二、怎么理解OAuth

最新推荐文章于 2025-05-30 14:52:24 发布
转载 最新推荐文章于 2025-05-30 14:52:24 发布 · 313 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://www.cnblogs.com/gdouzz/p/10224082.html

本文解析了OAuth2.0的原理与应用,阐述了其作为开放授权标准如何解决密码安全问题,通过引入授权服务器和Access_Token机制,确保第三方应用在获取用户数据时的安全性和可控性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

白话OAuth2.0

一、OAuth是什么

  OAuth简写:Open Authorization(开放授权)。百度百科上是这么说的:为用户资源提供了一个安全,开放而又简易的标准。解决了密码的反模式问题(第三方应用不需要知道我们的用户名和密码)。任何第三方都可以使用OAuth认证服务,任何服务商都可以提供OAuth的认证服务。互联网有很多服务Open API,很多大公司比如腾讯,谷歌,微软,github都提供了OAuth的认证服务。

二、怎么理解OAuth

       我看了很阮大大的教程,自己觉得他那个讲得是很好,下面也说说我自己的理解把。

       首先我们一个很常见的需求:第三方应用需要访问我们自己系统的用户数据,我们一般做法就是提供一个获取用户信息的API。

        如上图所示,如果这个时候来了一个恶意应用也要请求用户数据,讲道理恶意应用也可以获取数据。

   如果恶意应用也可以访问自己的用户数据,那就安全性无从谈起了。一般同志会马上想到给他们加上一个Access_Token,结构如下图所示:

  确实这个我要给它加上Access_Token,但是我们这个Access_Token到底由谁来维护呢。

     这个时候,我们就想着引入一个Access_Token由它专门来管理Access_Token(颁发,过期等等问题)。引入了授权服务器了之后,我们的系统结构就如下所示:

     

   上面这个过程,大家都可以理解,那么现在问题来了,这个token是说颁发就颁发的吗,到底是由谁来决定这个token的颁发呢。一般来说决定这个token颁发给谁,就是用户了。至此,OAuth里面的四个角色就顺理成章的出来。 1、第三方应用,2、授权服务器,3、资源服务器,4、用户(资源的拥有者)。

HOLD ON!
关注
深入理解OAuth 2.0:原理、流程与实践
八戒的博客
07-08 2756
OAuth 2.0 是一套关于授权的行业标准协议。OAuth 2.0 允许用户授权第三方应用访问他们在另一个服务提供方上的数据,而无需分享他们的凭据(如用户名、密码)。
深入理解OAuth 2.0
前端小巷子的博客
04-23 1095
在当今数字化时代,互联网应用之间的交互和数据共享变得越来越频繁。无论是社交媒体登录、云服务集成,还是移动应用的数据同步,授权机制都扮演着至关重要的角色。而OAuth 2.0作为一种广泛使用的开放授权标准协议,已经成为现代互联网架构中不可或缺的一部分。
oAuth
cxzhq2002的杂记
08-22 1027
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。 目录 OA
什么是oAuth
honghailiang的专栏
06-03 749
简单说就是授权
OAuth详解和应用
最新发布
m0_63779088的博客
05-30 1023
OAuth 是一种让你可以安全地使用其他网站的账户登录到某个应用程序的方法,而不需要告诉这个应用程序你的密码。想象一下,你想用你的 Google 账户登录一个新的应用,但你不想告诉这个应用你的 Google 密码。OAuth 就是解决这个问题的工具。
什么是OAuth
endswell的专栏
09-13 3443
Oauth
OAuth是什么?
weixin_34151004的博客
07-25 1167
一、OAuth的概念 1、问题的提出 2、应用场景   3、规范演进   OAuth的运行原理 1、参与者 访问私有数据需要用户参与(客户、用户、服务提供者) 访问公共数据不需要用户参与(客户、服务提供者) 2、典型场景     3、开源实现   三、OAuth的应用场景 1、 2、  ...
OAuth是什么
zyfei3910的博客
07-30 1397
OAuth是什么 OAuth协议致力于使网站和应用程序(统称为消费方)能够在无须用户透露其认证证书的情况下,通过API访问某个web服务(统称为服务提供方)的受保护资源。更一般地说,OAuth为API认证提供了一个可自由实现且通用的方法。 一个典型的例子是某打印服务提供商printer.example.com(消费方),希望在无须用户提供其照片存储站点密码的情况下,访问用户储存在服务提供方上的个人照片。 一、什么是OAuth协议 OAuth(开放授权)是一个开放标准。 允许第三方网站在用户授权的前提
通过Keycloak API理解OAuth2与OpenID Connect
热门推荐
锐意工作室
01-16 1万+
文章目录通过Keycloak API理解OAuth2与OpenID Connect前言OAuth2 介绍OAuth2核心概念OAuth2 核心数据JWTOAuth2 flowAuthorization Code Flow安装和运行Keycloak配置Keycloak访问Keycloak新增Realm新增Client新增Role新增UserKeycloak配置列表测试调用Keycloak的APIKeycloak endpoints用Postman测试访问Keycloak endpoints获取Authoriz
php oauth2.0认证登陆,理解OAuth2.0认证与客户端授权码模式详解
weixin_42393829的博客
03-10 947
一、什么是OAuth协议OAuth 协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 OAuth是安全的。OAuth 是 Open Authorization 的简写OAuth 本身不存在一个标准的实现,后端开发者自己根据实际的需求和...
OAuth2.0理解和用法
喜欢打篮球的普通人
07-30 932
资源的拥有者,通常就是用户,比如登录的用户。
OAuth 2.0最通俗易懂的理解
zhenwen1994的专栏
08-31 588
http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 看了好多好多,这篇文章是最通俗易懂的一篇。
什么叫oAuth
ant1239的专栏
03-18 660
看来的,记一下,比如在新浪微博,腾讯等开发平带创建了开发者账号以后,作为一个开发者,你申请去访问用户的保存在新浪服务器的数据,这个时候新浪会返回一个url,用webview显示就是 输入账号密码的界面,然后作为用户输入正确以后,就给开发者一个令牌,表示,“我允许你去访问我的数据”,这个时候,你就可以通过各种API来访问用户的数据,什么好友列表之类的。 这就是oAuth
OAUTH理解
kaikaijin的博客
02-20 1397
1.1 什么是OAUTH OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。即允许第三方网站在用户授权的前提下访问在用户在服务商那里存储的各种信息,而这种授权无需将用户提供的用户名和密码提供给该第三方网站。 1.2.OAuth认证授权主要特点 简单:容易理解使用 安全:没有涉及到用户密钥的信息,更安全灵活
OAuth到底是什么?
Henry_Wu001的专栏
04-13 4892
这是一个很大的规范,但主要的两个组件是它的身份验证请求协议(又称Web SSO),以及它打包身份属性并对其进行签名的方式,称为SAML断言。你可以输入你的电子邮件地址,然后它会动态发现你的OIDC提供者,动态下载元数据,动态知道要使用什么证书,并允许BYOI(带上你自己的身份,Bring Your Own Identity)。这在用户的浏览器上发生。在这种情况下,最终用户与他们的身份提供者对话,身份提供者生成一个经过加密签名的令牌,并将其传递给应用程序以对用户进行身份验证。对于不同的用例,它们是分开的。
OAuth的简单介绍
Pcccy的博客
05-29 1662
目录1.OAuth是什么?个人见解:简称单点登录,OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准,在这种标准下允许用户让第三方应用访问该用户在某一网站上存储的私密的资源数据,不需要将用户名和密码提供给第三方应用,非常的便捷。OAuth是Open Authorization的简写可分为四个对象: 客户端得到许可后从资源服务器中获取需要登陆的资源拥有者的个人信息
OAuth2.0是什么?
极客神殿
12-29 1364
OAuth2.0是OAuth协议的下一版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。同时为Web应用,桌面应用和手机,和起居室设备提供专门的认证流程。2012年10月,OAuth 2.0协议正式发布为RFC 6749。
OAuth(开放授权)介绍
m0_54187478的博客
11-30 589
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商上的信息,而无需将用户名和密码直接暴露给第三方应用。这个过程提供了一种安全的授权方式,常用于允许用户让第三方应用访问例如邮箱、存储空间、联系人列表等服务,而不需要将自己的登录凭证提供给第三方应用。
深入理解OAuth2授权流程与Java实现
在实验室环境中,通过实现和测试OAuth2协议,开发者可以加深对其工作机制的理解。 在本实验中,将详细探讨使用授权码(authorization_code)模式的授权服务器(Authorization Server)来实现安全的用户认证和授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值