【OAuth2】OAuth2概述及使用GitHub登录第三方网站

原创 已于 2023-07-19 14:54:17 修改 · 3.2k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#github #web安全 #spring boot #spring

于 2023-07-19 01:11:02 首次发布
OAuth2是一种开放标准,允许用户让第三方应用访问其存储在另一服务提供者的资源,而无需分享用户名和密码。文章详细介绍了OAuth2的四种授权模式,包括授权码模式、简化模式、密码模式和客户端模式,并以GitHub授权登录为例,展示了如何在实际开发中应用OAuth2。

【OAuth2】OAuth2概述及使用GitHub登录第三方网站

文章目录

0. 导言

我们在浏览器上可以访问成百上千个网站,使用每个网站的服务一般都要先注册账号,那么我们为了更好地记忆,一般都会在多个网站使用相同的账号和密码进行注册。那么问题就来了,如果在你注册的网站中有某些个网站的系统设计不够严谨和安全,数据库的用户信息使用明文存储,那么一旦这个网站遭到攻击或者是数据泄露,那么一些不怀好意的人就可能通过使用这些泄露的数据“撞库”,刚好就登录了你使用相同账号密码注册的其他网站。那么你的权益就有可能会受到损害。

由此行内大佬们便提出了 OAuth

1. OAuth2 简介

OAuth 是一个开放的非常重要的认证标准/协议,允许用户授权第三方应用访问其存储在其他网站上资源,而无需将用户名密码提供给第三方网站的开放标准/协议。OAuth2 是 OAuth 的最新版本,同时也是被广泛应用的一个版本。我们在网站上常见的QQ登录,微信扫码登录,GitHub 授权登录就是基于 OAuth2.0 实现的。

官方文档:点击跳转

2. OAuth2 认证授权总体流程

整体认证授权流程如下:

image-20230719005809202

从这张图中我们可以看出,整个 OAuth2 的认证授权流程中有4个不同角色

  1. Client:客户端,也就是第三方网站(相对于认证网站来说)。
  2. Resource Owner:资源拥有者,也就是“我”。
  3. Authorization Server:认证服务器或者说授权服务器。
  4. Resource Server:资源服务器。

3. OAuth2 标准接口

  • /oauth/authorize:授权端点

  • /oauth/token:获取令牌端点

  • /oauth/confirm_access:用户确认授权提交端点

  • /oauth/error:授权服务错误信息端点

  • /oauth/check_token:用于资源服务访问的令牌解析端点

  • /oauth/token_key:提供公有密匙的端点,如果使用JWT令牌的话

4. OAuth2 四种授权模式

4.1 授权码模式

授权码模式(Authorization Code):这是最常用的授权模式。在模式下,用户通过将重定向到授权服务器来进行身份验证,并获一个授权码。然后,应程序使用授权码与授权服务器进行交互,以获取访问牌和刷新令牌。访问令牌用于问受保护的资源,而刷新令牌用于获取新的访问令牌。微信扫码登录就是典型的授权码模式。

授权码模式的授权流程如下图所示:

image-20230719104342112

具体流程如下:

  • (A)用户访问第三方应用,第三方应用通过浏览器导向认证服务器。

  • (B)用户选择是否给予客户端授权。

  • (C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。

  • (D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。

  • (E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

核心参数(假设第三方网站的地址为:wx.com):

https://wx.com/oauth/authorize?response_type=token&client_id=CLIENT_ID&redirect_uri=http://www.baidu.com&scope=read
字段 描述
client_id 授权服务器注册应用后的唯一标识
response_type 必须 固定值 在授权码中必须为 token
redirect_uri 必须 通过客户端注册的重定向URL
scope 必须 令牌可以访问资源权限
state 可选 存在原样返回客户端 用来防止 CSRF跨站攻击

申请令牌的请求示例(地址栏中的client表示client_id,secret表示密钥值):

image-20230719111448587

刷新令牌请求示例:

image-20230719111519773

4.2 简化模式

简化模式(Implicit Grant):简化模式不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了"授权码"这个步骤,因此得名。所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。其具体的授权流程如图所示

最低0.47元/天 解锁文章
OAuth2 集成:通过 Spring Security 实现单点登录第三方登录
**My Coding Family**
06-04 1152
🏆本文收录于「滚雪球学SpringBoot」专栏,手把手带你零基础入门Spring Boot,从入门到就业,助你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!
前言技术之Oauth2全方面介绍
m0_53151031的博客
03-25 4475
一、Oauth2基本概念 1、定义 Oauth2是目前最流行的授权机制,用来授权第三方应用,获取用户数据 2、场景带入 1、外卖场景 一户人家住在一个大型居住小区,小区有门禁系统,进入小区需要输入密码,这户人家经常性点外卖,必须让外卖人员进入到小区,如果把密码告诉外卖人员,这样的话,他就和户主拥有了一样的权限,这样安全隐患太大,给了外面人员密码之后,为了安全,必须要进行修改密码,这就很麻烦。 这时候Oauth2就诞生了,外卖人员的职责只是送货,没必要知道小区密码 ...
OAuth 2.0:安全授权的核心指南
最新发布
技术分享
10-29 2037
OAuth(开放授权)是一种行业标准授权协议,允许用户授权第三方应用访问他们存储在另一个服务提供商上的信息,而无需向第三方应用暴露他们的凭证(如用户名和密码)。选择合适的授权类型- 优先使用授权码+PKCE实施严格的安全控制- HTTPS、令牌验证、范围限制遵循最佳实践- 合理的令牌生命周期、清晰的用户授权界面持续监控和更新- 安全威胁在不断演变🚀行动建议:对于新项目,建议直接使用成熟的OAuth 2.0解决方案(如Auth0、Keycloak、AWS Cognito等),而非从零开始实现。
Spring Security OAuth2详解
qq_33814479的博客
10-12 7646
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
鉴权 OAuth 2.0的实现(Spring_Security_Oauth2
qq_25156781的博客
01-28 4121
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
Github第三方OAuth2.0)登录
08-31
含有详细文档+开放Demo实例。使用C#语言开发,MVC框架调用Github第三方登录OAuth2.0接口。 详细介绍相关开发步骤信息。
GitHub OAuth2 第三方登录及自定义认证服务器的实现
庄周de蝴蝶的博客
11-21 3297
前言 本文将介绍如何访问基于OAuth2协议的GitHub用户信息API接口以及如何自己实现一个简单的基于授权码模式的认证服务器,如果对OAuth2的基本概念和四种授权模式还不熟悉,可以先看一下阮一峰老师的博客:OAuth 2.0 的一个简单解释,本文则主要以实际的demo来讲解使用方法。本文所展示示例的完整代码已上传到GitHubGitHub 第三方登录 前置准备 在访问Github的API接口之前,需要先访问https://github.com/settings/applications/new,然
基于C#实现的第三方OAuth2授权登录源码
09-25
该项目为C#语言编写的第三方OAuth2授权登录解决方案源码,共包含24个文件,其中19个为C#源文件。支持QQ、微信开放平台、微信公众平台、微博、淘宝、支付宝、钉钉、飞书、码云、GitHub、微软、StackOverflow和谷歌等...
spring-boot集成spring-security的oauth2实现github登录网站的示例
08-28
首先,Spring Security 里自带了 OAuth2,正好 YIIU 里也用到了 Spring Security 做权限部分,那为何不直接集成上第三方登录呢?然后,我开始了折腾注意:本篇只折腾了 Spring Security OAuth2 的客户端部分,Spring...
Java Web第三方登录实现详解(基于OAuth2.0,涵盖Github与QQ登录,附带完整源码)
11-05
Java Web应用中的第三方登录是一种常见的用户身份验证方式,它允许用户使用已经在其他知名服务(如GitHub或QQ)上建立的账号来登录你的网站,而无需创建新的账户。本项目是基于OAuth2.0协议实现的第三方登录功能,...
大白话唠唠 Oauth2 与授权认证的那些事儿!
石杉的架构笔记
11-26 1641
我的新课《C2C 电商系统微服务架构120天实战训练营》在公众号儒猿技术窝上线了,感兴趣的同学,可以长按扫描下方二维码了解课程详情:课程大纲请参见文末出处:https://kefeng....
OAuth 2
xbcai1的博客
05-30 603
OAuth 2,授权框架
GitHub OAuth第三方登录示例教程(Node后端)
weixin_53510183的博客
08-03 2800
用户确定授权后,会跳转到自己创建的回调地址,我们可以在回调地址内填写自己需要的相关操作。网站让用户提供第三方网站的数据,证明自己的身份。获取第三方网站的身份数据,就需要。接下来就是在路由内继续添加自己的需求,可以是将用户信息保存在数据库。以及将你本次的登录状态保存,下一次再测试将不会经过你授权。浏览器访问http://localhost:3000。到这里相关信息就出来了,可以看到用户名,头像链接.示例的首页很简单,就是一个链接,让用户跳转到。保存起来,后面的请求都需要添加。登录,背后就是下面的流程。....
Oauth2
wyqiang的专栏
12-23 282
-- used in tests that use HSQL create table oauth_client_details ( client_id VARCHAR(256) PRIMARY KEY, resource_ids VARCHAR(256), client_secret VARCHAR(256), scope VARCHAR(256), authorized...
OAuth2
m0_52462015的博客
09-19 210
一、OAuth2 解决什么问题 1、OAuth2 提出的背景 照片拥有者想要在云冲印服务上打印照片,云打印服务需要访问云存储服务上的资源。 某个服务想访问某个用户的某个资源,但是不能完全放开权限,这样不安全2、图例 资源拥有者:照片拥有者 客户应用:云打印 受保护的资源:照片 3、方式一:用户名密码复制 适用于同一公司内部的多个系统,不适用于不受信的第三方应用。 4、方式二:通用开发者 key 适用于合作商或者授信的不同业务部门之间。 5、方式三:颁发令牌 接近 OAuth2
OAuth2详解及Github OAuth2实践
qq_61887118的博客
10-07 1063
OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。"客户端"不能直接登录"服务提供商",只能登录授权层,以此将用户与客户端区分开来。"客户端"登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。 "客户端"登录授权层以后,"服务提供商"根据令牌的权限范围和有效期,向"客户端"开放用户储存的资料。
OAuth2.0的学习(github第三方登录实现)
2303_79193769的博客
09-24 2448
OAuth 2.0允许用户授权第三方应用程序访问其受保护的资源,而无需共享其凭据(例如用户名和密码)。这样可以大大降低用户的安全风险,因为用户不必将其敏感凭据直接提供给第三方应用程序。OAuth 2.0通过简化用户授权过程,提供了更好的用户体验。相比传统的用户名和密码验证,OAuth 2.0使得用户无需在每个第三方应用程序中输入其凭据,而只需在授权服务器上一次性授权即可。这大大简化了用户的操作流程,提高了用户体验。以上就是我对OAuth2.0的一些学习记录。求关注啊!!!
手摸手接入Github实现Oauth2第三方登录
m0_63378258的博客
12-20 1604
Oauth2实现的原理就是拿code去换第三方的token,然后再用token去获取用户信息,看起来很容易,但是实现起来有点麻烦,其实也不是难,就是麻烦,你需要去看每个厂商的api文档,每一个还都不一样,就比如github和gitee。我想大家在实现时也会常常出现接口超时,没有办法,我的代码在本地不会超时,但是部署在华为云服务器上就反复报接口超时,后面我也会进行优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值