常用的OAuth 2.0 的四种方式:图文并茂带你轻松掌握原来如此简单

已于 2025-04-21 22:41:57 修改
阅读量179 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 授权 文章标签: OAuth2
于 2019-12-04 11:42:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cfm_gavin/article/details/103383911

上一篇文章介绍了 OAuth 2.0 是一种授权机制,主要用来颁发令牌(token)。本文接着介绍颁发令牌的实务操作。

下面我假定,你已经理解了 OAuth 2.0 的含义和设计思想,否则请先阅读这个系列的上一篇文章

RFC 6749

OAuth 2.0 的标准是 RFC 6749 文件。该文件先解释了 OAuth 是什么。

OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。

这段话的意思就是,OAuth 的核心就是向第三方应用颁发令牌。然后,RFC 6749 接着写道:

(由于互联网有多种场景,)本标准定义了获得令牌的四种授权方式(authorization grant )。

也就是说,OAuth 2.0 规定了四种获得令牌的流程。你可以选择最适合自己的那一种,向第三方应用颁发令牌。下面就是这四种授权方式。

  • 授权码(authorization-code)
  • 隐藏式(implicit)
  • 密码式(password):
  • 客户端凭证(client credentials)

注意,不管哪一种授权方式,第三方应用申请令牌之前,都必须先到系统备案,说明自己的身份,然后会拿到两个身份识别码:客户端 ID(client ID)和客户端密钥(client secret)。这是为了防止令牌被滥用,没有备案过的第三方应用,是不会拿到令牌的。

第一种授权方式:授权码

授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。

这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授

最低0.47元/天 解锁文章

200万优质内容无限畅学
http://www.vipredbottomshoe.com 444
cty59264的博客
04-24 5022
twitter-inner-ditto243043490840330241 div5 trillion in repatriated off-shore funds tampered with illegally by hi...
实测 Gemini 2.0 Flash 图像生成:多模态 AI 的创作力边界
最新发布
细节处有神明的博客
03-19 1454
Gemini 2.0 Flash (Image Generation) Experimental 是一个充满潜力的工具,它的多模态输出和交互式编辑功能为图像创作来了新的可能性。诚然,它并非无可挑剔——图像细节可能不够完美,使用限制也可能让人不便。但对于需要快速生成创意内容或简化工作流程的用户来说,它无疑是一个可靠的帮手。通过上述测试,你可以亲手验证它的能力,找到最适合自己的应用方式。我坚信,随着更多人参与测试和反馈,这款工具会不断进步,为我们来更多惊喜,并对内容创作行业产生深远影响。
OAuth 2.0四种方式
lamb7758的博客
04-12 716
RFC 6749 OAuth 2.0 的标准是RFC 6749文件。该文件先解释了 OAuth 是什么。 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。 这段话的意思就是,OAuth 的核心就是向第三方应用颁发令牌。然后,RFC 6749 接着写道: (由于互联...
OAuth2.0四种模式的详解
weixin_47713590的博客
09-25 1890
授权码模式:最安全,适合 Web 应用程序,涉及用户授权和服务器端代码交换。简化模式:适用于前端应用,访问令牌直接暴露在 URL 中,适合不需要高安全性的应用。密码模式:用于高信任度的环境,用户直接向客户端提供凭证,安全性较低。客户端模式:用于应用之间的通信,没有用户参与,适合后台服务的交互。不同的授权模式根据应用场景、客户端类型和安全要求的不同有着各自的适用范围,选择合适的模式可以提高系统的安全性和易用性。
OAuth 2.0 授权认证详解
emprere的博客
07-15 7513
点击关注公众号:互联网架构师,后台回复2T获取2TB学习资源!上一篇:Alibaba开源内网高并发编程手册.pdf目录1、Auth2.0 协议简介2OAuth 2.0的授权认证流程OAuth 2.0 的核心概念认证思路与流程3、OAuth2.0四种模式授权码模式(authorization c...
单点登录和Auth2.0
weixin_63212264的博客
11-17 2404
单点登录英文全称Single Sign On,简称SSO。指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。OAuth 2.0 是一种用于授权的开放标准协议,允许用户通过第三方应用程序授权访问其在其他网站或应用程序上存储的受保护资源,而无需将其用户名和密码提供给第三方应用程序。
JSP2.0技术入门指南:Servlet与JSP核心技术详解
通过丰富的实例和图文并茂方式,作者帮助读者掌握展示层技术,以便后续学习更高级的技术,如JavaServer Faces (JSF)和Java Web Services。 本书首先介绍了如何安装J2SDK 1.4.2版本,包括执行安装程序,选择默认或...
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
JSP2.0技术入门指南:图文实战教程
该手册以图文并茂方式深入讲解了JSP 2.0的核心技术,重点关注Java Servlet和JavaServer Pages,这些都是Java Web开发中的基石。 书中强调,理解Java Servlet,即处理HTTP请求的Java组件,和JSP页面,即嵌入Java...
OAuth2.0协议入门
Daniel462038751的专栏
10-20 2447
OAuth2.0 协议原理 OAuth 2.0 协议是一种三方授权协议,目前大部分的第三方登录与授权都是基于该协议的标准或改进实现。OAuth 1.0 的标准在 2007 年发布,2.0 的标准则在 2011 年发布,其中 2.0 的标准取消所有 Token 的加密过程,并简化了授权流程,但因强制使用 HTTPS 协议,被认为安全性高于 1.0 的标准。 一. 基础应用:第三方登录 ​ 对于 OAuth2.0 协议(以下简称 OAuth 协议)的第一次接触,我相信大部分开发者都是通过对接第三方登录
【rfc6749】机翻 The OAuth 2.0 Authorization Framework
weixin_34336526的博客
01-15 359
本文禁止转载 原文地址 http://tools.ietf.org/html/rfc6749 下面内容全部是谷歌娘的翻译 = = ,写这个的目的是给自己留个备份,这样就不用每次打开谷歌娘了。 ------------------------- 机翻的分割线 ---------------------------------------- OA...
OAuth2.0第三方微信登录
一起加油吧!
12-19 5580
OAuth(Open Authotization)是一个关于授权的开放网络标准,允许用户授权第三方应用访问存储在另外的服务提供者上的信息,而且不需要将用户名和密码提供给第三方应用。OAuth在全世界得到广泛应用,目前的版本是2.0版本。
Spring Boot2.x解决静态资源不能访问的问题
weixin_43404791的博客
03-10 1063
以前在整合项目的时候经常遇到这个问题,但是能托就托,没怎么在意,今天需要整合Ueditor,但是JS文件依然没法显示,因此在这里解决了一下 设置静态资源不需要验证 因为我是使用的Spring Security Oauth2,已经整合了Spring Security,所以依然可以实现WebSecurityConfigurerAdapter //开启全局方法验证 @Configuration @E...
【最佳实践】OAuth标准和基于OAuth2.0实现Github 授权单点登录的保姆级教程
追寻上飞的博客
04-20 1249
OAuth)是一种授权标准,允许第三方应用程序通过授权访问用户的受保护资源,而无需获取用户的用户名和密码。OAuth标准旨在解决用户在使用第三方应用程序时需要提供自己的用户名和密码的安全性和隐私问题。OAuth2.0是一种用于授权的开放标准,旨在为客户端应用程序提供访问受保护资源的安全机制。它是OAuth 1.0的升级版,OAuth2.0的起源可以追溯到2006年,当时Twitter发布了一个名为Twitter OAuth的开放API,该API使用OAuth1.0作为其授权机制。
基于Spring Security 6的OAuth2 系列之十七 - 高级特性--设备授权码模式
代码让AI扣
02-17 1242
本章我们对设备授权码模式进行了详细的讲解。下一章我们继续讲解OAuth2的新特性。
零碎记录- spring security oauth2 资源服务器中设置放行路径
weixin_34309435的博客
11-28 6187
在资源服务器配置类中重写configure方法,添加放行信息 使用了@EnableResouceServer,且继承了ResourceServerConfigurerAdapter的类作为资源服务器配置信息类 @Configuration @EnableResourceServer @EnableGlobalMethodSecurity(prePostEnabled = true) clas...
2024年最新OAuth2服务组件:Spring Authorization Server 简介及特性
06-21 1135
Spring Authorization Server是一个提供OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范实现的框架。它构建在Spring Security之上,为构建OpenID Connect 1.0身份提供程序和OAuth2授权服务器。提供了一个安全、轻量级和可定制的基础。
oauth:implicit
ry的专栏
04-15 471
二、 隐式授权 仅需临时访问的场景 用户会定期在API提供者那里进行登录 OAuth客户端运行在浏览器中(Javascript、Flash等) 浏览器绝对可信,因为该类型可能会将访问令牌泄露给恶意用户或应用程序 1. 让用户明白所做的操作并请求认证 这一步与授权码认证模式中的操作类似,即当牵涉到OAuth认证时,应首先让用户明确该操作。然后将用户引导至授权
OAuth2.0四种授权方式
一江溪水
12-11 2846
OAuth简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携令牌可以访问资源所有者的资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值