OAuth2的初步了解

最新推荐文章于 2024-10-31 19:00:00 发布
最新推荐文章于 2024-10-31 19:00:00 发布
阅读量379 收藏
点赞数 1
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Embra_ce/article/details/107954124
版权

为什么会出现OAuth?

授权机制,用于授权第三方应用,获取用户数据, 第三方应用无需用户输入账号密码即可获取访问用户信息资源服务器的权限。

OAuth1.0和OAuth2.0的区别

1.0缺点:1.0中使用的是http协议,容易遭受中间人攻击,伪造回调地址,拿到用户访问令牌。

1.0a中改善了这一点,增加了签名过程攻击者无法伪造回调地址,无法拿到用户访问令牌,但是签名过程增加了复杂度,且实用性不高。

2.0改进:

  1. 去掉签名,使用SSL(https)保证安全性。
  2. 所有的token不再有对应的secret,签名过程简洁,这也直接导致2.0不兼容老版本。
  3. 能更好的支持不是基于浏览器的应用。
  4. 令牌是短命的,且有刷新令牌的机制。

 

OAuth2的四种授权模式

授权码模式

  1. 授权流程如下图所示:授权码模式是功能最完整,授权流程最严密的授权模式,通常运用在公网的开放平台里。
  2. 授权过程中,有几个角色需要定义定义,授权的过程是用户、被授权的服务、授权服务器、资源服务器,被授权的服务相对于授权服务来说就是客户端(这里包含被授权服务的前端和后台两个部分),在较大的公司会讲究职责单一,那么认证服务器和资源服务器就是两个不同的系统,认证服务器专门用户授权,资源服务器用户保存用户信息。而一般较小企业可能这两个服务器就合并在一起。

所以上边所提到的和下图所展示的角色对应关系就是:

  1. 用户-资源拥有者(Resource Owner)
  2. 被授权服务-客户端(Client)
  3. 认证服务器-认证服务器(Authorization Server)
  4. 资源服务器-资源服务器(Resource Server)

授权码模式的流程大概分为以下几个步骤:

1.用户访问客户端,客户端将重定向到认证服务器。(重定向给认证服务器时,会提前传递一个重定向的uri,用户用户授权后,将code传递回去)。

2.用户选择是否授权给客户端。

3.用户选择授权,则认证服务器将重定向到客户端提前准备的重定向uri,上边步骤2提到的,并附上一个code(授权码)。

4.客户端收到code,附上早先的重定向uri和code,请求认证服务器申请令牌,这一步是在后台实现的,对用户不可见。

5.认证服务器收到授权码和重定向uri之后,校验无误,发送访问令牌和刷新令牌。

6.客户端携带访问令牌,去资源服务器,获取用户数据。

根据微信开放平台的授权过程进行举例说明

微信开放平台的授权流程如上图

我们授权访问流程如下:

 

1.前端请求/authonization/weixin接口,该接口重定向到微信授权认证页面: https://open.weixin.qq.com/connect/qrconnect?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect 并且传入重定向uriREDIRECT_URI

2.用户扫码,并在手机端确认授权登录,微信服务端生成授权码code,重定向到REDIRECT_URI,并带上code。REDIRECT_URI?code=CODE&state=STATE。

3.重定向接口中,拿到授权码,根绝在微信开放平台申请的appid和appsecret申请令牌,这步骤在后端接口操作,对前端不可见。

https://api.weixin.qq.com/sns/oauth2/access_tokenappid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code

拿到访问令牌后,即可获取该用户的基本信息。

简化授权模式

简化授权模式这种方式,允许直接向前端颁发令牌,这种方式没有授权码的步骤

1.用户访问客户端,客户端将用户重定向到认证服务器,并附上重定向uri.

https://b.com/oauth/authorize?response_type=token&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read

2.等待用户授权

3.用户授权通过后,认证服务器重定向到客户端的uri并拼接认证令牌到uri的锚点

https://a.com/callback#token=ACCESS_TOKEN, 注意令牌的位置是uri的锚点,不是查询字符串,这是因为OAuth2.0允许浏览器跳转的网址是HTTP协议,因此存在中间人攻击,而浏览器跳转,锚点不会转发到服务器,就减少令牌泄露的风险。这种方式直接把令牌发送给了前端,是不安全的,这种模式应用于对安全性要求不高的场景,且令牌的有效期很短,一般是会话有效,浏览器关闭后令牌就失效了。

密码模式

密码模式的认证方式是若你高度信任某个应用,你就可以告诉他你的账号密码,该应用就是用你的账号密码申请令牌。

这种方式的步骤是:

1.客户端要求用户提供在资源服务器的账号密码。

2.用户提供账号密码

3.客户端那用户的账号密码向认证服务器请求令牌。

4.认证服务器拿到账号密码经过认证后,颁发访问令牌,这一步无需跳转,认证服务器以json字符串的方式进行将令牌返回。

这种方式需要用户给出自己的账号密码,显然风险很大,因此只适用于其他授权方式都无法采用的情况下,而且必须是高度信任的应用。

凭证式(客户端模式)

适用于没有前端应用,即在命令行下请求令牌。

1.客户端在命令行向认证服务器发出请求

https://oauth.b.com/token?grant_type=client_credentials&client_id=CLIENT_ID&client_secret=CLIENT_SECRET,grant_type=client_credentials用于表明使用凭证式。

2.认证服务器认证客户端身份以后,直接返回令牌。

这种情况给出的令牌是提供给第三方应用的,不是针对用户的,所以可能多个用户共享一个令牌。

总结:

授权码模式,更安全授权流程更严密,授权码有有效期10分钟并且只能使用一次,即使授权码被截获,但是授权码是和客户端进行绑定的,所以被截获后也无法直接获取到用户令牌。

简化授权模式,令牌直接办法给了浏览器,不安全,如何防止攻击,尽量使用htts请求,并且用户令牌被放在锚点而不是querystring,跳转时不会被转发到服务器。

密码模式,直接使用用户账号密码获取授权,必须是用户高度信任的应用并且是其他授权方式都无法使用的情况,去使用的一种授权方式。

凭证模式(客户端模式):针对于第三方应用而不是个人用户。

 

为什么授权方式后边添加state就能防止CSRF(跨站请求伪造)攻击,CSRF攻击是利用网站对网页浏览器的新任,攻击者主要做的就是欺骗用户浏览器,以用户的名义进行操作,state参数能标记这是来自哪个网站的请求,攻击者拿不到这个参数因此可以避免CSRF攻击。

文章总结自:

阮一峰:http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

Coding10:http://www.coding10.com/section/oauth2-brief-roles-in-system

https://blog.youkuaiyun.com/ivolcano/article/details/90414175

 

微服务之权限认证 OAuth2.0
SuperStonne的专栏
11-10 1510
随着互联网技术的发展,微服务架构已经成为每个互联网公司的标配。伴随着服务粒度的细化,服务的安全和鉴权问题,以及客户端与服务之间的认证问题已经成为必不可少的一项工作。说起认证和鉴权,那怎么少得了 OAuth 2.0 协议呢? 火锅店旁边的照片打印机 这个案例想必大家都遇到过,在商场里面或者餐馆门口会看到一些可以打印照片的设备。想要设备打印出照片那么必须传输照片给设备,但是假如此时由于你的手机设备存...
【Spring Security OAuth2】客户端授权模式(client credentials)~授权服务配置
不务正业的野猴子
08-25 8727
基于Spring Boot 2.1.7.RELEASE 参考资源: OAuth 2 Developers Guide 授权服务配置 添加一个实现了AuthorizationServerConfigurer接口的实现类使用@EnableAuthorizationServer注解进行标注 AuthorizationServerConfigurer接口的实现类是AuthorizationSer...
实现OAuth2.0服务端【授权码模式(Authorization Code)】
u014386474的博客
06-07 4万+
要实现OAuth服务端,就得先理解客户端的调用流程,服务提供商实现可能也有些区别,实现OAuth服务端的方式很多,具体可能看http://oauth.net/code/ 各语言的实现有(我使用了Apache Oltu): Java Apache OltuSpring Security for OAuthApis Authorization Server (v2-3
OAuth2授权框架的四种授权方式详解
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
12-24 7257
OAuth 2是一种授权框架,允许第三方应用通过用户授权的形式访问服务中的用户信息,最常见的场景是授权登录;再复杂一点的比如第三方应用通过 Github 给开发者提供的接口访问权限内的用户信息或仓库信息。OAuth2 广泛应用于 web 、桌面应用、移动 APP 的第三方服务提供授权验证机制,以此实现不同应用间的数据访问权限。下面分别从不同角色、授权类型、使用场景及流程的纬度详细介绍 OAuth2
小白也能看懂的OAuth2讲解
wendao76的专栏
09-30 5019
OAuth 2是一个重要的授权框架,它通过颁发令牌的方式实现了第三方应用对用户资源的访问控制,提高了系统的安全性和用户隐私保护。然而,使用OAuth 2也需要注意其对接流程的复杂性、安全漏洞的风险以及兼容性问题。在实际应用中,应根据具体场景选择合适的授权模式,并加强令牌管理和授权控制,以确保系统的安全性和稳定性。在OAuth2中,访问令牌(access token)具有时效性,即它们会在一段时间后过期。
OAuth2 详细介绍!
weixin_52834606的博客
09-22 1万+
OAuth2 , Spring Security OAuth2 , JWT
Springsecurity Oauth2 设置token的过期时间
qq_44605317的博客
06-17 2万+
1.设置token的过期时间 如果我们是从数据库来读取客户端信息的话 我们只需要在数据库设置token的过期时间 client_id:客户端的id resource_ids:资源服务器的id,多个用,(逗号)隔开 client_secret:客户端的秘钥 authorized_grant_types: ...
symfony4-oauth2-服务器联盟
02-06
在项目"symfony4-oauth2-server-league-step1"中,可能包含了初步的配置和设置,例如初始的OAuth2 Server配置文件、路由定义、控制器代码等。后续的步骤可能涉及更多的功能实现,如扩展OAuth2 Server以支持自定义...
Spring Security oauth2 实践教程:搭建与配置
标题“Spring Security oauth2”指向了一个与Spring Security OAuth2.0相关的项目或...通过这个项目的实例,我们能了解如何构建和配置一个OAuth2授权系统,并初步理解了该项目后期可能要进行的安全性和性能优化工作。
Spring Boot/Cloud中Oauth2分布式鉴权教程
- 对OAuth2协议有初步了解 使用IntelliJ等IDE工具可以提高开发效率,因为它们提供了代码提示、项目管理和调试的功能。在实际操作中,学习者将会了解到如何配置客户端应用、如何设置资源服务器的保护规则、以及如何...
spring oauth2 让某个账号token过期
qq_34884729的博客
05-28 6208
终于要折腾oauth2了,感觉平常顺便玩玩还真没什么难度,但对于一些定制功能,什么N种账号类型,什么自定义返回体之类云云。浪费个几小时弄出下面一玩意,算是补充一下知识,在网上搜了一圈感觉也别人说--让某个账号token过期(带redis)。 打开工具看到那几个存在redis的令牌,顺便删一个,要不登录不了,要不访问不了,删不全就是麻烦,让他自己带token访问自己登出倒是简单,但对于管理权限系统...
radmin提示授权码过期_OAuth 2 是什么-带你搞懂授权码流程
weixin_39769039的博客
11-29 4331
简介授权码流程是OAuth 2中最常被使用以及最经典的一种流程。这种flow中涉及到的大部分是基于服务器端渲染的客户端。比如大部分浏览器显示的页面就是基于服务器端生成的页面渲染,这种场景下页面的内容并不取决于客户端(也就是浏览器)而是由服务器端控制。用户授权给应用服务器访问资源服务器中的资源当我们打开一个页面应用,这个页面想要访问一个我们在其他服务器上的资源。但是我们并不希望将我们访问这个资源的用...
OAuth2 原理与机制详解及应用案例
最新发布
J老熊
10-31 3436
OAuth2 是安全授权开放标准协议,能让第三方应用安全访问用户资源。包括资源拥有者、客户端、资源服务器和授权服务器。有多种授权模式,其中授权码模式常见。在 Spring Boot 中结合 JWT 实现短信验证登录。包括生成验证码、校验并生成令牌等。OAuth2 安全性很重要,需 HTTPS 传输、保护令牌、限制生命周期、基于作用域控制权限等,全方位保障授权安全与应用稳定。
微信oauth2网页授权code过期
vegetable_king的专栏
08-27 1万+
最近开发微信客户端项目时遇到
OAuth2】详细讲解
Huang_Ds的博客
06-30 2万+
Oauth2的基本概念与四种认证模式的详细讲解 ​​​​​​​
oauth2基本概念
qq_31211493的博客
03-21 1万+
1.什么是oauth2 OAuth2.0介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点:简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使
轻松将现有用户迁移到Auth0
04-06 300
用户迁移是一个可怕的,有时是不可避免的任务是困难的开发商,不方便用户,和昂贵的企业主。 需要迁移从一个服务或平台的用户另一个可以从任意数量的原因,干:目前正在使用的身份提供商正在关闭,您的企业不再希望管理用户自己,语言或框架的变化,许多其他原因。 Auth0旨在提供最佳的认证和身份管理平台,简单,方便开发者的工作与。 在Auth0平台的一个主要特点是迁移任何现有数据源到Auth0用户无需通过要...
OAuth2.0的简要介绍和四种授权方式
Aprilyang42的博客
07-19 689
OAuthOAuth含义OAuth授权方式介绍第一种授权方式:授权码第三种方式:密码式第四种方式:凭证式刷新令牌 OAuth含义 OAuth是一种授权机制,数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的令牌(token)用来代替密码,供第三方应用使用。 令牌和密码的作用是一样的,都可以进入系统,但有三点差异: 1.令牌是短期的,到期会自动失效,用户无法修改。密码一般长期有效,用户不修改,就不会发生变化。 2. 令牌可以被数据所有者撤销,会立即失效。 3. 令牌有权限范
Re:从零开始的Spring Security Oauth2(一)
热门推荐
徐靖峰的专栏
08-08 8万+
前言今天来聊聊一个接口对接的场景,A厂家有一套HTTP接口需要提供给B厂家使用,由于是外网环境,所以需要有一套安全机制保障,这个时候oauth2就可以作为一个方案。关于oauth2,其实是一个规范,本文重点讲解spring对他进行的实现,如果你还不清楚授权服务器,资源服务器,认证授权等基础概念,可以移步理解OAuth 2.0 - 阮一峰,这是一篇对于oauth2很好的科普文章。 需要对spring
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值