OAuth2.0是一种授权标准,用于在客户端与服务提供商之间建立授权层。它包括授权码、隐式、密码和凭证四种授权模式。授权码模式适用于有后端的Web应用,隐式模式面向前端应用,密码模式允许直接使用用户凭证,凭证模式适用于命令行应用。标准流程涉及用户授权、获取AccessToken和访问资源。OAuth2.0确保了在不同业务系统间安全地共享用户信息。
常见的单点登录有五种协议——OIDC、OAuth 2.0、SAML2、CAS 3.0、LDAP 为标准认证协议。标准协议会按照特定的方式传递用户信息,正规的业务系统产品都会支持标准协议,使用标准协议对接可以一劳永逸地完成对接。
OAuth是一种关于授权(Authorization)的开放网络标准,是目前最流行的授权机制,在客户与服务商之间,设置授权层。客户必须先登录授权层,此时服务商会向客户授权令牌的权限及使用期限,然后客户才能登录服务商,使用其服务。
目前最新的版本为 OAuth 2.0 版,主要有四个主体:
- 授权服务器,负责颁发访问令牌(Access Token),Authing 是授权服务器。
- 资源所有者,应用的用户是资源的所有者,授权其他人访问其资源。
- 调用方,调用方请求获取访问令牌(Access Token),经过用户授权后,Authing 为其颁发访问令牌(Access Token)。调用方可以携带访问令牌(Access Token)到资源服务器访问用户的资源。
- 资源服务器,接受访问令牌(Access Token),然后验证它的被赋予的权限项目,最后返回资源。
OAuth 2.0 有四种授权模式:
- 授权码(Authorization-code):指的是第三方应用先申请一个授权码,然后再用该码获取令牌。该方式是最常用的流程,安全性也最高,它适用于那些有后端的Web 应用。
- 隐藏式(Implicit):该模式面向纯前端应用,App 认证服务器只返还一次授权码。
- 密码式(Password):允许客户端或者第三方应用,直接使用用户的账号密码进行令牌的获取。该方式在用户端应用广泛。
- 凭证式(Client credentials):适用于没有前端的命令行应用,即在命令行下请求令牌。该方式操作简单,只需要发送客户请求,即可获得访问令牌(Access Token),但这种方式非常不安全,需要对客户端完全信任,且客户端本身需要具备安全性。
常见的 OAuth 2.0 授权流程如下:
- 在你的应用中,让用户访问登录链接,浏览器跳转到 Authing,用户在 Authing 完成认证。
- 浏览器接收到一个从 Authing服务器发来的授权码。
- 浏览器通过重定向将授权码附带在重定向地址后面。
- 你的应用服务将授权码发送到 Authing 获取AccessToken,如果需要,还会返回 refresh token。
- 你的应用后端现在知道了用户的身份,后续就可以保存用户信息,重定向到前端其他页面,使用 AccessToken 调用资源方的其他 API
等等。
扫一扫
812
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
