OAuth研究

最新推荐文章于 2025-09-24 11:16:07 发布
原创 最新推荐文章于 2025-09-24 11:16:07 发布 · 958 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#token #service #user #access #authorization #新浪微博

一.OAuth protocol介绍

   An  open protocol to allow secure API authorization in a simple and standard method from desktop and web applications.

  OAuth授权在各社交网站中广泛使用,该协议使用户不需要直接向第三方应用提供用户名及密码,并且使一个账户在多个网站中使用成为可能。

  OAuth协议中包含了三个角色:

  Service Provider,即服务提供者,如新浪微博

 User,即普通用户,如新浪微博用户

Consumer,即第三方应用,如本人开发的应用。

二.   三者之间原来的业务需求:User 想利用Consumer来更新自己在Service provider中的状态,常规的思想是:User可以将自己的username和password传递给Consumer,Consumer拿着User的username和password想Service Provider提出更新请求即可。但是由于涉及到第三应用Consumer,为了安全起见,User利用Consumer更新自己在Service Provider中的状态时,不能将自己的username和password传递给第三方应用Consumer,这种情况下,Service Provider并不信任Consumer,于是三者之间必须建立起信任关系。

  解决方案:Consumer首先向Service Provider 申请一对Consumer_Key和Consumer_Secret,以此取得Service Provider的信任。因为User是信任Service Provider,所以User与Consumer间的信任关系就依靠Service Provider建立了。Consumer用自己的Consumer_Key和Consumer_Secret向Service Provider请求到一对Request_Token和Request_Token_Secret,而后Consumer拿上这对RequestToken,领着User去见Service Provider。Service Provider见到自己发的RequestToken,便确认Consumer是值得信任的,于是把头转向User。如果Service Provider不记得User了,只要User想Service Provider提供username和password,就能建立起信任关系,然后Service Provider对User说:“我很信任这个Consumer,你是不是也要信任她?”若User确认,则Service Provider允许Consumer把User带回去,并发给Consumer一个Verifier。回来以后呀,Consumer拿着RequestToken和Verifier又单独去找Service Provider,取回来一对Access_Token和Access_Token_Secret,并长期保存。至此,三方信任关系就建立起来了,Consumer每次在Service Provider中更新User的状态时,只需要提供这对AccessToken,Service Provider便能确定此Consumer能代替User进行相应的操作。

OAuth进行开发时,所需要的关键字在上面场景中都有体现:Consumer_Key,Consumer_Secret,Request_Token,Request_Token_Secret,Verifier,Access_Token,Access_Token_Secret。

三.新浪微博开放平台OAuth授权接口

  oauth/request_token:consumer使用该接口向Service Provider索取RequestToken

 oauth/authorize:Consumer带上RequestToken,领着User,三者见面

oauth/access_Token:Consumer拿着Request_Token和Verifier,再次向Service Provider索取AccessToken


四.

具体每步执行信息如下:

A. 使用者(第三方软件)向OAUTH服务提供商请求未授权的RequestToken。向Request Token URL发起请求,请求需要带上的参数见上图。

B. OAUTH服务提供商同意使用者的请求,并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret,并返回给使用者。

C. 使用者向OAUTH服务提供商请求用户授权的RequestToken。向User Authorization URL发起请求,请求带上上步拿到的未授权的token与其密钥。

D. OAUTH服务提供商将引导用户授权。该过程可能会提示用户,你想将哪些受保护的资源授权给该应用。此步可能会返回授权的Request Token也可能不返回。如Yahoo OAUTH就不会返回任何信息给使用者。

E. Request Token 授权后,使用者将向Access Token URL发起请求,将上步授权的Request Token换取成Access Token。请求的参数见上图,这个比第一步A多了一个参数就是Request Token

F. OAUTH服务提供商同意使用者的请求,并向其颁发Access Token与对应的密钥,并返回给使用者。

G. 使用者以后就可以使用上步返回的Access Token访问用户授权的资源。



Spring Security oauth2学习研究
品茗
03-19 121
Spring Security OAuth2.0学习研究 1. 有人问 /oauth/token 在哪里定义了:位置在org.springframework.security.oauth2.provider.endpoint.TokenEndpoint 如下图所示
OAuth 2.0令牌撤销机制研究
purple的博客
10-25 575
本文针对OAuth 2.0中资源服务器面临恶意客户端威胁时缺乏有效令牌撤销机制的问题,提出一种由资源服务器触发风险通知、资源所有者决定是否撤销令牌的新流程。该机制通过JWT实现风险通告与确认,增强了对异常访问行为的响应能力,提升了整体安全性。
基于OAUTH2.0的认证授权技术研究
qq_37119462的博客
05-26 205
摘要:针对OAUTH2.0协议在实施过程中可能存在的信息泄露方面的安全威胁,提出了基于OAUTH2.0的在授权服务器中引入安全节点,同时在授权服务器和资源服务器之间引入同步机制的方法,从而在授权过程前期对授权申请的安全性进行检查并在授权过程中实现授权服务器和资源服务器信息的共享。 本文根据协议优化之后的模型设计了一个原型系统,对系统的逻辑架构、授权流程以及系统的接口进行了详细的设计。 该论文搭建了物理系统,并将安全策略以及机制添加到了搭建好的OAUTH框架中。在此基础上,设计了有关的测试用例进行了性能测试。
SpringSecurity的Oauth2学习笔记
zhou22的博客
01-18 749
通过app_id和app_secret获取的access_token:用于全局接口调用,是服务器端操作的凭证,对应前面所说的客户端凭证模式。通过code获取的access_token:用于获取用户授权信息,主要用于网页授权场景,与特定用户关联,对应前面所说的授权模型。这周有空都在调试代码,查看springsecurityoauth2的认证授权流程,调试了几天之后,脑子有点蒙蒙了,只能初步了解一些流程原理,不得不说这个框架确实有点东西。。授权模型(用户认证接口)和密码模式。
关于对Oauth2研究
qq_35703608的博客
04-03 318
授权码模式: 多用于第三方登录授权,比如微信登录、Facebook登录等。。 具体步骤: 客户端请求第三方授权 资源拥有者同意给客户端授权 客户端获取授权码,请求认证服务器申请令牌 认证服务器给客户端响应令牌 客户端请求资源服务器的资源 资源服务器返回受保护的资源 细节: 第一步获取授权码 客户端请求携带参数: client_id:客户端id,和授权配置类中设置的客户端ID...
OAuth2.0 原理简介
时光钟摆
10-09 1142
一、前言 之前在对接支付宝的当面付时,总是涉及到各种授权,常见的第三方授权,涉及到code,tokenaccessToken还有各种privateKey,publicKey等眼花缭乱的概念。只是照着支付宝的文档在进行对接,现在回过头来研究了下,发现它的整个第三方授权体系,就是用的OAuth2.0的架构。 二、支付宝第三方应用授权逻辑 如下图示(图片来源蚂蚁开放平台) 1.开发者向用...
Spring Security Oauth2源码分析
小小本科生
07-16 1759
1、用户发起了一个未经身份验证的请求。2、Spring Security 的 DelegatingAuthenticationEntryPoint 组件检测到这个未经身份验证的请求。3、通过一系列复杂的匹配器 DelegatingAuthenticationEntryPoint 确定这个请求需要进行身份验证。4、DelegatingAuthenticationEntryPoint 执行了 LoginUrlAuthenticationEntryPoint来处理这个未经身份验证的请求。
直白话 OAuth 2 流程
桥边驿语人的博客
06-12 259
这个直白话 OAuth 2 流程实在写的太好了,忍不住分享给大家看看。我是在研究第三方登录授权时,找到JustAuth时发现的。
OAuth认证
Jasonmarryt的专栏
09-24 260
原文地址http://www.cnblogs.com/lingyun1120/archive/2012/07/11/2585767.html OAuth介绍     在分享过程中不可避免的会考虑到用户账户安全性的问题,第三方程序不应该直接接触用户账户信息,但是没有账户信息,又如何取得SNS平台的数据呢?OAuth很好的解决了这个问题,从第三方发起认证过程,在webview或者浏览器中...
OAuth2研究.pptx
05-17
对于Oauth2.0与Oauth1.0的区别分享,对于Spring social的代码分析和解读,解析Oauth2在实际应用中的使用。
OAuth2学习DotNetOpenAuth部分源码研究分析.doc
08-27
OAuth2是OAuth协议的第2代版本,由四种角色构成:资源所有者、资源服务器、客户端和授权服务器。 资源所有者是那些拥有资源的个人或实体,例如twitter上的用户,他自己的数据就是资源。资源服务器则是保存这些资源...
oauth-resource:oauth-resource
02-13
在IT行业中,OAuth(开放授权)是一种广泛使用的授权框架,允许第三方应用安全地访问用户的受保护资源,而无需...开发者可以通过研究这个项目,深入理解OAuth的工作原理,并将其应用到自己的项目中,提升服务的安全性。
oauth-two:Clojure中的OAuth 2.0客户端
01-28
如果你想深入了解`oauth-two`的工作原理或对其进行自定义,可以查看并研究这个源代码。Clojure的REPL(Read-Eval-Print Loop)环境使得测试和调试变得非常直观和高效。 总的来说,`oauth-two`为Clojure开发者提供了...
基于Django2.1.2的OAuth2.0授权登录
04-15
**基于Django 2.1.2的OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户...在"OAuth2.0_Django2.1.2-master"这个压缩包中,可能包含了项目的所有源代码和相关文档,供学习者参考和研究
JAVA实现新浪微博API接口玩转新浪微博(二)
VLTIC的专栏
09-03 7085
在你的应用基本信息中,找你关键的App Key和 App Secret。其次就是要在应用的高级信息中填写好授权回调页和取消回调页的URL,这可可以是自己本地的web应用的URL或者网络上有效的URL(可以是http://www.baidu.com),注意这个URL千万不能在结尾的时候有/ 这些资料都填写好之后需要 到http://open.weibo.com/wiki/SDK下再所需的SD
JAVA实现新浪微博API接口玩转新浪微博(一)
VLTIC的专栏
09-03 3607
一.用新浪微博作为user登陆到新浪开放平台http://open.weibo.com/,然后去创建自己需要用到的第三方应用 点击应用开发,创建自己准备用到的应用类型,可以是客户端,网站等等,然后点击创建应用。 这个时候,就需要填写作为开发者的一些资料, 提交之后,就会用邮箱验证。之后会有一个创建新应用需要填写资料,然后按照图所示,填一些信息,这个信息可以按照格式随便填。
Python爬虫实战:获取新浪微博最新热门资讯排行榜数据并做舆情分析
ylfhpy的博客
09-24 1132
总之,基于网络爬虫的社交媒体舆情分析技术具有广阔的应用前景,未来的研究将致力于提高系统的稳定性、分析的深度和应用的广度,为学术研究和社会决策提供更有力的支持。:通过对连续 7 天数据的分析,可以识别出一些持续发酵的话题,观察到舆情的演变过程,这对于理解公众意见的形成和变化具有重要意义。Python 作为一种简洁高效的编程语言,拥有丰富的网络爬虫库,使其成为数据爬取的首选工具。
阿斯顿法国代表撒反对发给你的撒旦发个v
最新发布
01-08
阿斯顿法国代表撒反对发给你的撒旦发个v
OAuth
03-08
### OAuth 协议详解 OAuth 是一种开放标准的授权协议或框架,提供了用户允许一个网站或应用访问其他网站上存储的信息的方法,而不需要将用户名和密码交给第三方。该协议为用户授权和资源访问提供了一种安全可靠的机制[^2]。 #### 安全特性 OAuth 不涉及用户的密码传递给第三方,而是通过授权服务器颁发访问令牌来实现权限授予过程。这种方式不仅提高了安全性还增加了灵活性,因为即使令牌泄露也不会影响到原始账号的安全性[^1]。 #### 开放性和易用性 作为开放式标准,任何服务提供商都能实施OAuth,同样地,任意软件开发商也可以轻松集成此协议用于自己的产品中。这种设计降低了接入门槛并促进了广泛应用的可能性。 ### 应用场景分析 研究显示,在多个领域内合理运用OAuth 2.0 可以为实际项目带来显著优势: - **提升用户账户安全性**:借助于间接的身份验证流程,有效防止敏感信息外泄风险; - **简化第三方应用开发**:遵循统一规范减少了接口对接难度,加速了产品研发周期; - **促进数据共享与协作**:打破平台壁垒,让用户能够便捷地在多平台上同步个人资料或其他重要文档; - **支持SaaS/PaaS架构下的跨平台交互**:确保云端服务之间顺畅沟通的同时保障信息安全传输[^3]。 此外,为了适应更多样化的业务需求,OAuth 2.0 还引入了一些额外的功能模块,比如客户端管理和令牌刷新等,进一步增强了系统的可扩展性和鲁棒性[^4]。 ```python import requests def get_user_info(access_token, api_endpoint): headers = {'Authorization': f'Bearer {access_token}'} response = requests.get(api_endpoint, headers=headers) if response.status_code == 200: return response.json() else: raise Exception('Failed to fetch user info') # Example usage of the function with a valid access token and endpoint URL. try: userinfo = get_user_info('example_access_token', 'https://api.example.com/userinfo') except Exception as e: print(e) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值