Oauth2.0的4种登录方式

最新推荐文章于 2025-06-10 09:14:46 发布
最新推荐文章于 2025-06-10 09:14:46 发布
阅读量2.9k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: java 前端 ViewUI
原文链接:https://my.oschina.net/cloes/blog/894161
本文详细介绍了Oauth2.0的四种登录方式:Authorization Code Grant(第三方授权登录)、Implicit Grant(隐式授权)、Password Credentials Grant(用户密码授权)和Client Credentials Grant。重点解析了Authorization Code Grant的工作流程,强调了其安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为什么80%的码农都做不了架构师?>>>   hot3.png

Oauth2.0的4种登录方式

笔者使用Oauth2.0有一段时间了,网上的很多文章都只是描述了Oauth2.0其中的一种登录方式--第三方授权登录,然而Oauth2.0的RFC 6749文件中,明确指出了Oauth2.0的四种登录方式:

1.Authorization Code Grant授权方式(第三方授权登录)

这是最常见的一种登录方式,登录的原理图如下:

输入图片说明

(A)首先浏览器(上图显示为User Agent)将资源拥有者引导到认证节点(认证服务器),客户端(Client)包含了客户端的标识符、请求的范围、生成的status字段(用于避免csrf攻击),以及一个回调地址用于接收认证码(Authorization Code),认证服务器完成了鉴权操作后会调用这个回调URI

(B)通过浏览器,认证服务器验证了用户发过来的认证信息(用户名、密码),判断用户是否同意授权访问该资源。

(C)我们假设用户同意了访问特定资源的请求,认证服务器会向浏览器发送302跳转,引导浏览器跳转到步骤A所提供的回调URI,这个跳转会包含一个授权码(Authorization Code),以及在步骤A中提供的status字段。

(D)客户端(client)获取到授权码(Authorization Code)后,带上授权码(Authorization Code)向认证服务器发起获取access token的请求,同时在请求中带上了一个回调地址,该回调地址就是步骤C中的回调地址URI

(E)认证服务器校验了客户端的授权码(Authorization Code),以及确保了回调URI地址与步骤C中的回调URI一致时,认证服务器会返回一个access token

备注:

(1)上述的Authorization Code可以实现更加安全的避免中间人攻击,即使Authorization Code被截获了,依然不能获取到有效的access tokenm,因为认证服务器要秋特定的client Id加上Authorization Code才能获取access token,所以即使Authorization Code被黑客截获,也无法获取到access token,因为认证服务器只想特定的回调URI返回access token。

2.Implicit Grant(隐式授权)

使用该授权方式的客户端(Client)必须预先在认证服务器注册回调URI,详情见https://tools.ietf.org/html/rfc6749#section-3.1.2.2

原理图如下:

输入图片说明

3.Password Credentials Grant(用户密码授权)

这种登录方式和我们平时使用的用户名与密码登录方式类似,原理图如下:

输入图片说明

(A)用户把自己的username和password告诉客户端(Client)。

(B)客户端带上client_id、client_secret、username、password、scope(可选)等参数向认证服务器发起请求。

(C)认证服务器返回客户端(Client)一个access-token

注意:上述步骤(B)中client_id、client_secret是用于客户端(Client)的认证,保证这个客户端是一个认证的客户端。客户端认证的具体用途请查看Client Authentication

4.Client Credentials Grant

这种授权方式一般用于安全的客户端获取access token,这种方式只能用于安全可信赖的Client端

输入图片说明

(A)用户直接向认证服务器发起请求

(B)认证服务器对客户端的认证信息进行校验,如果合法就通过认证,返回access token

转载于:https://my.oschina.net/cloes/blog/894161

Oauth2.0的认证登录
爱上编程2705
07-17 2138
Oauth2.0的认证登录介绍 Oauth 2 中的登录地址localhost:8998/oauth/tokengrant_type=password&client_id=system&client_secret=system&scope=app&username=admin&password=admin 登录的请求接口在org.springframework.security.oauth2.provider.endpoint.TokenEndpoint中 登录
OAuth2.0登录四种方式
booleandev
07-09 2438
第一步,A 应用在命令行向 B 发出请求。
OAuth2 学习 之 四种认证方式
最新发布
zxguan 的博客
06-10 515
OAuth2定义了四种认证方式,适用于不同场景:1) 密码模式,适用于内部系统,用户直接提供凭证换取令牌;2) 简化模式,适用于单页应用,直接返回访问令牌但安全性较低;3) 客户端模式,适用于服务间通信,仅需客户端凭证;4) 授权码模式,适用于Web应用,通过授权码交换令牌,安全性最高。每种模式在客户端认证、用户凭证认证及安全性方面存在差异,开发者需根据具体场景选择合适的授权方式。授权码模式因其高安全性成为推荐方案。
oauth2.0四种访问方式
xianfengjunl的专栏
03-02 3219
oauth2.0四种访问方式
OAuth 2.0四种方式
人,一定要有激情
09-08 332
作者:阮一峰 日期:2019年4月 9日 上一篇文章介绍了 OAuth 2.0 是一种授权机制,主要用来颁发令牌(token)。本文接着介绍颁发令牌的实务操作。 下面我假定,你已经理解了 OAuth 2.0 的含义和设计思想,否则请先阅读这个系列的上一篇文章。 进入正文之前,插播一则活动消息。 422日(周一)到429日(下周一),每天晚上八点都有两小时的免费直播课,体系化介绍高级前端开发知识,网易云课堂主办。详细介绍请看本文结尾,欢迎关注。 RFC 6749 OAuth 2...
OAuth2.0 实现单点登录四种授权方式
qq_52066082的博客
03-30 4957
OAuth2.0 实现单点登录四种授权方式
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Oauth2.0 是一种 industry-standard 授权协议,提供了多种授权方式,例如授权码流程、隐式授权流程、密码流程和客户端凭证流程等。 二、短信验证码登录示例 在该示例中,我们将使用 Spring Security Oauth2.0 实现...
基于Django2.1.2OAuth2.0授权登录
04-15
OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0授权登录,可以让开发者轻松地为他们的Web应用...
react-google-oauth2.0:使用OAuth 2.0响应前端登录并集成Rest API后端
03-17
轻松将Google OAuth 2.0单一登录添加到React应用,并让您的服务器处理您的访问和刷新令牌。 该库可直接与配合使用,并以最少的设置立即提供Google OAuth 2.0集成。 文件: : 安装 npm install react-google-...
OAuth2.0代码模拟实现
12-26
OAuth2.0的核心在于提供了一种安全的方式,使得用户可以在保持对自身账户控制的同时,让其他应用可以临时或永久地获取其部分权限。 在"OAuth2.0代码模拟实现"项目中,我们看到两个服务器端项目——"wx-server"和...
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT 在 OAuth 2.0 中扮演了...
OAuth2.0授权系统实现单点登录
01-13
实现OAuth2授权,并且实现单点登录的小例子,请使用vs2015打开
百度第三方(OAuth2.0登录
08-30
含有详细文档+开放Demo实例。使用C#语言开发,MVC框架调用新浪微博第三方登录OAuth2.0接口。 详细介绍相关开发步骤信息。
OAuth2.0四种授权方式详解
卡了个卡
11-30 6881
OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。 OAuth1.0https://www.ietf.org/rfc/rfc5849.txt OAuth2.0https://tools.ietf.org/html/rfc6749 OAuth2.0定义了四种获取令牌的方式 授权码(authorization-code) 隐藏式(implicit) 密码式(password): 客户端凭..
OAuth协议的四种模式
Evan.Zhou的博客
02-09 1207
密码模式 Resource Owner Password 授权码模式 Authorization code grant 密码模式 1、用户提供用户名和密码给客户端应用 2、客户端应用使用用户提供的用户名和密码和自己应用的ClientId和ClientSecrect请求令牌 3、校验用户身份(用户名密码)和客户端应用身份(ClientSecrect)并返回访问令牌和刷新令牌 缺点:不安全,密码会...
OAuth2系列】如何使用OAuth 2.0实现安全授权?详解四种授权方式
c18213590220的博客
01-05 8650
在本文中,我们将全面解析 OAuth 2.0 的授权机制和应用场景,包括常用的四种授权方式以及相关的数据库表结构设计。通过实际的例子和详细的流程分析,希望能够帮助开发者快速掌握 OAuth 2.0 的核心概念和实现方法。
OAuth2.0授权码登录详解
zhang09090606的博客
07-04 4635
一、概述 我们平时登录各种网站时都会用到第三方账号登录,比如qq账号授权登录、GitHub账号授权登录等等,那么究竟是怎么实现的第三方账号登录的呢,其实就是通过OAuth2.0的机制 接下来的叙述都以微信登录同程旅行为例,先看下授权登录用户操作流程 1.用户先点击微信登录 2.弹出授权框点击同意后登录成功 二、OAuth2.0 重要的参数 (1)code码: 用户点击微信登录时,同程的客户端会调用微信提供的授权组件弹出授权框,当用户点击授权,那么微信组件将会申请一个code码给
对于OAuth的理解
大牛的IT征程
10-29 2986
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。oAuth是Open Authorization的简写。http://baike.baidu.com/link?url=XRcH9z5SLbVt
OAuth 2.0第三方授权登录
m0_74267125的博客
09-24 1815
用户访问客户端(第三方应用),客户端引导(重定向)用户的代理(浏览器)去到认证服务器的授权页面,这个时候客户端会在 URI 上附上 Client ID(客户端 ID,用于唯一标识)、Rediection URI(重定向 URI)和 Response Type(响应类型)、Scope(授权作用范围)等信息。2若 Access Token 未超时,那么进行 Refresh Token 不会改变 Access Token,但超时时间会刷新,相当于续期 Access Token。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值