新发布
秃了也弱了
05-10 2631
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。
oauth2认证的4种模式
weixin_52526235的博客
07-24 2389
oauth2认证的4种模式分别是授权模式、简化模式、密模式、客户端凭证模式
阿里巴巴Spring SecurityOAuth2.0认证授权笔记开源,Java程序员必学的热门技术栈
m0_50180963的博客
04-25 122
首先,SSM环境中我们通过xml配置的方式,从源渗入开始,完成Spring Security基本的“认证”和“授权”功能讲解,其中还会融合“记住我”,CSRF拦截等技术。OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0OAuth协议的延续版本,但不兼容OAuth 1.0(即完全废止了OAuth1.0)。在第二篇中,我们将会学习到如何设置用户状态、授权操作等等内容!
OAuth的发展与设计
A_991128a的博客
01-12 114
因为一个代表你是谁,一个代表你能做什么,你能做的事情随时可以被管理员改变,但是你是谁是固定的,而且一般access_token过期时间都比较短,如果我用着用着就过期了,总不能让用户重新登陆吧,那岂不是回到了起点?
OAuth2-简介
github_38730134的博客
02-24 316
OAuth2-简介 OAuth2.0是一个授权协议,它允许软件应用代表(而不是充当)资源拥有者去访问资源拥有者的资源。应用向资源拥有者请求授权,然后获得令牌,并用它来访问资源。 协议规范 OAuth2.0框架能让第三方应用以有限的权限访问HTTP服务,可以通过构建资源拥有者与HTTP服务间的许可交互机制,让第三方应用代表资源拥有者访问服务,或者通过授权给第三方应用,让其代表自己访问服务。 凭证共享与凭证盗用 共享用户凭证 复制用户的凭证并用于登陆另一个服务,客户端直接代表用户访问受保护资源,对于服务是同一个
oauth2.0.zip_oauth2.0
09-20
这个压缩包文件"oauth2.0.zip_oauth2.0"包含了深入理解OAuth 2.0的基础知识,特别是针对初学者的入门介绍。其中的"oauth2.0.pdf"文档很可能是详细阐述OAuth 2.0概念、工作流程和实际应用的教程。 OAuth 2.0的核心...
基于springboot2.x的Oauth2.0一键授权登录和微信网页扫支付测试开发案例(含源)
08-25
使用idea开发工具,基于springboot2.x、jwt鉴权、nginx集群,前后端分离的微信Oauth2.0一键登录和微信网页扫支付测试开发demo
Advanced API Security OAuth 2.0 And Beyond-Apress
03-22
1. **OAuth 2.0基础**:首先,书会介绍OAuth 2.0的核心概念,如授权流程、隐式流程、客户端凭据流程以及授权服务器和资源服务器的角色。理解这些基本概念是构建安全API的基础。 2. **API安全设计原则**:书中会...
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
案例主要涉及如何在WinForm应用中通过HttpClient调用使用OAuth2.0授权的WebAPI接口。OAuth2.0是一种广泛采用的授权框架,用于安全地授予第三方应用访问用户资源的权限,而无需共享用户凭据。 首先,让我们深入...
OAuth 2.0介绍
没有简介
08-24 2828
OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式:授权模式、隐式授权模式、密模式和客户端模式OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权,是目前应用最广泛的开放平台鉴权方式之一。
Oauth2授权模式访问之授权模式(authorization_code)
zy_javapythonc的博客
01-28 6058
Oauth2授权模式访问之授权模式
自定义OAuth2组件实现对授权登录模式的封装
qq_25046827的博客
04-14 1557
所谓OAuth2其实就是Open Authorization,即开放授权,是一种授权机制或者说是一种协议OAuth2允许用户授权第三方应用访问其存储在开放平台(授权服务器)中的数据而不需要提供密授权服务器根据OAuth2协议标准制订一套授权的API,第三方网站接入开放平台之后即可通过其提供的API来实现用户授权和获取授权服务器中用户的信息的功能。
Springboot +spring security,OAuth2 四种授权模式概念
weixin_40991408的博客
05-27 2745
Springboot +spring security,OAuth2 四种授权模式概念
oauth2-授权模式案例
weixin_41359273的博客
04-16 1104
oauth2-授权模式案例1.授权模式工作流程图2.项目结构图3.搭建授权服务器(auth-server)4.搭建资源服务器(user-server)5.搭建第三方应用服务器(client-app)5.测试 1.授权模式工作流程图 2.项目结构图 3.搭建授权服务器(auth-server) 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.
oauth2 授权模式 流程说明和接口整理
芸中的阳光
02-19 1837
该接口对应图中,A系统访问B系统,传递clientId,clientSecret,code,redirectUri等参数换取B系统的accessToken和refreshToken。假设有这样一个场景:现有A系统和B系统,A系统想要使用B系统的账号来做三方登录,那么A系统就必须要获取B系统的授权,以便拿到B系统的用户信息。该接口会重定向到授权页面,同样,oauth2的授权界面很难满足实际使用场景,可以通过配置替换为自定义的授权页面。该接口对应上图的第一步,即传递参数,获取B系统的登录界面。
OAuth2授权模式
越努力越幸运。
01-18 902
传统的客户端-服务器身份验证模型中存在的问题。在这种模型中,客户端通过使用资源所有者的凭据对服务器进行身份验证,从而请求访问受限资源(受保护的资源)。为了使第三方应用程序能够访问受限资源,资源所有者需与第三方共享其凭据。第三方应用程序通常需要明文存储资源所有者的凭据(通常是密),以备将来使用。服务器需要支持密身份验证,而且密身份验证存在安全弱点。第三方应用程序可能获得对资源所有者受保护资源的过于广泛的访问权限,而资源所有者无法限制对资源的访问时长或访问的资源子集。
前后端分离oauth2.0 - springsecurity + spring-authorization-server 密模式
07-11
在前后端分离的架构中,前端应用程序通常需要使用OAuth 2.0协议进行用户授权,以访问后端应用程序的受保护资源。为了实现密模式,我们可以使用Spring Security的模块之一,即spring-authorization-server。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半路笙歌

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值