Ouath2.0调研学习

原创 已于 2024-04-30 14:40:22 修改
· 420 阅读 · 5 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring boot

于 2024-04-30 14:39:42 首次发布
本文介绍了单点登录和单点注销的概念,重点阐述了OAuth2.0授权框架的工作原理,包括角色区分和常见问题解答,如为何需要授权码、如何防止CSRF攻击以及RefreshToken的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

先来说说我为什么要了解这个,之前对登录相关系统一窍不通,经历过xxxxxx项目,算是明白了一点相关名词和概念,

单点登录:是一种身份验证服务,允许用户使用一组凭据(例如用户名和密码)登录并访问多个相关但独立的软件系统。在使用SSO的情况下,用户只需一次登录,即可无需重复输入凭据就能访问各个不同的系统。

单点注销:单点注销也是SSO的重要概念,指的是用户在任何一个系统中注销后,所有其他相关系统也将自动注销该用户,以确保用户的安全退出。

然后单点登录,通常用于内部系统之间,其中还要求用户体系必须是一套,那如果内外系统交互,用户系统还不一样呢,这样就涉及到Ouath2.0协议了。

OAuth2.0介绍

1.1 简介

OAuth 2.0是一种授权框架,用于在客户端与服务器之间安全地共享资源。它允许用户授权第三方应用程序访问他们在另一个服务上存储的私人资源,例如个人信息、照片或文档,而无需将用户名和密码直接提供给第三方应用程序。

OAuth 2.0官方图
在这里插入图片描述

角色区分

  • 客户端(Client):通常指用户
  • 资源拥有者(Resource Owner):用户想要访问的网站
  • 认证服务器(Authorization Server):三方
  • 资源服务器(Resource Server)
    在这里插入图片描述

Q&A

Q:为什么我们需要先拿授权码,再去换token,为什么不直接一步到位拿到token?

A:安全吧,对于用户来说,直接返回给他token,一方面他不关心,另外以防止有心之人拿到token去做一些坏事。

Q:如果防止CRSF攻击?

A:

  • 授权码是一次性使用的,基本都会立马被本身应用去处理掉,因此很难重复利用授权码去换取token。能够有效减少攻击
  • 授权的回调地址通常是配置需要配置在授权服务器中,一次会进行要求验证来源站点,一定程度上防范 CSRF 攻击。
  • 随机State参数

Q:为什么有了AccessToken,还需要RefreshToken?

A:(个人理解)

  • AccessToken可以设置短一点,RefreshToken可以可以设置长一点,这样可以防止AccessToken被盗用,不会长时间异常
  • 增加用户体验,可以无伤续token
  • 实时性会强一点,比如每次续token,都可以拿到最新用户数据
星辰月阔
关注
OAuth2.0 四种授权模式(图解)
流楚丶格念的博客
07-21 2万+
fragment主要是用来标识URI所标识资源里的某个资源,在URI的末尾通过(#)作为fragment的开头,其中#不属于fragment的值。(1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会附加客户端的身份信息。(1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会附加客户端的身份信息。(1)客户端向授权服务器发送自己的身份信息,并请求令牌(access_token)...
OAuth2.0面试题
koushen001的博客
09-26 731
例如,一个作用域可以表示访问用户的基本信息,另一个作用域可以表示访问用户的电子邮件地址。授权服务器会根据客户端的请求和资源所有者的授权来确定颁发的访问令牌的作用域。刷新令牌是一种特殊的令牌,用于在访问令牌过期后获取新的访问令牌。:在此流程中,客户端先重定向用户到授权服务器,用户登录并授权客户端,授权服务器颁发授权码,然后客户端使用授权码获取访问令牌。访问令牌是OAuth 2.0中的令牌,它用于访问受保护资源。:资源服务器存储和提供受保护的资源,只有在有效的访问令牌下才能访问。
运维锅总详解OAuth 2.0协议
专注于输出大概有用的软硬件技术!
07-13 1438
OAuth 2.0 作用及工作流程是什么?OAuth 2.0 有哪些应用场景?OAuth 2.0历史又是如何演进的?希望读完本文,能帮您解答这些疑惑!
OUATH2.0学习笔记-1
fuxuan_7的博客
11-09 353
Ouath 2.0 是什么? OAuth 2.0 就是一种授权协议。用来解决跨系统访问资源的权限控制。证第三方(软件)只有在获得授权之后,才可以进一步访问授权者的数据。 Ouath2.0工作流程 OAuth 2.0 流程许可类型中有最基本的四种授权许可类型,授权码许可、客户端凭据许可、隐式许可、资源拥有者凭据许可。 授权码许可,最安全、可靠。 授权的核心就是颁发访问令牌、使用访问令牌:下面是其工作流程的一个图示示例: 资源拥有者 -> 小明,第三方软件 -> 小兔软件,授权服务 -> 京
OAuth 2.0介绍
没有简介
08-24 4988
OAuth 2.0是一种授权框架,用于授权第三方应用访问用户的资源,比如用户的照片、个人信息等。OAuth 2.0定义了四种授权方式:授权码模式、隐式授权模式、密码模式和客户端模式。OAuth 2.0具有高度的安全性和可扩展性,被广泛应用于各种开放平台的接口鉴权,是目前应用最广泛的开放平台鉴权方式之一。
Oauth2.0的四种模式
qq_37457564的博客
07-25 2463
1. 授权码模式 (1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize? client_id=p2pweb&response_type=code&scope=app&redirect_uri=http://xx.xx/notify 参数列表如下: client_id:客户端接入标识。 response_type:授权码模式固定为code。 scope:客户端权限
OAuth 2.0
qq_52659547的博客
07-21 2592
OAuth 2.0
Java实现ouath2.0授权自定义登录页面认证的功能
最新发布
12-11
OAuth 2.0 是一种开放标准,用于让第三方应用能够获得用户的授权访问其受保护的数据。在 Java 中实现 OAuth 2.0 授权的过程通常涉及以下几个步骤: 1. **客户端注册**: - 首先,你需要在提供 OAuth 服务的服务器...
OAuth2.0学习(1-13)oauth2.0 的概念:资源、权限(角色)和scope
weixin_30335575的博客
06-21 857
mkk 关于资源的解释 :https://andaily.com/blog/?cat=19 resource用于将系统提供的各类资源进行分组管理, 每一个resource对应一个resource-id, 而一个client details至少要有一个resource-id (对应OauthClientDetails.resourceIds oauth_client_details.resou...
理解ouath2.0--实现过程、4种授权模式、安全事项以及解决重定向过程中参数丢失的问题
samur2的博客
06-05 1191
sfdr
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
OAuth2.0详细介绍与实践(通俗易懂)
热门推荐
cV展示的学习园
11-07 5万+
Oauth2.0详细介绍及其实践
ouath2.0
廖钺焕的博客
03-18 718
OAuth 2.0定义了四种授权方式。1.授权码模式(authorization token)2.简化模式(implicit)3.密码模式(resource owner password credentials)4.客户端模式(client credential)在详细讲解OAuth 2.0之前,先了解下面的几个专业名词,以便大家更好的去理解(1)、third-party application ...
OAuth 2.0的初步理解
方新德的博客
10-31 358
         OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。根据实际工作情况,本文对OAuth2.0做一个通俗的解释。 一、使用场景         用户购买荣事达智能设备,在我司app上注册账户,登录app,通过荣事达云平台控制智能设备。某一天用户希望通过科大讯飞控制在我司购买的智能设备。那用户如何向科大讯飞云平台授权呢...
SpringBoot整合OAuth2.0看完你就会了!
qq_41826150的博客
08-05 6446
OAuth 2.0是一种开放的授权协议,它允许用户授权第三方应用访问其账户(或资源),而无需共享其用户账户凭据。在Spring Boot中,我们可以使用Spring Security的OAuth2.0模块来实现授权验证。
Ouath 验证过程
weixin_30567225的博客
03-27 107
首先申请一个应用 获得AppKey和AppSecret 根据上面这两个东西到平台那里换取一个request_token 用这个request_token进行http get方式传参,打开平台那里的一个页面,这个页面就是让用户点击授权的 用户点完后,会跳转到一个由你指定的页面(这个页面可能是你申请应用的时候指定的,也可能是刚才传参的),这个页面url里会有一个参数,根据这个参数,可以...
OAuth的机制原理讲解及开发流程
weixin_34302798的博客
09-30 259
原文地址:http://kb.cnblogs.com/page/189153/ 本想前段时间就把自己通过QQ OAuth1.0、OAuth2.0协议进行验证而实现QQ登录的心得及Demo实例分享给大家,可一直很忙,今天抽点时间说下OAuth1.0协议原理,及讲解下QQ对于Oauth1.0的认证开发。闲话多说了点,下面直接进入主题。   1、OAuth的简述   OAuth(Open Auth...
什么是OAuth
endswell的专栏
09-13 3384
Oauth
Ouath2.0SpringCloud下验证获取授权码
走到无路可退
05-28 1013
Ouath2.0SpringCloud下获取授权码,验证授权码,刷新授权码 本文不主要介绍SpringCloud的其他组件,只展示Ouath2.0的集成代码,并演示授权码的获取,检验,刷新,展示其他模块是因为在Ouath2.0里面怕有人问这数据从哪里来的,如果觉得环境太麻烦,就直接看Ouath2.0服务的CustomUserService类实现,写些死数据就不需要集成其他服务依赖了,只需要关注O...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值