OAuth2.0概念学习总结和理解

最新推荐文章于 2023-03-18 14:16:19 发布
最新推荐文章于 2023-03-18 14:16:19 发布
阅读量217 收藏 1
点赞数
分类专栏: 信息安全技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy103118/article/details/110484545
版权

OAuth2.0 学习总结
OAuth全名: Open  Authorization  (开放授权协议) ,OAuth2.0指的是开放授权协议的2.0版本

open authorization  开放授权协议:是一个安全开放的授权协议,是一个应用层协议,其作用和目的是  保护资源  (保护资源的安全发放!)且具有安全开放授权,安全开放的资源使用保护协议

本质:强调且聚焦于“授权 ”功能的身份认证协议及资源保护策略协议

第三方资源使用者,通过资源拥有者的安全开放的授权模式下(OAuth2.0的协议流程),第三方资源使用者再无需触及资源拥有者的原始身份凭据(最高级别的身份认证信息:用户名+密码)的情况下,可以通过资源拥有者的授权安全有限有效的使用相关资源拥有者的私有资源 !这就是OAuth2.0协议给我们带来的好处!(授权模式安全!开放!轻量!)

 

Open Authorization 2.0协议有如下规定(约定)定义:

1:资源拥有者:通常是一个人(一个账户或者说是一个用户)

 ,资源是属于用户的,用户将属于他的资源放在了资源服务器上,资源服务器上能够识别用户身份凭证AccessToken(身份令牌)的合法性

----------------------------------------------

2:资源服务器:能够提供资源或者服务的服务器,用户在资源服务器上存放了属于特定用户的资源,用户的这些资源是受资源服务器保护的,只有用户的身份信息被资源服务器认证通过后相关合法用户才能够访问其对应的资源与服务。资源服务器有能力对用户身份信息做合法性认证(校验)(身份认证比对)资源服务器能够对用户有效身份凭据(用户名+密码或者是AccessToken访问令牌)进行认证(合法性校验)

资源的形式是多种多样的只要保证两个约束就行(1)资源是属于某一个用户的(2)要访问属于某一个用户的资源必须通过资源服务器的用户身份信息认证后才能够访问这些资源

—————————————————————————————— 

3:授权服务器:能够核实授权码或者说能够鉴权,鉴定用户授权的内容是否合法的这么一台服务器,比如用户给一个东西授权了说这个东西暂时要代替用户本尊我去上资源服务器上查一个东西,那么用户应该给这个东西一个授权凭据,说明这个东西是用户授权过的,被授权的东西拿着用户给它授权的凭据,到授权服务器跑一下,授权服务器就知道了授权凭据的真伪,若授权凭据经授权服务器鉴定是真的,那么授权服务器就会返回一个AccessToken(访问令牌)给被授权者,被授权者拿着这个访问令牌AccessToken就可以代表用户到资源服务器上去查找用户的资源了,(被授权者拿着AccessToken令牌到资源服务器上讨资源去了)

授权服务器是用户为其他客户端应用授权的授权工具!!有了授权服务器用户才能进行授权,用户会用自己的合法身份凭据登录授权服务器进行授权操作,当身份认证通过后,授权服务器会给用户提供一个授权码,客户要把这个授权码直接或者间接传递给被授权者(通常是向用户申请授权的第三方应用(客户端应用)),被授权者持着用户给它的授权码,向授权服务器换取用户的身份令牌AccessToken (这个东西代表了用户的合法身份且资源服务器能够对AccessToken进行认证有效性检查)

 

 

——————————————————————————

4:客户端应用:想要得到用户授权,并想暂时代表用户本尊,想要从资源服务器获取属于特定用户资源的这么一个贪婪的第三方应用程序!他要是想代表用户去到资源服务器上找资源,必须要得到用户的授权才行,用户授权这个客户端应用的时候通常会通过某一种手段提供个合法授权码给这个客户端应用,客户端应用拿着授权码去到授权服务器上讨AccessToken,只有AccessToken才能代表用户在资源服务器上的合法身份,授权码仅仅是代表的到了用户授权的一种凭据,资源服务器不认授权码只认AccessToken,授权服务器才认 授权码, 授权码会和用户身份凭据(用户名+密码)及 (AccessToken)绑定,当第三方应用向授权服务器发送提供用户给他的授权码的时候,授权服务器会根据授权码取到对应的用户身份凭证AccessToken并送给这个第三方客户端应用!让第三方客户端应用可以代表具体用户了,得到了AccessToken的第三方客户端应用就得意了,他能够向资源服务器讨用户的资源了,因为谁有了AccessToken谁就代表了用户本尊附体!

——————————————————————————————————————

5:资源拥有者代理:代表用户的动作行为的一个工具(可以理解为用户在某一领域中的化身)在网络中这个化身通常是浏览器,总之能够代表用户的这么一个东西或者对象,

可以理解为用户的分身,用户使用浏览器和授权服务器进行交互的,也不能让一个人用喊话的方式跟服务器大呼小叫吧,用户代理通常就是个GUI工具

6:用户身份信息 (1用户名密码,2身份令牌(AccessToken))通常是这两种形式

————————————————————————————————————————————————

协议图形化描述:

如下是协议的抽象描述,具体实现还得看具体的软件工具产品的具体实现,协议之与协议软件,就是协议的抽象概念和具体的软件产品的具体实现,一般都会有行为神似但是具体做法会随着具体软件产品的实现稍有不同

 

brave_zhao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OAuth2.0协议中文版.pdf
03-27
OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。
OAUTH2.0+OpenLDAP技术框架
01-09
OAUTH2.0+OpenLDAP技术框架,及适用场景,综合价值等PPT文档,可修改!!!
SpringSecurity学习(八)OAuth2.0、授权服务器、资源服务器、JWT令牌的使用
Huathy的博客
03-18 3439
OAuth2协议、授权服务器搭建、资源服务器搭建、JWT令牌的使用
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
本篇文章主要介绍了Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Java的oauth2.0 服务端与客户端的实现 (完整源码、demo)
09-14
Java的oauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:oauthserver和oauthclient01,分别对应oauth服务端和客户端。 服务端对应的数据库sql文件在源码压缩包里可以看到。 两个项目分别用8082端口(服务端端口)和8081端口(客户端端口)部署并启动。 输入客户端地址:http://localhost:8081/oauthclient01/
OAuth2.0学习总结
Dream it Possible
09-08 1200
一. 什么是OAuth2.0 OAuth2.0是OAuth协议的下一版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。同时为Web应用,桌面应用和手机,和起居室设备提供专门的认证流程。 二. OAuth2.0有什么用 ...
OAuth2.0学习
qq_43038960的博客
03-06 113
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。协议特点简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用;安全:没有涉及到用户密钥等信息,更安全更灵活;开放:任何服务提供商都可以实现OAuth,任何软件开发商都可以使用OAuth;
OAuth2.0学习笔记
w8897282的博客
09-04 1516
什么是OAuth 20 1-第三方登录 2-服务授权 3-基本概念明确 工作流程 整体示意图 客户端的授权模式 授权码模式 简化模式-密码模式-客户端模式 oAuth安全性分析 服务商分析什么是OAuth 2.01-第三方登录2-服务授权例如微信第三方应用要求用户微信授权: 例如百度地图、支付宝、豆瓣等第三方服务功能服务商提供的开发者平台里(以移动端为例),AppKey和SecretKey的使用,
OAuth2.0OAuth2.0 学习
qq_34416331的博客
06-12 409
一、OAuth2.0 介绍 1.1 OAuth 认证标准 OAuth(开放授权) 是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0 是 OAuth 协议的延续版本。 1.2 OAuth 和 OAuth2.0的区别 引用: https://blog.csdn.net/u013436121/article/details/23631885 1.3 OAuth2.0 认证流程 ..
OAuth2.0从入门到实战(附github地址)
Javaer
02-25 2208
Oauth2.0 从入门到实战,一篇文章搞懂第三方登录和SSO
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring Security结构总览,认证流程和授权,中间涉及到哪些组件,这些组件分 别处理什么,如何自定义这些组件满足个性需求。 OAuth2.0认证的四种模式?它们的大体流程是什么? Spring cloud Security OAuth2包括哪些组件?职责? 分布式系统认证需要解决的问题? 掌握学习方法,掌握思考方式。
什么是Oauth2.0Oauth2.0的四种授权模式
wxina
06-01 1833
Oauth2.0本身: Oauth2.0是一种授权协议,当然也归属为安全协议的范畴,在实际执行的时候就是保护互联网中不断增长的大量WEB API的安全访问。OAuth2.0共包含四种角色,分别是资源所有者、第三方应用(也称为客户端client)、授权服务器和资源服务器。如下图所示,某公司A开发了一个微信小程序(第三方应用)可以帮助我(资源所有者)美化微信服务器(资源服务器)上面的头像,我在用这个微信小程序开发的美化头像功能的时候,首先要给微信小程序授权(授权服务器),这个微信小程序才能访问我的头像,实际上访
Spring Security OAuth 2.0学习总结
Ybt_c_index的博客
08-01 7037
继上一篇Spring Security的文章,这次聊聊Spring Security OAuth 2.0,当然还是只能简单聊聊,比较基础和片面。 首先说一下主要参考的文章: 阮一峰的《理解OAuth 2.0》 徐靖峰的《Re:从零开始的Spring Security Oauth2系列》 Spring的《OAuth 2 Developers Guide》 也就是说,还是拾人牙慧。 OAu...
OAuth2.0 实现单点登录
qq15035899256的博客
03-17 1万+
本文是对OAuth2.0学习,了解了它的4种授权方式,学会了如何搭建验证服务器,使用 postman对四种模式作了接口测试。并且学会了资源服务器实现单点登录的两种方式,也成功解决了远程调用时没有携带 token 的问题。最后也学会了使用 JWT 存储 Token,大大提高了安全性。
OAuth2.0学习及浅析
daiwuliang的博客
05-11 225
概述 OAuth 2.0 授权框架能够是第三方应用获取应用被保护的服务资源,它是一种授权互联网标准,由IETF(Internet Engineering Task Force)管理发布。 本文主要参考材料为 RFC 6749 初步理解 接下来以一个生活中的例子来简单解释OAuth2的应用场景。 我家所在的小区门禁系统升级,用户可以下载物业的手机APP,注册用户并通过物业审核之后,就可以使用APP中的“蓝牙开门”功能开启大门。 有一次,朋友给我打电话说要到我家拜访,通过访客邀请功能填写基本的信息,然后发送一
Oauth2.0学习内容
shijinjins的博客
10-15 630
oauth2.0学习内容,及其四种授权方式,四种存储token方式
OAuth2.0详细介绍与实践(通俗易懂)
热门推荐
cV展示的学习园
11-07 4万+
Oauth2.0详细介绍及其实践
Spring Security OAuth2.0认证授权学习与使用~(更新中)
qq_36921288的博客
10-08 514
该内容还在持续更新。
OAuth 2.0 学习
崔二旦
03-16 1470
OAuth 2.0 学习
oauth1.0和oauth2.0的区别
最新发布
07-24
OAuth(Open Authorization)是一种用于授权的开放标准协议,允许用户授权第三方应用访问其受保护的资源。OAuth 1.0和OAuth 2.0是OAuth协议的两个不同版本,它们有以下几点区别: 1. 认证流程:OAuth 1.0使用了三个步骤的认证流程,包括请求令牌和访问令牌;OAuth 2.0简化了认证流程,只使用了一个访问令牌。 2. 安全性:OAuth 1.0在请求过程中使用了数字签名,提供了更高的安全性;而OAuth 2.0主要依赖于HTTPS来保证通信安全。 3. 扩展性:OAuth 2.0相对于OAuth 1.0更加灵活和可扩展,允许开发者自定义授权流程和令牌类型。 4. 支持范围:OAuth 1.0广泛支持各种应用场景,包括客户端应用、Web应用和移动应用等;OAuth 2.0在Web应用和移动应用方面更加成熟,但对于一些特殊场景(如客户端应用)可能需要进行扩展。 需要注意的是,虽然OAuth 2.0相对于OAuth 1.0有更多的优势,但它也引入了一些新的安全问题,如访问令牌的滥用和授权范围的管理。因此,在选择OAuth版本时,需要根据具体应用场景和需求进行权衡和选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值