Oauth2协议标准对接流程

最新推荐文章于 2025-04-07 08:55:35 发布
最新推荐文章于 2025-04-07 08:55:35 发布
阅读量1.1k 收藏 23
点赞数 11
分类专栏: 标准对接协议 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_61605183/article/details/144668025
版权

Oauth2协议标准对接

OAuth 2.0 协议支持不同的授权模式,每种模式都有其适用场景和流程:

在这里插入图片描述

a. 授权码模式 (Authorization Code Grant)

流程概述:最常见的模式,适用于需要通过浏览器与用户交互的场景。授权码模式通常用于 Web 应用,支持两步流程:

  • 获取授权码:用户授权后,授权服务器通过重定向将用户引导回客户端,并附带一个授权码 code
  • 通过授权码获取访问令牌:客户端使用该 code 通过后台与授权服务器交互,获得 access_token。授权码模式的优点是,access_token 在服务器端获取,而不会暴露给浏览器,因此相对更加安全。
b. 简化模式 (Implicit Grant)

流程概述:适用于客户端无法安全存储凭证的情况,例如前端的单页应用(SPA)。流程简化为一个步骤:

  • 用户授权后,授权服务器通过重定向直接将 access_token 返回给客户端。

这种方式通常不需要 authorization_code,直接返回 access_token,适用于短期会话

c. 资源所有者密码模式 (Resource Owner Password Credentials Grant)
  • 流程概述:适用于客户端是受信任的应用(如移动应用)。客户端直接收集用户的用户名和密码,使用这些凭证请求 access_token

这种方式需要用户的凭证(用户名和密码),通常不涉及授权码 code

d. 客户端凭证模式 (Client Credentials Grant)

  • 流程概述:用于服务到服务的授权。客户端直接通过自己的客户端凭证(client_idclient_secret)获取 access_token,不涉及用户授权。

    这种模式通常用于机器对机器的通信。

示例(企业微信第三方登录对接):

企业微信第三方登录 场景中,获取 authorization_code 之后,不需要为每个用户都单独请求一个新的 access_token,而是使用 通用的 access_token 来获取用户信息。这种设计主要是为了简化授权流程,提高效率,并且确保授权过程的一致性。

这种机制在 OAuth2 协议的实现上属于一种变种,通常被称为 “应用级授权”“全局授权”,通过一个 通用的 access_token 来代表应用或服务的授权。

  1. 获取 authorization_code

  • 用户通过浏览器登录企业微信或其他授权系统,在企业微信授权页面上点击同意。

  • 企业微信授权服务器将用户引导回你的回调地址,并附带一个 authorization_code(授权码)。

    例如,授权 URL 的回调会携带一个类似这样的授权码:
    https://yourdomain.com/callback?code=12345678

  1. 交换 authorization_code 获取通用 access_token
  • 通过 authorization_code,你的服务器会向企业微信的授权服务器请求一个 通用的 access_token,而不是为每个用户分别请求 access_token

​ 请求示例(伪代码):

POST https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=ID&corpsecret=SECRET

响应会返回一个 通用的 access_token,通常有效期是 2 小时:

{
  "access_token": "ACCESS_TOKEN",
  "expires_in": 7200
}

这里的 access_token 并不是针对某个特定用户,而是针对整个应用的。这意味着你可以使用同一个 access_token 来访问企业微信的接口,无论是获取用户信息、发送消息,还是查询其他企业微信数据。

  1. 使用通用 access_token 获取用户信息

  • 获取了通用的 access_token 后,你可以使用它来访问企业微信的 用户信息接口。此时,不需要为每个用户重新获取 access_token,只需要通过 authorization_code 获取一次,之后就可以在一段时间内(通常是 2 小时)使用相同的 access_token 来获取任何用户的信息。

    获取用户信息的请求(以 GET 请求为例):

GET https://qyapi.weixin.qq.com/cgi-bin/user/getuserinfo?access_token=ACCESS_TOKEN&code=CODE

响应:

{
  "errcode": 0,
  "errmsg": "ok",
  "userid": "zhangsan",
  "name": "张三",
  "department": [1],
  "position": "经理",
  "mobile": "13912345678"
}

通过这种方式,你可以在没有每次都去获取用户的 access_token 的情况下,使用 通用的 access_token 获取企业微信中所有需要的用户信息。

总结

  • authorization_codeaccess_token 是两种不同的令牌,它们的作用不同,使用的场景也不同。
  • authorization_code 主要用于初次授权后获取 access_token,而 access_token 是用来访问 API 和获取用户信息的。
  • 在企业微信的授权流程中,access_token 是应用级别的,不需要每次为每个用户获取,而是通过一次授权后可以在一段时间内重复使用它。
  • 通过这种方式,access_token 是跨用户共享的,适用于获取所有用户的信息,而不需要单独为每个用户获取新的 access_token

因此,使用通用的 access_token 来获取用户信息是正常的,符合 OAuth 2.0 授权的设计模式,尤其适用于需要频繁访问的应用场景。

再举例一个方式的oauth2协议的登录对接:

授权码模式:

第一步:

https://xxxxxxxxx/adfs/oauth2/authorize?

client_id=ff6c3de8-f4af-4a51-ad47-xxxxxxxxxxxx

&response_type=code

&redirect_uri=https://xxxxxxxxx/

&resource= https://xxxxxxxxx/

&state=12345

成功的响应:

GET https://xxxxxxxxx/?
code=AAAAAAAAvPM1KaPlrEqdFSBzjqfTGBCmLdeeSTLEMPGYuNHSUYBrq...
&state=12345

第二步:

POST /adfs/oauth2/token HTTP/1.1
Host: https://xxxxxxxxx/
Content-Type: application/x-www-form-urlencoded
client_id=ff6c3de8-f4af-4a51-ad47-xxxxxxxxxxxx
&code=AAAAAAAAvPM1KaPlrEqdFSBzjqfTGBCmLdeeSTLEMPGYuNHSUYBrq...
&redirect_uri=https://xxxxxxxxx/
&grant_type=authorization_code
&client_secret=JqQX2PNxxxxM0uEihUPzyrh

成功的响应:

{
 "access_token": 
"eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng2cCI6Ik5HVEZ2ZEstZnl0aEV1Q...",
 "token_type": "Bearer",
 "expires_in": 3599,
 "refresh_token": "AwABAAAAvPM1KaPlrEqdFSKujqfTGAMxZGUTdM0t4B4...",
 "refresh_token_expires_in": 28800,
 "id_token": 
"eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIMO.eyJhdWQiOiIyZDRkMTFhNt1mODE0LTQ2YTctOD...
",
}

其中,id_token 可以通过 jwt.io 解析从而获得用户信息

oauth2接入
qqBo1230的博客
08-16 1014
1.oauth2 oauth2(开放授权) 是一个开放标准,在不需要用户将账号密码提供给第三方应用,来授权访问,比如微信的第三方登陆 oauth2 有四种模式: 授权码模式(authorization_code ), 密码模式(password), 用户名和密码访问 隐式授权模式(Implicit Grant), 客户端凭证模式(Client ...
OAuth2.0和OIDC1.0
gnwu1111的专栏
08-08 615
试想微信的账号密码暴露给接入的客户端Client(比如新开发的App接入微信登录),那么Client端就可以拿着用户的微信账号为所欲为,这显然是最不安全的,微信也绝不可能同意,即便是我们自建的认证中心,接入的Client端也都是我们自己公司的应用,接入的Client都能拿到用户账号密码,显然也增加了用户账号密码泄露的风险,显然也是不可取的,关于用户的账密码,还是越少人(越少Client端应用)知道越好。应用的使用离不开用户,所以用户认证与授权通常亦成为了应用架构中不可或缺的一部分。
从零到一:用Java和Spring Security构建OAuth2授权服务器
最新发布
exlink2012的专栏
04-07 1321
本文将带领读者从零开始,使用Java和Spring Security框架构建一个功能完整的OAuth2授权服务器,深入理解OAuth2的核心概念和实现细节。
OAuth2标准接口
Leon_Jinhai_Sun的博客
12-17 424
OAuth2标准接口
OAuth2.0授权码模式对接与开发记录
weixin_42454225的博客
06-04 815
因为云云接入平台的原因,无论是作为客户端还是作为服务端都完成了OAuth2.0授权码模式的一条龙开发;在过程中不难免需要接收来自网络各式各样的OAuth2.0的时序图拆解,发现很少有一篇会从开发的角度上从时序图出发再到具体需要几个接口、设计几个缓存、刷新于授权机制等等;因此本篇作为唤醒未来的我记录而谱写创作;
OAuth2.0协议流程
西蒙博士
03-15 206
1、客户端向从资源所有者请求授权。授权请求可以直接向资源所有者发起,或者更可取的是通过作为中介的授权服务器间接发起。 2、客户端收到授权许可,这是一个代表资源所有者的授权的凭据,使用本规范中定义的四种许可类型之一或 者使用扩展许可类型表示。授权许可类型取决于客户端请求授权所使用的方式以及授权服务器支持的类型。 3、客户端与授权服务器进行身份认证并出示授权许可请求访问令牌。 4、授权服务器验证...
Oauth2.0基本流程
立志成为一个前端、后端、测试全方位发展的程序员
12-03 2615
复制这段内容后打开百度网盘App,操作更方便哦。 链接:https://pan.baidu.com/s/11qvTvr1M_KvmFTx95uaTcg 提取码:03oe–来自百度网盘超级会员V3的分享
微信 oauth2 授权流程 业务衔接
12-13
OAuth2是一种开放标准协议,用于应用程序之间安全地授权数据访问。它定义了一套用于获取和使用访问令牌的规则,这些令牌允许应用程序代表用户访问受保护资源,而无需用户提供密码等敏感信息。 **2. OpenID:** ...
基于python的统一身份认证授权管理解决方案,支持多种标准协议(LDAP, OAuth2, SAML, OpenID)
08-30
基于Python的统一身份认证授权管理系统提供了一种高效、安全的解决方案,它能够支持多种业界标准协议,如LDAP(轻量目录访问协议)、OAuth2、SAML(Security Assertion Markup Language)以及OpenID。这些协议在不同...
cas3.5.0集成oauth2.0协议
03-21
3. **授权流程**:当用户尝试访问受保护的资源时,会被重定向到CAS服务器的OAuth2.0授权页面。用户在这里授权CAS与第三方服务进行通信。 4. **获取访问令牌**:用户授权后,CAS服务器会返回一个访问令牌给客户端,...
sonar-oauth2:用于SonarQube的OAuth2身份验证插件
05-17
OAuth2是一种开放标准授权框架,广泛应用于各种服务中,如Google、Facebook和GitHub等。这个插件的目的是使得SonarQube用户能够使用OAuth2提供者(如Google或GitHub)的账户进行登录,而不是传统的用户名和密码方式...
OAuth2.0(QQ授权第三方登录)
12-21
自己练手写的第三方登录,主要重点在AfterAction中参数的配置以及方法的调用,注意Config中qqconnectin那个配置文件,里面的参数很重要
天猫精灵OAuth2对接流程实现详解 (.net版本)
4. 实现客户端认证和授权流程,确保客户端可以按照OAuth协议安全地请求访问令牌。 5. 测试OAuth流程,确保授权和令牌获取工作正常。 **压缩包子文件的文件名称列表**中的`Oauth2Server.sln`代表了一个Visual Studio...
oauth2oauth2接入流程
Meditation_Crazy
01-20 441
前言 转载自:https://blog.youkuaiyun.com/yichengjie_c/article/details/112102679
jwt oauth2 对接_OAuth2简易实战(三)-JWT
weixin_39622332的博客
12-20 213
1. OAuth2简易实战(三)-JWT1.1. 与OAuth2授权码模式差别授权服务器代码修改@Configuration@EnableAuthorizationServerpublic class OAuth2AuthorizationServer extends AuthorizationServerConfigurerAdapter {@Autowiredprivate Authentic...
OAuth2.0协议入门
Daniel462038751的专栏
10-20 2394
OAuth2.0 协议原理 OAuth 2.0 协议是一种三方授权协议,目前大部分的第三方登录与授权都是基于该协议标准或改进实现。OAuth 1.0 的标准2007 年发布,2.0 的标准则在 2011 年发布,其中 2.0 的标准取消所有 Token 的加密过程,并简化了授权流程,但因强制使用 HTTPS 协议,被认为安全性高于 1.0 的标准。 一. 基础应用:第三方登录 ​ 对于 OAuth2.0 协议(以下简称 OAuth 协议)的第一次接触,我相信大部分开发者都是通过对接第三方登录
OAuth 2.0系列教程(六) 端点
Gavin0808的专栏
06-29 895
OAuth 2.0系列教程(六) 端点 原文地址:http://tutorials.jenkov.com/oauth2/endpoints.html 作者:Jakob Jenkov   译者:林浩    校对:郭蕾 OAuth 2.0定义了一系列端点。端点典型的就是web服务器上的URI。比如,一个Java Servlet, JSP page, PHP page, ASP.N
OAuth 2.0(四):手把手带你写代码接入 OAuth 2.0 授权服务
m0_59598029的博客
01-12 922
1、关注 授权服务 的官方文档,开放平台接入文档是一个很重要的凭据。2、第三方软件接入授权尽量采用 服务端发起型 授权,使用 授权码许可机制,因为这更安全、更完备。3、强烈建议你手把手撸一遍,OAuth 2.0 接入的代码很考验基本功和代码风格,其中用到了 Redis 缓存、Hutool 工具去发起 Http 请求等。
OAuth2.0授权码模式用于系统对接
qq_43038960的博客
03-15 878
我们自己开发的系统需要与外部系统做对接,需要做统一认证登录,即外部系统没有登录页面,共用我们系统的登录,在我们系统登录成功的用户可以直接跳转至外部系统。这边直接采用了OAuth2.0授权码模式来实现的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值