What is oauth2

原创 已于 2025-04-17 16:51:07 修改 · 753 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #架构 #web安全

于 2025-04-17 16:45:05 首次发布

What is oauth2

Introduction

Oauth2 设计的目的是为了可以让用户不用提供用户名密码给第三方,也能让第三方可以访问用户的resource。

例如 一个app 可以用微信登录,那就是指这个app会获取用户的微信name, logo 之类的信息去创建用户并登录。
当用户点击使用微信登录时,app会弹出微信授权的扫描界面,当用户打开微信扫描后,用户就可以登录这个app 了。
用户扫描微信授权的二维码,这个动作意味着
一 用户已经登录了微信,即完成了authentication; 二 扫描即表示授权,完成了authorization,即同意app获取用户的微信 user_profile.

这个过程,用户的密码是没有提供给app的,密码还是保存在微信这边,微信只是在用户授权完成之后,返回一个access_token 给app。app 既可用这个access_token 去获取用户的 user_profile 信息。

Information

  • resource owner
    An entity capable of granting access to a protected resource.
    When the resource owner is a person, it is referred to as an end-user.

    例子里这个就是用户

  • resource server
    The server hosting the protected resources, capable of accepting and responding to protected resource requests using access tokens.

    例子里这个就是微信平台

  • authorization server
    The server issuing access tokens to the client after successfully authenticating the resource owner and obtaining authorization.

    例子里这个就是微信平台

  • client
    An application making protected resource requests on behalf of the resource owner and with its authorization.

    例子里就是 app

如何使用oauth2

Client Registration

client 在使用oauth2 之前需要先注册到authorization server 才可以使用。

  • 为什么需要注册呢

通过注册 Client,授权服务器(Authorization Server)可以验证客户端的身份(例如通过 client_id 和 client_secret),确保只有合法的客户端能参与授权流程。

防止恶意应用冒充合法客户端(如钓鱼攻击)。

记录哪些客户端在访问资源,以便 追踪滥用行为(例如频繁请求令牌),统计使用情况或计费,在出现安全问题时快速撤销特定客户端的权限 等。

注册client 到authorization server, server 会返回client_id 和 client_secret 给 client。
client 注册的时候需要提供 redirection URI, client type 和其他一些信息例如 client 名字, description 等。

  • client type
    有 public 和 confidential 这两种。
    只有confidential才可以使用 client_secret。 因为public 无法保证client_secret的安全。

Client 申请authorization 的流程

Oauth 申请authorization grant的流程,根据grant type,有4种,分别是 authorization code, implicit, resource owner password credentials, and client credentials

这里只介绍用得最多也最通用的一种即 authorization code

The authorization code grant type 的类型是可以同时获取access token 和 refresh token的。
而且这种类型是一种 redirection-based 的flow,所以需要client 支持被回调。
下图这个流程是来自于RFC种的流程图,user-agent 一般是指 浏览器。

 +----------+
 | Resource |
 |   Owner  |
 |          |
 +----------+
      ^
      |
     (B)
 +----|-----+          Client Identifier      +---------------+
 |         -+----(A)-- & Redirection URI ---->|               |
 |  User-   |                                 | Authorization |
 |  Agent  -+----(B)-- User authenticates --->|     Server    |
 |          |                                 |               |
 |         -+----(C)-- Authorization Code ---<|               |
 +-|----|---+                                 +---------------+
   |    |                                         ^      v
  (A)  (C)                                        |      |
   |    |                                         |      |
   ^    v                                         |      |
 +---------+                                      |      |
 |         |>---(D)-- Authorization Code ---------'      |
 |  Client |          & Redirection URI                  |
 |         |                                             |
 |         |<---(E)----- Access Token -------------------'
 +---------+       (w/ Optional Refresh Token)

Note: The lines illustrating steps (A), (B), and ( C) are broken into two parts as they pass through the user-agent.

(A) The client 触发浏览器发送request 到authorization endpoint.
The client includes its client identifier, requested scope,
local state, and a redirection URI to which the authorization
server will send the user-agent back once access is granted (or denied).
这里 redirection URI 是optional的,如果不带则server使用在client registration 的提供的。

(B) 这个时候会弹出登录框提示用户输入用户名,密码来认证,认证后会显示需要授权的内容,用户再确认授权。

( C) 用户授权之后,server 会返回一个authorization code 并让浏览器通过redirection URI回到client.
类似下面这样
HTTP/1.1 302 Found Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

(D) client 带上前面收到的 authorization code 和其他的一些参数来请求 server 的token endpoint 来获取token.
参数需要 grant_typecodeclient_id, redirect_uri(optional, must be identical and included if A step brings), client_secret(optional, if need authenticate client).

这个步骤有一个问题,就是server 怎么验证client 的身份呢?正对类型为credential的,client 可以带上client_secret,但是对于public 类型的,或者client_secret 不够安全的,容易泄露的,怎么验证申请token 的client 就是获得授权的client呢? 这个时候就可以使用 Proof Key for Code Exchange (PKCE) 了。

PKCE 是oauth2 流程的一种扩展,简单来说就是在client 在 A 步骤(authorization request)的时候带上一个随机数给server。
然后在申请token步骤中,client也带上相同的随机数,如果server校验和之前的一样,那就确实是相同的client。

(E) Authorization server 通过了client 的认证,则返回access token and, optionally, a refresh token。注意,这一步access token 是不会通过 user-agent 了,因为access token 是什么重要的,不能泄露。

access token无效了或过期了,就可以用refresh token 是用来获取access token 的。 注意 refresh token 是发送给oauthrization server 的,不能发给 resource server。 而access token是发给 resource server 去获取resource 的。

  +--------+                                           +---------------+
  |        |--(A)------- Authorization Grant --------->|               |
  |        |                                           |               |
  |        |<-(B)----------- Access Token -------------|               |
  |        |               & Refresh Token             |               |
  |        |                                           |               |
  |        |                            +----------+   |               |
  |        |--(C)---- Access Token ---->|          |   |               |
  |        |                            |          |   |               |
  |        |<-(D)- Protected Resource --| Resource |   | Authorization |
  | Client |                            |  Server  |   |     Server    |
  |        |--(E)---- Access Token ---->|          |   |               |
  |        |                            |          |   |               |
  |        |<-(F)- Invalid Token Error -|          |   |               |
  |        |                            +----------+   |               |
  |        |                                           |               |
  |        |--(G)----------- Refresh Token ----------->|               |
  |        |                                           |               |
  |        |<-(H)----------- Access Token -------------|               |
  +--------+           & Optional Refresh Token        +---------------+

               Figure: Refreshing an Expired Access Token

Client 获取resource

通过access token 获取 resource

 +--------+                               +---------------+
 |        |--(A)----- Access Token ------>|    Resource   |
 | Client |                               |     Server    |
 |        |<-(B)--- Protected Resource ---|               |
 +--------+                               +---------------+

           Figure: Access Protected Resource

References

Oauth2 specification

predisw
关注
初识Spring Security OAuth2
weixin_38927257的博客
11-21 1628
文章目录SpringSecurityOAuth开发认证服务器和资源服务器SpringSecurityOAuth其实已经帮我们默认实现了以下一些东西:项目准备1. 添加依赖2. 配置认证服务器登录并授权获取token3. 配置资源服务器带着token去访问资源spring security oauth2 登录核心源码TokenEndpointClientDetailsTokenRequestCom...
oauth2重定向_什么是 OAuth 2.0 授权码模式?
weixin_39762075的博客
01-24 1951
原文章 作者:Aaron Parecki译者:MoCha => 摩卡先生前言授权码模式大概是我们所最常见的OAuth 2.0 授权模式。当用户授权给app时,授权码模式就会在网页应用和原生apps中使用到。本文章是本系列文章中的第一部分,我们将探讨常用的OAuth 2.0 授权模式。如果你想在我们深入之前了解更多有关OAuth 2.0的知识,请查看What the Heck is OAuth...
oauth2自定义登录页面
lixiang987654321的专栏
08-02 9327
OAuth2自定义登录页面 一、前言 继上一篇文章《OAuth2认证授权流程解析》,我们对OAuth2的4种认证模型的流程做了一一跟踪了解,我们知道当用户访问的资源需要认证之后,就会重定向到登录页面/login,此时就需要用户输入用户名和密码然后post方式提交到/login页面进行登录验证,如果验证通过则会跳转到原来的页面。 这里要说明的是OAuth2提供了默认的登录页面,当你访问资源需要认证时候,默认跳转到OAuth2的登录页面: 如果我们定义自己的页面,那么跳转后效果如下(虽然丑一点,不过您可以自己
OAuth1,OAuth2异同
Ian Sheng的博客
04-04 1204
##一、写在前面 在收集资料时,我查询和学习了许多介绍OAuth的文章,这些文章有好有坏,但大多是从个例出发。因此我想从官方文档出发,结合在stackoverflow上的一些讨论,一并整理一下。整理的内容分为OAuth1.0a和OAuth2两部分。 OAuth 1.0a:One Leg ->Two Leg -> Three Legged OAuth 2:Two Leg ->T...
oauth2 demo php,OAuth2 Demo PHP
weixin_32129195的博客
03-11 148
OAuth2 Demo PHP此应用程序的目的是演示OAuth2.0客户端和服务器之间的工作流。如果这是你第一次来这里,试图尝试的现场演示让OAuth2.0流更好的感觉。这个图书馆是oauth2服务器运行PHP库。安装使用Composer安装这个应用程序:$ git clone git://github.com/bshaffer/oauth2-demo-php.git$ cd oauth2-d...
OAuth2 协议及其四种授权模式
Earth_Programer的博客
04-24 1411
官方资料置顶,本篇文章主要结合官方资料与自己的使用经验对 OAuth2 协议做一个简单的记录。 部分翻译解释可能存在问题,如果发现了,欢迎及时在评论区向博主反馈。 官网 OAuth2 协议官方 pdf What is OAuth2 ? An open protocol to allow secure authorization in a simple and standard method fro...
OAuth 2 深入介绍
互扯程序的博客
04-08 1608
1、前言 OAuth 2 是一个授权框架,或称授权标准,它可以使第三方应用程序或客户端获得对HTTP服务上(例如 Google,GitHub )用户帐户信息的有限访问权限。OAuth 2 通过将用户身份验证委派给托管用户帐户的服务以及授权客户端访问用户帐户进行工作。综上,OAuth 2 可以为 Web 应用 和桌面应用以及移动应用提供授权流程。 本文将从OAuth 2 角色,授权许...
Oauth2 理解
zhzhl
02-24 3093
一、名词定义: 资源 Resource 资源所有者 Resource Owner 资源服务器 Resource Server 认证服务器 Authenticate Server 客户端 Client 客户端对应的服务器 ClientServer 二、用例 淘宝获取用户信息、github获取用户信息、用户授权快递员门禁码送快递 三、前提: 客户端系统 先在 【认证服务器 Authenticate Server】 注册 得到 appId 和 appSecret 四、方式:...
Spring Cloud之OAuth2
yangyangmyself的专栏
07-08 975
备:附件中OAuth2 授权服务器实现源码及PPT 一、Authorization code grant     The flow illustrated in Figure 1 includes the following steps: (A) The client (typically, a web application) initiates the flow by di...
oauth2.in.action
03-29
We want you to understand what the tool, OAuth 2.0, is really good at and how you can wield it effectively. We’re going to assume you know the basics of how HTTP works, and at least understand the ...
Grafana - Configure generic OAuth2 authentication
qq_34068440的博客
04-27 1628
【代码】Grafana - Configure generic OAuth2 authentication。
鉴权 OAuth 2.0的实现(Spring_Security_Oauth2
qq_25156781的博客
01-28 4110
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
SpringCloud-OAuth2(一):基础篇
weixin_45985053的博客
07-27 727
首先,OAuth不是API或服务它是开放的授权标准,任何人都可以实现。更具体地说,OAuth是应用程序可用于向客户端应用程序提供“安全委托访问”的标准。OAuth通过HTTPS进行工作,并使用访问令牌(而不是凭据)对设备,API,服务器和应用程序进行授权。什么是JWT?JSONWebToken(JWT)是⼀个开放的⾏业标准(RFC7519),它定义了⼀种简介的、⾃包含的协议格式,⽤于在通信双⽅传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使⽤。...
MVP改成MVVM模式
u014035162的专栏
12-05 836
面将登录示例改造成(基于 Android Jetpack 的 ViewModel + LiveData + DataBinding),核心是抛弃 Presenter 中间层,通过 ViewModel 管理数据和业务逻辑,LiveData 实现数据驱动 UI,DataBinding 简化视图与数据的绑定。
零基础学JAVA--Day41(IO文件流+IO流原理+InputStream+OutputStream)
最新发布
Dxxyyyy的博客
12-05 918
文件在程序中是以流的形式来操作的流:数据在数据源(文件)和程序(内存)之间经历的路径输入流:数据从数据源(文件)到程序(内存)的路径输出流:数据从程序(内存)到数据源(文件)的路径。
基于Springboot2+Vue2的旅游景点购票系统
自学网站s.jf3q.com,菜鸟的成长之路
12-02 748
本系统是一个集旅游景点信息展示、在线购票、用户游记分享与互动交流于一体的综合性平台。核心价值在于提供便捷的景点门票预订服务,同时构建活跃的旅游社区,促进用户间的经验分享。
Java 缓冲区优化
qq_43427354的博客
12-02 770
Java 中,缓冲区(Buffer) 是一块用于临时存储数据的内存区域,核心作用是协调数据生产者和消费者的速度差异,减少频繁 I/O 操作或数据拷贝的开销,提升程序性能。它本质是 “数据中转站”,避免了直接对原始数据源(如文件、网络流、数组)的频繁读写,通过 “批量处理” 优化效率。
Drools规则引擎实战指南
qq_41262225的博客
12-05 494
Drools规则引擎实战指南摘要 Drools是一款开源的Java业务规则管理系统(BRMS),通过将业务逻辑与代码分离,提高系统灵活性。本文介绍了Drools的核心架构,包括KieBase知识库、KieSession工作内存和规则执行队列Agenda。实战部分展示了Maven依赖配置、项目结构设计,以及实体模型定义方法。通过规则引擎,业务人员可直接维护业务规则,无需修改代码即可实现业务逻辑变更,显著提升系统可维护性。文章还提供了Spring Boot集成方案和规则文件组织结构,帮助开发者快速上手Drool
Java---集合
2301_80275859的博客
12-04 534
本文介绍了Java集合框架的核心概念和使用方法。主要内容包括:1)集合的基本概念和分类(单列集合Collection和双列集合Map);2)Collection接口的常用方法(add、remove、contains等)和两种遍历方式(迭代器和增强for循环);3)List接口特点(有序、可重复)及其实现类ArrayList、LinkedList和Vector的对比;4)Set接口特点(无序、不可重复)及其实现类HashSet和LinkedHashSet;5)底层数据结构分析,包括数组、链表和红黑树的应用场景
Java服务和oauth之间如何使用?
10-31
<think>Hmm, the user is asking about the usage between Java services and OAuth. Let me analyze this carefully based on the conversation history and references. First, looking back at the dialogue chain: The user initially asked "What is OAuth?" and received a comprehensive explanation. Then they followed up with a more specific query about Java-OAuth integration methods, citing several Java-related OAuth references [^1][^2][^3][^4][^5]. Ah, I notice all provided references are Java-focused - particularly about implementing OAuth 2.0 servers/clients in Java. The user seems to be transitioning from conceptual understanding to practical implementation. Their actual need appears to be: "As a Java developer, how do I actually implement OAuth in my services?" Breaking this down: - They'll need server-side components (authorization server setup) - Client integration techniques - Token handling workflows - Probably Spring Security OAuth2 given the Java context [^1][^4] - Database considerations for token storage [^5] The references mention key technical points: [^1] and [^4] discuss full Java-based OAuth implementation including auth/resource servers [^2] emphasizes Java's role in secure API authorization [^3] shows actual token request code [^5] reveals database-backed token management I should structure the response around implementation phases while weaving in these reference points. The user is clearly at the "how-to" stage after grasping OAuth basics. Since they cited Spring-specific examples, I'll focus on that ecosystem while keeping concepts transferable. Potential pitfalls to address: - Overwhelming the user with Spring Security complexity - Neglecting token security best practices - Forgetting practical examples like the code snippet in [^3] Better organize by development lifecycle: setup→configuration→client integration→security hardening. The JDBC token storage mention in [^5] is particularly valuable for production scenarios. Should demonstrate with concrete class/method names like AuthorizationCodeServices bean [^5] and OAuthAccessTokenResponse usage [^3]. </think>以下详细说明Java服务与OAuth的整合方法,结合引用内容分步解析核心实现: --- ### 一、OAuthJava中的核心组件 1. **授权服务器配置** - 使用Spring Security OAuth2库创建授权服务器 - 关键配置项: ```java @Configuration @EnableAuthorizationServer public class AuthServerConfig extends AuthorizationServerConfigurerAdapter { @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.inMemory() .withClient("web-app") // 客户端ID .secret(passwordEncoder.encode("secret")) // 密钥 .authorizedGrantTypes("authorization_code", "refresh_token") // 授权类型 .scopes("read", "write"); // 权限范围 } } ``` 参考数据库存储方案可改用`JdbcClientDetailsService`[^5] 2. **资源服务器保护API** - 验证访问令牌并拦截非法请求: ```java @Configuration @EnableResourceServer public class ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/api/**").authenticated(); // 保护API路径 } } ``` --- ### 二、客户端接入流程(授权码模式) 1. **用户重定向到授权端点** ```java String authUrl = "https://auth-server/oauth/authorize?" + "response_type=code&" + "client_id=web-app&" + "redirect_uri=http://client/callback"; response.sendRedirect(authUrl); // 触发用户授权 ``` 2. **获取访问令牌** - 用授权码交换令牌: ```java OAuthAccessTokenResponse tokenResponse = oAuthClient.accessToken( new AccessTokenRequest(authorizationCode, redirectUri), OAuth.HttpMethod.POST ); // 通过HTTP POST请求令牌[^3] String accessToken = tokenResponse.getAccessToken(); ``` 3. **调用受保护API** ```java HttpHeaders headers = new HttpHeaders(); headers.setBearerAuth(accessToken); // 令牌放入Authorization头 ResponseEntity<String> response = restTemplate.exchange( "https://resource-server/api/data", HttpMethod.GET, new HttpEntity<>(headers), String.class ); ``` --- ### 三、关键安全实践 1. **令牌存储** - 推荐数据库存储(如`oauth_access_token`表)替代内存存储[^5] - 使用JdbcTokenStore: ```java @Bean public TokenStore tokenStore(DataSource dataSource) { return new JdbcTokenStore(dataSource); } ``` 2. **加密配置** ```java @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); // 强哈希加密 } ``` 3. **刷新令牌机制** ```java if (tokenResponse.getExpiresIn() < 300) { // 令牌即将过期 RefreshTokenRequest refreshRequest = new RefreshTokenRequest( tokenResponse.getRefreshToken(), clientCredentials ); tokenResponse = oAuthClient.refreshToken(refreshRequest); } ``` --- ### 四、典型应用场景 | 场景 | 实施方案 | 优势 | |---------------------|----------------------------------|--------------------------| | 单点登录(SSO) | 多个服务共用同一授权服务器 | 统一认证入口[^1] | | API网关保护 | 网关层集成资源服务器配置 | 统一鉴权控制[^4] | | 第三方应用集成 | 提供authorization_code授权流程 | 避免密码泄露[^2] | > 通过标准化OAuth流程,Java应用可实现: > ✅ 用户身份与第三方应用解耦 [^2] > ✅ 细粒度资源访问控制 [^4] > ✅ 令牌自动刷新机制提升体验 [^1] ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值