OAuth2.0 里面的 state 参数是干什么的?

原创 已于 2024-03-03 19:58:07 修改 · 7.1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Oauth2.0

于 2021-12-24 09:24:40 首次发布

OAuth2.0 里面的 state 参数是干什么的?

1.OAuth 2.0 的四种方式

  1. 授权码

    常见于个人用户第三方登录,比如通过微信、QQ、钉钉登录第三方应用。获取临时的access_token

  2. 隐藏式

    见于没有后端的web应用

  3. 密码式

    信任的应用,暴漏密码,由第三方应用去模拟登录

  4. 凭证式

    常见于应用对应用。分发给应用clientId和clientSecret来实现。

第一种和第四种是较为常见的形式。

2.拿钉钉的第三方应用统一授权来举例

  1. 钉钉开发者后台添加应用,为应用分配钉钉登录功能,配置回调地址;为应用分配相应的人员以及通讯录权限。

  2. 配置钉钉授权登录地址

详细文档可参考钉钉开发文档

https://login.dingtalk.com/oauth2/auth?
redirect_uri=
&response_type=code
&client_id=
&scope=openid
&state=
&prompt=consent

各个参数的意义:
redirect_uri:就是在开发者后台所填的回调地址
client_id:就是开发者后台的应用标识
state:跟随authCode原样返回。

最低0.47元/天 解锁文章
开放平台实现安全的身份认证与授权原理与实战:OAuth2.0state参数以及它如何阻止CSRF攻击
AI天才研究院
11-03 450
作者:禅与计算机程序设计艺术 1.背景介绍 身份认证(Authentication)、授权(Authorization)、密码管理(Password Management),在当代互联网应用中占据着至关重要的作用。而在云计算、物联网(IoT)、区块链等新型科技革命带来的社会生产力的高度发展下,这些基
OAuth2.0实现单点登录的原理
summer_fish的专栏
06-06 3622
单点登录,英文是 Single Sign On,缩写为 SSO。多个站点(192.168.1.20X)共用一台认证授权服务器(192.168.1.110,用户数据库和认证授权模块共用)。为了直观的理解 OAuth2.0 原理流程,我们假设这样一个生活场景:(1) 档案局A(客户端 / Client):以“档案局ID/密码”标识,是掌握档案资源的机构。并列还有很多档案局B/C/…,每个档案局存储的档案内容(资源 / Resource)不一样,比如政治、经济、军事、文化等;(2) 公民张三(资源所有者 / Re
【转】Oauth2.0 面的 state 参数什么的?
waltertan1988的博客
01-15 3150
  读者在看这篇文章之前,请先了解 Oauth2.0 的 Authorization Code 授权流程,可以看Authorization Code 授权原理和实现方法   我们还是用 A 来代表合作方,用 B 来代表鉴权方。在授权流程中,A 发起授权时,会向 B 传一个 state 参数,而 B 对这个参数只做一个事情,就是在 302 跳转返回的时候把它原封不动的返回。为什么要这么做呢?这背后是 CSRF 攻击。   攻击的流程是这样的:   1,攻击者访问 A,通过点击,触发授权流程   .
oauth授权模式的理解和阐述:state作用分析(二)
只会写bug的靓仔的博客
05-09 2080
书接上回说道: oauth授权的简单理解和阐述 state的状态码有什么
<Project-2 Twitter> Flask: Twitter API Oauth 2.0 验证 在网页上发贴
davenian的博客
09-04 1584
Twitter API Oauth 2.0 验证 在网页上发贴 含python code 基于 Flask 的应用,用于在 Twitter 发贴。
搜狐多终端统一登录体系实现:OAuth2.0与SSO深度集成的权威实践指南
# 统一登录体系的现代实践:从 OAuth2.0 到 SSO 的深度融合 在智能家居设备日益复杂的今天,确保无线连接的稳定性已成为一大设计挑战。但如果我们把视角拉回到企业级系统架构中,真正的“连接”难题其实藏在用户...
sso、oauth2、oidc相关知识点
m0_53465512的博客
01-18 795
例如csdn想要通过微信进行登录(前提是你设备已经登录过了微信),底层原理就是,csdn向微信申请授权,微信同意授权给csdn关于微信的用户基本信息(用户名头像等),csdn拿到这些信息后,通过信息中包含的微信用户名关联到自己系统内的用户名(mysql有一张vx_user和csdn_user的映射表),完成登录。最后一种可以用于平时的一些调api接口的数据同步,这些操作不是人类用户触发的,是机器自动触发的,直接给ak和sk就行了,这个ak和sk只需要代表请求方服务自身就行了。
微信支付APIv3到底是什么的?使用场景是什么?底层原理是什么?
长风破浪会有时的博客
11-20 1094
微信支付APIv3是新一代的支付API,旨在提供更安全、高效、易用的支付解决方案。APIv3通过非对称加密技术和证书管理机制增强了安全性,通过RESTful API和OAuth 2.0认证机制简化了接口使用,通过事件驱动架构提高了系统的实时性和响应速度。APIv3适用于多种支付场景,包括支付请求、支付查询、退款处理、账单下载等。商户可以通过APIv3实现更高效的支付管理和更高的安全性,同时享受更简洁的接口设计带来的便利。通过合理的配置和使用,商户可以充分利用APIv3的优势,提升支付体验和服务质量。
OAuth2.0认证过程中使用state传输业务数据
Spring淡淡的博客
04-13 1613
OAuth2.0覆盖原生state前言一、OAuth2.0简单说明二、使用步骤三 、总结 前言 一、OAuth2.0简单说明 是授权机制,用来授权第三方应用,获取用户数据。 有四种授权方式 授权码(authorization-code)先申请一个授权码,然后再用该码获取令牌 隐藏式(implicit) 密码式(password): 客户端凭证(client credentials) 四种授权方式都会先进行注册,用来获得客户端 ID(client ID)和客户端密钥(client secret)。这是为了防
关于OAuthstate参数的作用
06-28 1222
引用: https://blog.csdn.net/gjb724332682/article/details/54428808在开发 OAuth认证服务器 的时候,开发者的安全意识不高的话,很可能会忽略 state 参数,从而导致 出现 csrf 漏洞。但是在说明这个state参数前,有必要了解大部分程序员所写的绑定OAuth账号流程,由于绑定流程很多,这挑最常见的“用户在第三方网站A...
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
OAuth 2.0介绍
没有简介
08-24 5464
OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式:授权码模式、隐式授权模式、密码模式和客户端模式。OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权,是目前应用最广泛的开放平台鉴权方式之一。
OAuth 2.0 参数意义
u013197205的专栏
02-20 867
  最近在研究OAuth 2.0的技术,发现网上说的其实挺全面的,但是会给刚接触的服务器端开发者一些迷惘,就是这么多的参数如何用?我仔细理解了一下。   1、申请授权接口(HTTPS请求方式) 请求参数   必选 类型及范围 说明 client_id true string 申请应用时分配的AppKey。 ...
OAuth2.0 原理
热门推荐
安梓晨的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程六、OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
Oauth2.0中关键的术语
面朝大海,春暖花开
06-22 833
Oauth2.0中关键的术语(key terminology) 摘自《OAuth2.0 Identity and Access Management Patterns》 角色(Roles) 资源拥有者(Resource Owner) 资源拥有者是有能力对于一个受保护资源进行授权的实体(A resource owner is an entity who is capable o...
OAuth2授权页面state参数的设计
weixin_34221773的博客
05-16 1861
场景描述: 第三方应用:freeshare 账号系统:account freeshare点击登录,跳转到account页面进行授权。 具体例子可以参考我们的freeshare系统:http://freeshare.free4lab.com/   原先的设计 进行授权的时候,传参数:client_id和redirect_uri,参数简单解释如下: client_i...
OAuth 2.0授权框架详解
程序那些事
11-24 1万+
在现代的网站中,我们经常会遇到使用OAuth授权的情况,比如有一个比较小众的网站,需要用户登录,但是直接让用户注册就显得非常麻烦,用户可能因为这个原因而流失,那么该网站可以使用OAuth授权,借助于github或者其他的第三方网站的认证授权,来获取相关的用户信息,从而避免了用户注册的步骤。 当然,很可能在第三方网站上授权获得用户信息之后,还需要在本网站填写一些必要的信息进行绑定,比如手机号,用户名等等。 但是这比单纯的注册要方便太多了,也容易让用户接受。 今天,我们将要讲解一下OAuth 2.0授权框
安卓Guid是什么的
最新发布
04-20
<think>好的,我现在需要处理用户关于安卓中GUID功能和用途的问题。首先,我需要明确GUID在安卓开发中的具体应用。用户之前提到了Android NDK和OpenSL ES,但当前的提问转向了GUID,可能涉及唯一标识符的生成或管理。 首先,确认GUID的定义。GUID是全局唯一标识符,通常用于生成唯一的ID。在安卓开发中,可能对应的是UUID类,或者系统提供的某些唯一标识方法,如ANDROID_ID。需要区分不同版本安卓中的变化,尤其是隐私政策的影响,比如Android 10之后对设备标识符的限制。 接下来,考虑用户可能的实际需求。开发者可能需要生成唯一标识来跟踪用户设备、数据同步或防止重复操作。需要介绍安卓中生成GUID的方法,包括UUID、ANDROID_ID、以及结合硬件信息的方法,同时指出隐私限制和替代方案。 然后,结合用户之前的上下文,用户之前的问题涉及音频开发和高性能API的使用,可能GUID在此场景下的应用,比如音频会话的唯一标识,或设备识别。需要确保回答涵盖这些方面,并推荐最佳实践,如使用UUID或Google Play Services的广告ID。 还需要注意引用之前的引用内容,比如引用[1]中提到的NDK和OpenSL ES,虽然GUID主要属于Java层的概念,但如果在NDK中需要生成唯一ID,可能需要使用C++的UUID库或调用JNI方法。不过用户的问题更可能集中在Java/Kotlin层面。 最后,生成相关问题时要考虑用户可能进一步的问题,比如安全性、不同标识符的区别、隐私合规问题等,确保覆盖用户潜在的需求。</think>--- ### **Android中GUID的功能与用途详解** 在Android开发中,**GUID(全局唯一标识符)** 主要用于生成全局唯一的标识符,以区分设备、用户或数据实体。其核心功能与用途如下: --- #### **1. GUID的核心功能** - **唯一性** 通过算法生成的128位标识符,保证在时间和空间维度上的唯一性(理论碰撞概率极低)[^1]。 - **跨平台兼容性** 符合RFC 4122标准,支持与其他系统(如服务器、桌面应用)无缝交互。 - **匿名性** 可用于标识设备或用户,无需直接关联敏感信息(如IMEI、手机号)。 --- #### **2. Android中GUID的典型用途** - **设备标识** 替代受限的设备唯一标识(如Android 10后限制访问`ANDROID_ID`和IMEI),生成匿名设备ID[^2]。 ```kotlin val uuid = UUID.randomUUID().toString() // 生成GUID ``` - **数据同步与去重** 本地数据库或缓存中为每条记录分配唯一键,避免多端同步冲突。 ```java // 示例:Room数据库中使用GUID为主键 @Entity public class User { @PrimaryKey public String id = UUID.randomUUID().toString(); } ``` - **会话管理** 在音视频开发(如引用[1]的OpenSL ES场景)中标识独立音频流或会话,确保资源隔离。 - **安全令牌** 生成临时令牌(如OAuth 2.0的`state`参数),防止CSRF攻击。 --- #### **3. Android中生成GUID的方法** | **方法** | **特点** | **适用场景** | |-------------------------|-------------------------------------------------------------------------|--------------------------| | `UUID.randomUUID()` | 纯软件生成,无需权限,但重启设备后可能变化 | 临时标识、会话管理 | | `Settings.Secure.ANDROID_ID` | 系统级唯一ID(Android 8.0+限制应用获取),需权限`READ_PHONE_STATE`[^2] | 跨应用设备标识(需系统签名或特权) | | 自定义算法(如SHA-256哈希) | 结合设备硬件信息(如序列号)生成,需注意Android 10后对非重置性标识的限制[^2] | 高稳定性需求(需用户授权) | | 广告ID(Advertising ID) | 用户可重置,通过`Google Play Services`获取,需异步接口调用 | 广告追踪、用户行为分析(隐私合规优先) | --- #### **4. 注意事项与最佳实践** - **隐私合规** Android 10(API 29)后,禁止访问不可重置的设备标识符(如IMEI、序列号),优先使用`Advertising ID`或应用专属GUID[^2]。 - **持久化存储** 若需持久化GUID,建议加密后存储于`SharedPreferences`或`Keystore`。 - **NDK层生成** 若需在Native层(如引用[1]的NDK音频库)生成GUID,可使用Linux的`libuuid`库: ```c #include <uuid/uuid.h> uuid_t guid; uuid_generate(guid); ``` --- ### **相关问题** 1. 如何在Android 10及以上版本安全获取设备唯一标识? 2. UUID与Android的`ANDROID_ID`有何区别? 3. 在NDK中生成GUID需要注意哪些兼容性问题[^1]? 4. 如何通过广告ID实现用户行为追踪并符合隐私政策[^2]? --- ### **引用说明** [^1]: Android NDK开发中,若需在Native层操作唯一标识,需注意JNI交互和线程安全性。 [^2]: 涉及权限(如`READ_PHONE_STATE`)时,需动态申请并明确用户授权,参考百度语音SDK的权限管理策略。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值