OAuth 协议

最新推荐文章于 2025-05-18 14:45:40 发布
最新推荐文章于 2025-05-18 14:45:40 发布
阅读量709 收藏
点赞数
分类专栏: OAUTH 文章标签: token access redirect authorization server microsoft
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。
OAuth是一个开放的授权协议,它提供一个方法可以让用户(User)授权第三方应用(Client)来访问用户保存在服务器(Server)上的资源。(不需要获得用户名和密码)。
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。目前互联网很多服务如Open API,很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。
OAUTH协议特点
简单:不管是OAUTH服务提供者还是应用开发者,都很容易于理解与使用;
安全:没有涉及到用户密钥等信息,更安全更灵活;
开放:任何服务提供商都可以实现OAUTH,任何软件开发商都可以使用OAUTH;
OAUTH相关的三个URL:
  Request Token URL: 获取未授权的Request Token服务地址;
User Authorization URL: 获取用户授权的Request Token服务地址;Access Token URL: 用授权的Request Token换取Access Token的服务地址;

调查目标:实现QQ,新浪微薄,人人的账号进行身份验证。

调查结果:使用OAuth2.0实现。

说明:

1.  OAuth2.0支持更好。——人人只支持OAuth2.0;新浪微薄,QQ支持OAuth1.0和OAuth2.0;QQ微薄支持的是OAuth1.0a;网易微薄,搜狐微薄等支持OAuth1.0。

2.  OAuth2.0的好处在于实现起来更为简单(减少了访问Server的次数),安全性更高。每次得到的Access Token是变化的。

3.  OAuth1.0存在安全隐患,但其得到的Access Token是不变的,更利于身份验证。

 

协议简介:                                         

OAuth是一个开放的授权协议,它提供一个方法可以让用户(User)授权第三方应用(Client)来访问用户保存在服务器(Server)上的资源。(不需要获得用户名和密码)。

具体步骤:                                          

1.  向Server申请App key和AppSecret,填写相关的资料(重点是设置redirect URL)

说明:

由于在QQ开放平台设置redirect URL时需要在网页中添加语句验证,所以Demo中QQ部分的演示没能实现。

 

2.  重定向浏览器到授权地址。等用户完成授权,得到Token。(Android使用了WebView

说明:

 

1)  授权地址中需要传递的参数有:

Client ID
 
App key:936537698
Redirect URI
 
:www.example.com
Response type
 
:code
    Example:https://api.weibo.com/oauth2/authorize?client_id=936537698&redirect_uri=http://www.example.com&response_type=code
 
2)   用户确认授权后,浏览器会重定向到redirect URI,返回的地址中带有一个token
Example:www.example.com/code=Code 此处的Code保存起来换取Access Token
 
3)   需要注意的是,由于OAuth2.0都是使用的https, 在Android中使用WebView访问地址时需要重写WebViewClient类onReceivedSslError函数,使其在遇到错误时继续访问。
 

3.  用前一步得到的Token换取Access Token和UID

说明:

1)  发送post请求。

2)  参数如下:

Client ID

App key:936537698

Client Secret

App Secret:775f63c……

Grant type

:authorization_code

Code

:上一步得到的Code

Redirect URI

:www.example.com

3)  返回的是Josn数据,其包含的数据中有Access Token和UID对我们是有用的。(新浪与人人返回的Josn解析存在差异)。

4)  由于此处post到的依然是https的地址,所以需要对http Client进行一些处理。

 

4.  通过前一步得到的Access Token和UID向Server发送申请验证用户身份。

说明:

1)  发送get请求

2)  请求参数如下:

Access Token

:Josn数据中提取出来的access token

UID

:新浪中需要使用,人人可省略

 

3)  人人传递Access Token时需要进行进一步的Encode编码。

4)  如果成功,返回的也是一个Josn数据,其中会包含用户UID。

新浪Example:https://api.weibo.com/2/users/show.json?access_token=2.00tdYkCCkOc4BB706734f555Rov12D&uid=1872914593


OAuth协议
mr_phy的博客
06-11 1074
读音/’əu ‘ɔːθ/OAuthOAuth是一个关于授权的开放网络标准。应用场景有一个”云冲印”的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让”云冲印”读取自己储存在Google上的照片。问题是只有得到用户的授权,Google才会同意”云冲印”读取这些照片。那么,”云冲印”怎样获得用户的授权呢?传统方法是,用户将自己的Google用户名和密码,告诉”云冲印”,后者
oauth
iteye_9302的博客
10-08 282
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。目前互联网很多服务如Open API,很多大公司如Goo...
身份授权——OAuth 2.0协议
最新发布
这里是一个分享技术思考和开发实践的博客,内容涵盖编程语言、系统架构、算法设计以及日常开发中的问题与解决方案。偶尔也会记录一些学习心得和行业观察。希望通过文字沉淀经验,并与更多同行交流探讨。欢迎一起聊聊技术,或是任何有趣的话题。
05-18 1037
OAuth 2.0 是主流的第三方授权协议,通过颁发短期令牌(Access Token)替代密码,实现安全资源访问。核心流程包含授权码、隐藏式等四种模式,其中授权码模式最安全,适合Web应用。结合OIDC可扩展身份认证功能,需配合HTTPS、PKCE等机制防御CSRF/令牌泄露风险,适用于微信登录、API授权等场景。
oAuth协议
lanhu9080的博客
12-01 2121
oAuth协议 大纲:oAuth协议是什么?可以用在什么地方?最新的2.1版本有了什么更新变化? 简单介绍 协议很多,oAuth是什么? OAUTH,即Web 授权协议(Web Authorization Protocol)。该协议允许用户授予第三方网站或应用程序访问用户受保护资源的权限,而不必透露他们的长期凭据,甚至他们的身份(账号密码)。 与以往的用户资源授权方式不同的是,OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码)。即第三方无需使用用户的用户名与密码就可以申请获得该
OAuth协议 - 基本流程
05-01
博文链接:https://robustwang.iteye.com/blog/2399663
(源码)基于OAuth协议的MMIXEL单点登录系统(SSO).zip
02-11
# 基于OAuth协议的MMIXEL单点登录系统(SSO) ## 项目简介 MMIXEL单点登录系统(SSO)是一个基于OAuth协议的开源项目,旨在为应用开发者提供一种方便、安全的用户认证和授权登录机制。本项目的核心是创建一个可信...
使用OAuth协议来认证或登录各种微博
04-01
OAuth协议是一种授权机制,常用于在线服务提供商与第三方应用之间的身份验证和数据交换。在本文中,我们将深入探讨如何利用OAuth协议实现微博平台的认证和登录功能,以及如何通过源码学习这一过程。 首先,OAuth...
nemiro.oauth.dll:Nemiro.OAuth是一个类库,用于通过.NET Framework中的OAuth协议进行授权
02-03
Nemiro.OAuth是一个类库,用于通过.NET Framework中的OAuth协议进行授权。 该库提供了用于实现OAuth客户端的机制,还包含一个流行网站的即用型客户端。 Nemiro.OAuth是根据Apache许可证版本2.0发行的。 要安装...
OAuth2.0协议中文版.pdf
01-05
OAuth 2.0是一个应用之间彼此访问数据的开源授权协议。本文档是OAuth 2.0协议的中文翻译资料,供大家参考。
OAUTH协议
baidu_27632211的专栏
05-09 288
http://baike.baidu.com/link?url=f–pl595xzZRn4ZfrKKkwDU2_3L9EjhSOo6JdLZlHKp7CyJzRrdP9Xp6EAq6Q1_IGAL69L7zVsTbvdqZnpBtWq
OAuth授权协议
在所有的事情背后,要有一颗坚定的的本心,要有一颗应对变革和提升自我的本心,世界瞬息万变,本心要坚持到底,保持学习,时刻复盘
11-04 514
OAuth授权协议
OAuth协议 介绍
ciweiti5307的博客
04-08 168
OAuth协议 介绍[@more@]OAuth协议致力于使网站和应用程序(统称为消费方)能够在无须用户透露其认证证书的情况下,通过API访问某个web服务(统称为服务提供方)的受保护资源。更一般地说,OAuth为API认证提供了...
OAuth协议简介
程序员劝退师的博客
10-13 1305
OAuth协议要解决的问题 这里直接举例说明,如我们的微信账号,这个微信号上有我们一些用户信息,如头像昵称,性别等信息!作者我呢要开发一个APP,需要使用微信用户关联微信号登陆,那么就需要得到微信账号授权的用户数据,这里最大的问题是微信肯定不允许我们任意读取用户数据的,那么这里就需要微信用户的授权,授权同意后我使用微信账号的用户数据,当我们的APP有了微信用户的授权后,我们就可以在微信中读取授权用户的微信账户数据了,那么微信就会将用户的账号部分数据开放给我们了,那么我们如何得到用户的授权呢,最传统的做法就是
新浪微博OAuth授权的Java实现
meiyx89的博客
04-14 149
一、OAuth协议简介 OAuth授权在各社交网站中广泛使用,该协议使用户不需要直接向第三方应用提供用户名及密码,并且使一个账户在多个网站中使用成为可能,OAuth协议的细节描述可参考其官方网站:http://oauth.net 目前OAuth 1.0已经出了final version,即RFC 5849,OAuth 2.0也已在起草中。 这篇文章中,我想用比较通俗的语言来解释OAuth协议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值