OAuth研究

最新推荐文章于 2025-08-05 10:19:15 发布
最新推荐文章于 2025-08-05 10:19:15 发布
阅读量913 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: OAuth 文章标签: token service user access authorization 新浪微博
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/VLTIC/article/details/7935861

一.OAuth protocol介绍

   An  open protocol to allow secure API authorization in a simple and standard method from desktop and web applications.

  OAuth授权在各社交网站中广泛使用,该协议使用户不需要直接向第三方应用提供用户名及密码,并且使一个账户在多个网站中使用成为可能。

  OAuth协议中包含了三个角色:

  Service Provider,即服务提供者,如新浪微博

 User,即普通用户,如新浪微博用户

Consumer,即第三方应用,如本人开发的应用。

二.   三者之间原来的业务需求:User 想利用Consumer来更新自己在Service provider中的状态,常规的思想是:User可以将自己的username和password传递给Consumer,Consumer拿着User的username和password想Service Provider提出更新请求即可。但是由于涉及到第三应用Consumer,为了安全起见,User利用Consumer更新自己在Service Provider中的状态时,不能将自己的username和password传递给第三方应用Consumer,这种情况下,Service Provider并不信任Consumer,于是三者之间必须建立起信任关系。

  解决方案:Consumer首先向Service Provider 申请一对Consumer_Key和Consumer_Secret,以此取得Service Provider的信任。因为User是信任Service Provider,所以User与Consumer间的信任关系就依靠Service Provider建立了。Consumer用自己的Consumer_Key和Consumer_Secret向Service Provider请求到一对Request_Token和Request_Token_Secret,而后Consumer拿上这对RequestToken,领着User去见Service Provider。Service Provider见到自己发的RequestToken,便确认Consumer是值得信任的,于是把头转向User。如果Service Provider不记得User了,只要User想Service Provider提供username和password,就能建立起信任关系,然后Service Provider对User说:“我很信任这个Consumer,你是不是也要信任她?”若User确认,则Service Provider允许Consumer把User带回去,并发给Consumer一个Verifier。回来以后呀,Consumer拿着RequestToken和Verifier又单独去找Service Provider,取回来一对Access_Token和Access_Token_Secret,并长期保存。至此,三方信任关系就建立起来了,Consumer每次在Service Provider中更新User的状态时,只需要提供这对AccessToken,Service Provider便能确定此Consumer能代替User进行相应的操作。

OAuth进行开发时,所需要的关键字在上面场景中都有体现:Consumer_Key,Consumer_Secret,Request_Token,Request_Token_Secret,Verifier,Access_Token,Access_Token_Secret。

三.新浪微博开放平台OAuth授权接口

  oauth/request_token:consumer使用该接口向Service Provider索取RequestToken

 oauth/authorize:Consumer带上RequestToken,领着User,三者见面

oauth/access_Token:Consumer拿着Request_Token和Verifier,再次向Service Provider索取AccessToken


四.

具体每步执行信息如下:

A. 使用者(第三方软件)向OAUTH服务提供商请求未授权的RequestToken。向Request Token URL发起请求,请求需要带上的参数见上图。

B. OAUTH服务提供商同意使用者的请求,并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret,并返回给使用者。

C. 使用者向OAUTH服务提供商请求用户授权的RequestToken。向User Authorization URL发起请求,请求带上上步拿到的未授权的token与其密钥。

D. OAUTH服务提供商将引导用户授权。该过程可能会提示用户,你想将哪些受保护的资源授权给该应用。此步可能会返回授权的Request Token也可能不返回。如Yahoo OAUTH就不会返回任何信息给使用者。

E. Request Token 授权后,使用者将向Access Token URL发起请求,将上步授权的Request Token换取成Access Token。请求的参数见上图,这个比第一步A多了一个参数就是Request Token

F. OAUTH服务提供商同意使用者的请求,并向其颁发Access Token与对应的密钥,并返回给使用者。

G. 使用者以后就可以使用上步返回的Access Token访问用户授权的资源。



Spring Security oauth2学习研究
品茗
03-19 110
Spring Security OAuth2.0学习研究 1. 有人问 /oauth/token 在哪里定义了:位置在org.springframework.security.oauth2.provider.endpoint.TokenEndpoint 如下图所示
基于OAUTH2.0的认证授权技术研究
qq_37119462的博客
05-26 188
摘要:针对OAUTH2.0协议在实施过程中可能存在的信息泄露方面的安全威胁,提出了基于OAUTH2.0的在授权服务器中引入安全节点,同时在授权服务器和资源服务器之间引入同步机制的方法,从而在授权过程前期对授权申请的安全性进行检查并在授权过程中实现授权服务器和资源服务器信息的共享。 本文根据协议优化之后的模型设计了一个原型系统,对系统的逻辑架构、授权流程以及系统的接口进行了详细的设计。 该论文搭建了物理系统,并将安全策略以及机制添加到了搭建好的OAUTH框架中。在此基础上,设计了有关的测试用例进行了性能测试。
SpringSecurity的Oauth2学习笔记
zhou22的博客
01-18 608
通过app_id和app_secret获取的access_token:用于全局接口调用,是服务器端操作的凭证,对应前面所说的客户端凭证模式。通过code获取的access_token:用于获取用户授权信息,主要用于网页授权场景,与特定用户关联,对应前面所说的授权模型。这周有空都在调试代码,查看springsecurityoauth2的认证授权流程,调试了几天之后,脑子有点蒙蒙了,只能初步了解一些流程原理,不得不说这个框架确实有点东西。。授权模型(用户认证接口)和密码模式。
关于对Oauth2研究
qq_35703608的博客
04-03 302
授权码模式: 多用于第三方登录授权,比如微信登录、Facebook登录等。。 具体步骤: 客户端请求第三方授权 资源拥有者同意给客户端授权 客户端获取授权码,请求认证服务器申请令牌 认证服务器给客户端响应令牌 客户端请求资源服务器的资源 资源服务器返回受保护的资源 细节: 第一步获取授权码 客户端请求携带参数: client_id:客户端id,和授权配置类中设置的客户端ID...
OAuth2.0 原理简介
时光钟摆
10-09 960
一、前言 之前在对接支付宝的当面付时,总是涉及到各种授权,常见的第三方授权,涉及到code,tokenaccessToken还有各种privateKey,publicKey等眼花缭乱的概念。只是照着支付宝的文档在进行对接,现在回过头来研究了下,发现它的整个第三方授权体系,就是用的OAuth2.0的架构。 二、支付宝第三方应用授权逻辑 如下图示(图片来源蚂蚁开放平台) 1.开发者向用...
Spring Security Oauth2源码分析
小小本科生
07-16 1516
1、用户发起了一个未经身份验证的请求。2、Spring Security 的 DelegatingAuthenticationEntryPoint 组件检测到这个未经身份验证的请求。3、通过一系列复杂的匹配器 DelegatingAuthenticationEntryPoint 确定这个请求需要进行身份验证。4、DelegatingAuthenticationEntryPoint 执行了 LoginUrlAuthenticationEntryPoint来处理这个未经身份验证的请求。
直白话 OAuth 2 流程
桥边驿语人的博客
06-12 230
这个直白话 OAuth 2 流程实在写的太好了,忍不住分享给大家看看。我是在研究第三方登录授权时,找到JustAuth时发现的。
OAuth认证
Jasonmarryt的专栏
09-24 235
原文地址http://www.cnblogs.com/lingyun1120/archive/2012/07/11/2585767.html OAuth介绍     在分享过程中不可避免的会考虑到用户账户安全性的问题,第三方程序不应该直接接触用户账户信息,但是没有账户信息,又如何取得SNS平台的数据呢?OAuth很好的解决了这个问题,从第三方发起认证过程,在webview或者浏览器中...
python flask oauth_使用 Flask 和 rauth 进行 Github Oauth 登陆
weixin_39718460的博客
11-28 253
最近我研究了一下Flask的OAuth库。情况并不乐观,大部分的包都已过时并且不再被支持了。大家熟知的Flask-Oauth基本上已经被废弃了,我也不推荐依赖这个库。有趣的是OAuth本身其实是很简单的,认证之后你会得到一个访问token,你只需将其作为GET参数或者作为request的特殊的header即可。也许其他的OAuth提供者需要更复杂的逻辑,但是Github仅此就足够。我在StackO...
OAuth2研究.pptx
05-17
对于Oauth2.0与Oauth1.0的区别分享,对于Spring social的代码分析和解读,解析Oauth2在实际应用中的使用。
oauth-resource:oauth-resource
02-13
在IT行业中,OAuth(开放授权)是一种广泛使用的授权框架,允许第三方应用安全地访问用户的受保护资源,而无需...开发者可以通过研究这个项目,深入理解OAuth的工作原理,并将其应用到自己的项目中,提升服务的安全性。
oauth-two:Clojure中的OAuth 2.0客户端
01-28
如果你想深入了解`oauth-two`的工作原理或对其进行自定义,可以查看并研究这个源代码。Clojure的REPL(Read-Eval-Print Loop)环境使得测试和调试变得非常直观和高效。 总的来说,`oauth-two`为Clojure开发者提供了...
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户...在"OAuth2.0_Django2.1.2-master"这个压缩包中,可能包含了项目的所有源代码和相关文档,供学习者参考和研究
JAVA实现新浪微博API接口玩转新浪微博(二)
VLTIC的专栏
09-03 7053
在你的应用基本信息中,找你关键的App Key和 App Secret。其次就是要在应用的高级信息中填写好授权回调页和取消回调页的URL,这可可以是自己本地的web应用的URL或者网络上有效的URL(可以是http://www.baidu.com),注意这个URL千万不能在结尾的时候有/ 这些资料都填写好之后需要 到http://open.weibo.com/wiki/SDK下再所需的SD
JAVA实现新浪微博API接口玩转新浪微博(一)
VLTIC的专栏
09-03 3583
一.用新浪微博作为user登陆到新浪开放平台http://open.weibo.com/,然后去创建自己需要用到的第三方应用 点击应用开发,创建自己准备用到的应用类型,可以是客户端,网站等等,然后点击创建应用。 这个时候,就需要填写作为开发者的一些资料, 提交之后,就会用邮箱验证。之后会有一个创建新应用需要填写资料,然后按照图所示,填一些信息,这个信息可以按照格式随便填。
Python爬虫实战:研究weiboSpider技术,构建新浪微博数据采集系统
ylfhpy的博客
08-05 471
然而,微博平台并未提供全面开放的 API 接口,手动收集数据效率低下,因此开发高效、稳定的微博爬虫工具具有重要的现实意义。在国外,针对 Twitter、Facebook 等社交平台的爬虫研究较为丰富,如使用 Scrapy 框架开发的 Twitter 爬虫,利用 API 接口结合模拟请求的方式采集数据。单条微博数据的解析准确率约为 95%。分析:登录模块使用 Selenium 模拟浏览器操作,能够应对微博的基本登录验证机制,但对于复杂的验证码(如滑动验证码),需要人工干预,自动化程度有待提高。
MPU9250九轴传感器数据融合:扩展卡尔曼滤波(EKF)算法解析与应用——以四元数、陀螺仪和加速度计为核心 · 四元数
最新发布
08-13
MPU9250 九轴传感器的工作原理及其应用背景,重点讲解了如何利用扩展卡尔曼滤波 (EKF) 进行数据融合。文中解释了选择四元数作为状态量、三轴陀螺仪的漂移作为控制量以及三轴加速度计和磁偏角作为观测量的原因。通过这种方式,在短时间尺度上优先信任陀螺仪提供的高精度角速度数据,而在长时间尺度上则依赖于加速度计提供的稳定姿态信息。此外,还提供了 Python 实现的简单 EKF 数据融合算法代码示例。 适合人群:对传感器数据融合感兴趣的电子工程技术人员、自动化控制领域的研究人员、从事机器人导航系统开发的技术人员。 使用场景及目标:适用于需要精确测量和稳定控制的场合,如无人机飞行控制系统、自动驾驶汽车的姿态感知模块、智能穿戴设备的动作捕捉单元等。目的是提高运动信息的准确性与稳定性。 其他说明:本文不仅理论阐述详尽,而且附有实际代码示例,便于读者理解和实践。对于希望深入了解传感器数据融合技术并掌握其实现细节的专业人士而言,是一份非常有价值的参考资料。
OAuth
03-08
研究显示,在多个领域内合理运用OAuth 2.0 可以为实际项目带来显著优势: - **提升用户账户安全性**:借助于间接的身份验证流程,有效防止敏感信息外泄风险; - **简化第三方应用开发**:遵循统一规范减少了接口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值