OAuth2中的Token

少湖说

于 2025-06-18 16:44:27 发布

阅读量211

点赞数 1

CC 4.0 BY-SA版权

分类专栏：编程实践文章标签：服务器前端 linux

本文链接：https://blog.csdn.net/zackslee/article/details/148743812

编程实践专栏收录该内容

14 篇文章

订阅专栏

两个不同的Token

OAuth2 中主要有两个不同的Token, 其中的区别为是否与用户相关联, 即与用户相关的用户Token, 和与客户端相关的客户端Token,
可以通过用户Token, 查询到用户的相关信息, 客户端Token与用户无关, 一般只用于客户端认证

用户Token

获取用户Token一般有两个方式, 授权码模式和密码模式

授权码模式

授权码模式通过跳转到授权中心来获取token

跳转到认证服务器
认证服务器需要用户登录
用户选择是否授权
授权同意后, 自动跳转回原来的页面, 客户端拿到授权码
客户端凭借授权码, 在服务器上通过接口向认证服务器申请令牌

密码模式

密码模式通过接口直接申请到Token

该接口需要几个参数, client_id, client_secret, grant_type, username, password

{
    "client_id": "客户端ID",
    "client_secret": "客户端密码",
    "grant_type": "授权模式, 此外为 password",
    "username": "用户名",
    "password": "用户密码"
}

客户端Token

通过客户端ID和客户端密码来获取Token

该Token与客户端相关, 与用于无关, 只用于客户端认证, 避免了接口泄露和滥用

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

少湖说

关注关注

1
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

Google OAuth2.0获取授权信息返回的id_token如何解析

我的博客

03-05

2080

Google OAuth2.0获取授权信息返回的id_token如何解析？

【全栈开发指南】OAuth2授权获取token调试接口的方式

全栈程序猿的专栏

07-07

9479

在我们实际应用接口的调用调试过程中，需要用到token或者刷新token，GitEgg支持OAuth2.0协议进行认证授权，这里介绍说明如何通过Postman获取token和refresh_token并进行接口调试。

参与评论您还未登录，请先登录后发表或查看评论

OAuth2.0 授权 & OpenID Connect 身份认证

weixin_43294560的博客

06-06

1920

【代码】OAuth2.0 授权 & OpenID Connect 身份认证。

Oauth2.0实现token刷新功能

康小虎的博客

07-13

1万+

1、Oauth2.0简介 Oauth2.0是一个授权协议，提供了一种解决用户资源共享问题的思路，它不是一种实现。对于java来说，我们可以利用Spring Security OAuth2来实现。 Oauth2.0实现的最基本的思路：上图的名词解释：几种授权模式：授权码模式基本思路：微服务架构下的时序图： 2、刷新token （1）基本思路首先我们要明白，在授权码模式下，在网关请求获取access token的时候，接口会返回一个access token和一个refresh token，我

Spring Security OAuth2实现多用户类型认证、刷新Token

susu1083018911的博客

03-07

4130

loadUserByUsername携带多个参数

理解 OAuth 2.0

Shanks

10-22

365

转载自http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 作者：阮一峰日期：2014年5月12日 OAuth是一个关于授权（authorization）的开放网络标准，在全世界得到广泛应用，目前的版本是2.0版。本文对OAuth 2.0的设计思路和运行流程，做一个简明通俗的解释，主要参考材料为RFC 6749。更新：我后来又写了一组三篇的《OAuth 2.0 教程》，更加通俗，并带有代码实例，欢迎阅读。一、应用场景 ...

详解OAuth2 Token 一定要放在请求头中吗

08-18

OAuth2 Token 是否一定要放在请求头中在了解 OAuth2 Token 时，我们总是会遇到一个问题，那就是 OAuth2 Token 一定要放在请求头中吗？答案是否定的，本文将从源码的角度来分享一下 Spring Security OAuth2 的解析...

yapi-plugin-interface-oauth2-token:这是一个为了解决yapi的oauth2.0项目接口需要做鉴权操作的插件

05-30

yapi-plugin-interface-oauth2-token 这是一个为了解决yapi管理的项目接口需要做鉴权操作的插件,觉得可以给 star 的欢迎 star 一下，你的 star 是我前进的动力之一。主要解决问题针对大多数项目来说，特别是现在的...

oauth2-token-manager:生成、验证和刷新 OAuth2 令牌。代币兑换码。不承担任何特定的代币存储

06-17

npm install oauth2-token-manager 使用示例生成兑换码 tokenManager .generateExchangeCode('123|10.10.10.10|8888', 'www.abcd.com') .then(function(obj){ assert.ok(obj.accessToken); assert.ok(obj....

基于SpringBoot整合oauth2实现token认证

08-25

在本文中，我们将使用SpringBoot框架来整合oauth2实现token认证。oauth2是一种业界广泛采用的认证协议，它可以提供更加安全的认证机制。SpringBoot是一个基于Java的框架，它提供了许多实用的功能，可以帮助我们快速...

OAuth2获取token报错invalid stream header

12-14

记一次异常解决：OAuth2获取token报错invalid stream header 在整合springcloud gateway、eureka、security、OAuth2的时候，采用授权码模式，用授权码去访问/oauth/token获取token时，遇到invalid stream header异常...

Springsecurity普通登录认证和OAuth2产生token的认证流程

join_null的博客

08-10

5953

一、普通登录认证过程 1.用户发起登录请求，请求登录接口/login（springsecurity默认登录接口地址） 2.过滤器UsernamePasswordAuthenticationFilter验证当前请求是否是在请求登录接口/login,如果是调用attemptAuthentication方法开始认证 3.attemptAuthentication方法在请求中获取到username、password参数封装成一个Authentication对象，调用...

OAuth基础知识

plumblum的博客

01-14

337

Third-party application：第三方应用程序，既需要认证的客户端 HTTP service：HTTP服务提供商，既用户信息源 Resource Owner：资源所有者 User Agent：用户代理 Authorization server：认证服务器，即服务提供商专门用来处理认证的服务器。 Resource server：资源服务器，即服务提供商存放用户生成的资源的服务器。 ...

oauth2.0 授权码模式简单理解

weixin_39887965的博客

10-27

2399

什么是 oauth协议？百度百科上有解释：允许用户提供一个令牌，而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站（例如，视频编辑网站)在特定的时段（例如，接下来的2小时内）内访问特定的资源（例如仅仅是某一相册中的视频）。这样，OAuth允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息，而不需要分享他们的访问许可或他们数据的所有内容。简单的来讲就是一个令牌，这个令牌可以有一定的权限，在不知道用户密码的情况下也可以进行部分的功功能操作。用一个例子帮助理解：一

Spring Security Oauth2 如何鉴别Token是否有效

热门推荐

紫眸的博客

09-20

1万+

版本 Spring Security Oauth2 : 2.3.5.RELEASE Spring Boot 2.1.3 Spring Boot Starter: 2.1.3.RELEASE 解决思路 Spring Security 的两大功能认证和鉴权，通过FilterChain（过滤器链）实现的，不同的请求经过不同的过滤器链。 Spring Security Oauth2 增加了拓展的过滤器...

IDaaS储备知识2 - 基于OAuth 2的OIDC认证

qq_26377811的专栏

05-08

912

OAuth2基于OAuth2的认证什么是认证（Authentication）？使用OAuth进行认证的常见误区Access Token作为身份认证的证明访问受保护的API作为身份认证的证明基于OAuth的用户认证的标准：OpenId Connect(OIDC)ID TokensUserInfo Endpoint动态服务发现以及客户端注册OIDC 主要术语OIDC 工作流程认证OIDC 会话管理基于OAuth2的认证 OAuth 2.0 规范定义了一个授权（delegation）协议，对于使用Web的应用程

Oauth2.0实现token刷新功能（二）

康小虎的博客

04-22

4689

文章目录前言直接上代码总结前言之前写过一篇“Oauth2.0实现token刷新功能”，发现大家阅读的还是特别多，那个是基于Spring Cloud实现的刷新功能，现在将它改为基于普通过滤器实现token刷新。直接上代码基本思路还是跟之前一样，过滤器拦截请求验证token，token过期后请求单点登录服务器换取新的access_token和refresh_token，将两个token放到过滤器返回体的头部。从而不影响本次请求，同时还能在本次请求的过程中做到无痕刷新token。 @Override

oauth2.0源码分析之oauth/token申请令牌

保护我方程序员

09-02

4773

本期介绍的是在oauth2.0中 , 通过调用oauth/token接口 , 框架是如何给我们申请到JWT令牌的 , 内部做了些什么事情 ? 在分析源码之前 , 我们首先需要知道的是我们需要具备哪些调试条件 , 不然会发现许多奇奇怪怪的错误 (比如通过/oauth/token时出现401) 1.一张oauth2.0的内置表(oauth_client_details) 注意:这里的密码需要用Bcript加密 , 因为源码内部是用Bcript解密的 2.两把钥匙: 一本是后缀为jks的私钥另一本是后缀为k

利用oauth2生成token

06-10

OAuth2生成Token的过程通常是用户登录成功后，向授权服务器发送授权请求，授权服务器验证用户身份并生成Token，然后将Token返回给客户端。客户端在接下来的请求中使用Token进行身份验证和授权。以下是一个基于Spring Security OAuth2的Token生成示例: 1. 添加Maven依赖 ```xml <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.4.0.RELEASE</version> </dependency> ``` 2. 配置OAuth2服务器 ```java @Configuration @EnableAuthorizationServer public class OAuth2AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private DataSource dataSource; @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.jdbc(dataSource); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.authenticationManager(authenticationManager); } } ``` 3. 配置Spring Security ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().antMatchers("/oauth/**").permitAll().anyRequest().authenticated().and().csrf().disable(); } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } } ``` 4. 添加授权请求 ```java @Controller @RequestMapping("/oauth2") public class OAuth2Controller { @Autowired private TokenStore tokenStore; @RequestMapping(value = "/token", method = RequestMethod.POST) @ResponseBody public ResponseEntity<?> getToken(@RequestParam("username") String username, @RequestParam("password") String password) { UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username, password); OAuth2Authentication authentication = (OAuth2Authentication) authenticationManager.authenticate(authenticationToken); OAuth2AccessToken token = tokenStore.getAccessToken(authentication); return ResponseEntity.ok(token); } } ``` 以上代码仅供参考，具体实现需要根据实际场景进行调整。