OAuth2.0 4种授权模式

最新推荐文章于 2024-05-15 03:25:41 发布
最新推荐文章于 2024-05-15 03:25:41 发布
阅读量4k 收藏 4
点赞数 2
分类专栏: 安全 文章标签: Oauth2.0

学习了杨波老师的《微服务安全架构和实践》关于Oauth2.0的知识,做了下简单的总结,具体内容在https://github.com/geektime-geekbang/oauth2lab
在这里插入图片描述
最安全的授权方式,适用于开放平台,客户端为不受信的第三方应用,最终客户端获取了token,用户是不知情的

1、用户 ——》客户端(第三方不受信应用)
2、客户端——〉授权服务器 请求授权(携带clientId、返回地址等)
3、授权服务器——》用户 跳转页面给用户,询问是否授权
4、用户——〉授权服务器 输入账号密码确认授权
5、授权服务器——〉客户端 跳转到第2步给定的返回地址,附带上code参数
6、客户端 ——》授权服务器 根据code获取token 和 refreshToken
7、客户端 ——〉资源服务器 根据token获取用户资源
在这里插入图片描述

简化版的授权,适用于单页应用、app等,一般不会有refreshToken,这个时候用户是能知晓token,安全性较弱(因为浏览器、app等是和用户在一起的)

1、用户 ——》客户端(第三方不受信应用)
2、客户端——〉授权服务器 请求授权(携带clientId、返回地址等)
3、授权服务器——》用户 跳转页面给用户,询问是否授权
4、用户——〉授权服务器 输入账号密码确认授权
5、授权服务器——〉客户端 跳转到第2步给定的返回地址,直接附带token
在这里插入图片描述

适用于己方app、单页应用直接和授权服务器交互,通过账号密码获取授权

1、客户端 ——》 授权服务器 直接附带上用户账号密码请求授权
2、授权服务器 ——〉客户端 直接返回token值

在这里插入图片描述
适用于 服务器之间通信,不经过用户确认,只需要服务器之间通过最基本的验证,验证方式可以自己定义(验签、证书等)

1、客户端 ——》授权服务器 经过商议好的权限认证
2、授权服务器 ——〉客户端 发放token

在这里插入图片描述

yzqingqing
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0 的四种授权方式
zeki10的博客
07-08 1万+
OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。 OAuth2.0 是 OAuth 协议的一个版本,有 2.0 版本那就有 1.0 版本,有意思的是 OAuth2.0 却不向下兼容 OAuth1.0 ,相当于废弃了 1.0 版本。 举个小栗子解释一下什么是 OAuth 授权? 在家肝文章饿了定了一个外卖,外卖小哥 30 秒火速到达了我家楼下,奈何有门禁进不来,可以输入密码进入,但
OAuth2.0的四种授权方式
学习
07-26 2125
互联网应用中,OAuth 是一种授权机制。数据的所有者Owner告诉系统,同意授权第三方应用Client进入系统获取这些数据。系统产生一个短期的进入令牌token,用来代替密码,供第三方应用使用。令牌相较与密码,有这些优势,1.令牌是短期的,到期会自动失效 2.令牌可以被数据所有者撤销,会立即失效 3.令牌有权限范围(scope)。 关于OAuth可以关注 阮一峰讲OAuth和江南一点雨讲解OAuth OAuth非常好的一点就是考虑了实际应用中的复杂场景,总结了四种授权方式(authorization gr
OAuth2.0四种授权模式及实战
热门推荐
CODEING一场空的博客
06-27 1万+
Oauth2.0具有多种授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。在源码中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证码登录或者微信扫码登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证码模式
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 4373
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
阿里出品的Spring-Security神仙级教程(思维导图+源代码+笔记+项目)
最新发布
2401_84584873的博客
05-15 896
由于篇幅限制,小编在此截出几张知识讲解的图解本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)收录**需要这份系统化的资料的朋友,可以点击这里获取。
[转]OAuth2.0授权协议+4种认证模式了解
Admans的专栏
11-06 915
OAuth2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。对于用户而言,我们在互联网应用中最常见的 OAuth 应用就是各种。
OAuth2.0 4种授权方式
yangzhe19931117的博客
11-23 2161
OAuth2.0的4种鉴权方式
Oauth2.0的四种模式
qq_37457564的博客
07-25 2104
1. 授权模式 (1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize? client_id=p2pweb&response_type=code&scope=app&redirect_uri=http://xx.xx/notify 参数列表如下: client_id:客户端接入标识。 response_type:授权模式固定为code。 scope:客户端权限
详解laravel passport OAuth2.0的4种模式
10-16
**laravel passport OAuth2.0的4种模式详解** OAuth2.0是一种授权框架,用于安全地让第三方应用访问用户的数据,而无需分享其原始凭证。laravel passport 是 Laravel 框架提供的一种用于构建 API 的强大工具,它...
OAuth2.0 密码模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant 的授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
OAuth2.0授权模式.doc
07-27
OAuth2.0授权模式.doc OAuth2.0授权模式的文档,希望可以帮助学习者
gif89.jar gif89.jar
11-25
gif89.jargif89.jargif89.jargif89.jargif89.jar
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
nodejs实现OAuth2.0授权服务认证
10-18
OAuth2.0授权模式: 1. 授权模式(Authorization Code Grant):适用于服务器端应用程序,安全但流程复杂。 2. 简化模式(Implicit Grant):适用于浏览器应用,不涉及服务器端,令牌直接在URL中返回,安全性较低...
OAuth 2.0 的四种认证模式
wangfenglei123456的博客
09-08 2021
OAuth 2四种模式 授权码(authorization-code) 隐藏式(implicit) 密码式(password): 客户端凭证(client credentials) 1.授权模式 应用场景:第三方账号登录,接入微信开放平台,需要申请appid ,appsecret相当于clientId,secret。 1.1操作步骤: B网站的用户可以登录 A网站,A网站可以在用户同意授权以后去B网站拿一些开放的数据 弹出B网站登录二维码网址: http://B.com/oauth
OAuth 2.0(四):手把手带你写代码接入 OAuth 2.0 授权服务
阿道夫的博客
01-11 489
1、关注 授权服务 的官方文档,开放平台接入文档是一个很重要的凭据。2、第三方软件接入授权尽量采用 服务端发起型 授权,使用 授权码许可机制,因为这更安全、更完备。3、强烈建议你手把手撸一遍,OAuth 2.0 接入的代码很考验基本功和代码风格,其中用到了 Redis 缓存、Hutool 工具去发起 Http 请求等。
认证授权OAuth2简介及四种授权模型详解
GIS摆渡人
06-27 3738
如今很多互联网应用中,OAuth2 是一个非常重要的认证协议,很多场景下都会用到它,Spring Security 对 OAuth2 协议提供了相应的支持。开发者非常方便的使用 OAuth2 协议OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源 (如头像、照片、视频等),并且在这个过程中无须将用户名和密码提供给第三方应用。通过令牌 (token) 可以实现这一功能。每一个令牌授权一个特定的网站在特定的时间段内允许可访问特定的资源。
OAuth2四种模式
m0_46267097的博客
07-16 1301
OAuth2四种模式一、隐式授权模式(Implicit Grant)流程图步骤优缺点及适用场景二、授权授权模式(Authorization code Grant)流程图步骤优缺点及适用场景三、密码模式(Resource Owner Password Credentials Grant)流程图步骤优缺点及适用场景四、客户端凭证模式(Client Credentials Grant)流程图步骤优缺点及适用场景 一、隐式授权模式(Implicit Grant) 流程图 步骤 第一步:用户访问页面时,重定向到
OAuth2四种模式介绍+项目实战
What大潘的博客
04-02 5181
OAuth2入门案例,带你快速了解OAuth2的四种模式和使用场景
springboot oauth2.0 授权模式
05-11
SpringBoot OAuth2.0 授权模式是一种常见的授权方式,通常用于安全访问受保护的 API。在此模式下,客户端必须向授权服务器发送一个授权请求,授权服务器返回一个授权码,客户端使用该授权码向资源服务器请求访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值