文章目录
一、认证与授权
认证(Authentication)与授权(Authorization)在网络安全和系统管理中是两个重要的概念,它们各自有不同的作用和目标。
-
认证是验证确认身份以授予对系统的访问权限的过程。它关注的是确认用户或系统是否是他们所声称的身份。在认证过程中,系统通常会要求用户提供一些凭据(如用户名和密码、指纹、面部识别等)来验证他们的身份。一旦用户通过了认证,系统就会认为他们是合法的用户,并允许他们访问系统资源。
-
授权是确定用户或系统是否有权访问特定资源的过程。在授权过程中,系统会检查用户或系统的权限和角色,以确定他们是否有权访问请求的资源。授权通常是在认证之后进行的,因为它依赖于认证的结果来确定用户或系统的身份。授权可以基于各种因素,如用户的角色、职责、访问级别等,来限制用户对系统资源的访问。
简而言之,认证是验证用户或系统身份的过程,而授权是确定用户或系统是否有权访问资源的过程。两者都是系统安全的重要组成部分,但关注点和目标不同。
二、OAuth2.0介绍
OAuth 2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth 1.0)。它主要关注客户端开发者的简易性,并为Web应用、桌面应用、手机和智能家居设备提供专门的认证流程。OAuth 2.0的核心原理是通过授权访问令牌(Access Token)来实现身份验证和授权。
以下是OAuth 2.0的主要原理和流程:
- 注册应用程序:第三方应用程序需要在提供OAuth 2.0服务的身份提供商注册,并获得客户端ID(Client ID)和客户端密钥(Client Secret)。
- 用户授权:当用户尝试访问第三方应用程序时,应用程序会向身份提供商发送授权请求,并重定向用户到身份提供商的登录页面。
- 授权同意:一旦用户成功登录,身份提供商会提示用户授予第三方应用程序访问特定资源的权限。
- 访问令牌颁发:一旦用户授权,身份提供商会颁发一个授权访问令牌给第三方应用程序。
- 访问资源:第三方应用程序可以使用授权访问令牌来访问用户受保护的资源,通过将令牌发送给身份提供商进行验证。
- 刷新令牌:访问令牌通常具有一定的有效期,过期后可以使用刷新令牌获取新的访问令牌。
OAuth 2.0的优势在于它提供了更高的安全性,通过引入更为严格的证书验证和加密要求来提高数据传输的安全性。同时,它优化了授权流程,减少了用户在第三方网站登录时需要进行的交互操作,提高了用户体验。此外,OAuth 2.0还支持多种认证方式,为开发者提供了更多选择。
应用场景包括单点登录、授权登录、跨屏登录和扫码登录等。例如,单点登录允许用户在一个认证中心进行登录,然后在多个系统中使用相同的凭证进行访问;授权登录支持多认证源,如支付宝、微信等;跨屏登录允许用户在不同设备之间无缝切换;扫码登录则通过扫描二维码的方式进行授权登录。
总的来说,OAuth 2.0是一个广泛应用的授权协议,它为用户和开发者提供了更安全、更便捷的访问控制解决方案。
OAuth2.0包括以下角色:
- 客户端
本身存储资源,需要通过资源拥有者的授权去请求资源服务器的资源,比如:Android客户端、Web客户端(浏览器端)、微信客户端等。 - 资源拥有者
通常为用户,也可以是应用程序,即该资源的拥有者。 - 授权服务器(也称认证服务器)
用于服务提供商对资源拥有的身份进行认证、对访问资源进行授权,认证成功后会给客户端发放令牌(access_token),作为客户端访问资源服务器的凭据。本例为微信认证的服务器。 - 资源服务器
存储资源的服务器,本例子为微信存储的用户信息。
现在还有一个问题,服务提供商能允许随便一个客户端就接入到它的授权服务器吗?答案是否定的,服务提供商会给准入的接入方一个身份,用于接入时的凭据:
- client_id: 客户端标识。
- client_secret: 客户端秘钥。
因此,准确来说,授权服务器对OAuth2.0中的两个角色进行认证授权,分别是资源拥有者、客户端。
扫一扫
1599
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
