二、怎么理解OAuth

本文解析了OAuth2.0的原理与应用,阐述了其作为开放授权标准如何解决密码安全问题,通过引入授权服务器和Access_Token机制,确保第三方应用在获取用户数据时的安全性和可控性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

白话OAuth2.0

一、OAuth是什么

  OAuth简写:Open Authorization(开放授权)。百度百科上是这么说的:为用户资源提供了一个安全,开放而又简易的标准。解决了密码的反模式问题(第三方应用不需要知道我们的用户名和密码)。任何第三方都可以使用OAuth认证服务,任何服务商都可以提供OAuth的认证服务。互联网有很多服务Open API,很多大公司比如腾讯,谷歌,微软,github都提供了OAuth的认证服务。

二、怎么理解OAuth

       我看了很阮大大的教程,自己觉得他那个讲得是很好,下面也说说我自己的理解把。

       首先我们一个很常见的需求:第三方应用需要访问我们自己系统的用户数据,我们一般做法就是提供一个获取用户信息的API。

        如上图所示,如果这个时候来了一个恶意应用也要请求用户数据,讲道理恶意应用也可以获取数据。

   如果恶意应用也可以访问自己的用户数据,那就安全性无从谈起了。一般同志会马上想到给他们加上一个Access_Token,结构如下图所示:

  确实这个我要给它加上Access_Token,但是我们这个Access_Token到底由谁来维护呢。

     这个时候,我们就想着引入一个Access_Token由它专门来管理Access_Token(颁发,过期等等问题)。引入了授权服务器了之后,我们的系统结构就如下所示:

     

   上面这个过程,大家都可以理解,那么现在问题来了,这个token是说颁发就颁发的吗,到底是由谁来决定这个token的颁发呢。一般来说决定这个token颁发给谁,就是用户了。至此,OAuth里面的四个角色就顺理成章的出来。 1、第三方应用,2、授权服务器,3、资源服务器,4、用户(资源的拥有者)。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值