我也想聊聊 OAuth 2.0 —— 基本概念

最新推荐文章于 2025-09-12 18:45:12 发布
最新推荐文章于 2025-09-12 18:45:12 发布
阅读量90 收藏
点赞数
文章标签: 设计模式
本文介绍了OAuth2.0协议的基本概念及其四种授权方式,并解释了它如何在第三方登录场景中保护用户隐私。

这是一篇待在草稿箱半年之久的文章

连我自己都不知道我的草稿箱有多少未发布的文章了。这应该是我在上一家公司未解散之前写的,记得当时是要做一个开发者中心,很不幸。
今天,打开草稿箱有种莫名的伤感,看到这个一系列关于 OAuth 的草稿(其实也就两篇而已),我决定重新发表出来。因为,我看到之前简单写的一个一行代码,发送邮件的小工具,放到Github上以后,好多大的企业在免费使用,如:某某新闻网、某某云服务和一家硬件公司,其实我非常高兴的,因为我一直在免费使用好多开源社区的福利。有机会做一点微薄的贡献,这个世界会更好。

第二篇:我也想聊聊 OAuth 2.0 —— Access Token

天反时为灾,地反物为妖

话说我也是今天看了霍金老师的《时间简史》后,我才知道霍金不姓「霍」,我在这里报以诚挚的歉意!对不起,霍老师,我不是人。
回到正题,最近公司的一个O2O项目,领导打算把用户数据共享给开发者,估计是疯了。当然,这也就涉及到开发者认证、API接口、Access Token、AppKey、OAuth这些你如果没接触过就会听的云里雾里的什么鬼。其实这些名词都包含在OAuth 2.0的概念中,从今天起,我要一步步掰开揉碎来理解它们,或许也能帮到你说不定。

什么是 OAuth 2.0?

为什么是2.0?肯定有1.0。
我打开了维基百科:OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名密码提供给第三方应用。看到这,也需你「哦」了一声,你是不是想起了QQ、微博等快捷登录、微信授权和TX的不要脸。OK,那接着看2.0。
OAuth 2.0是OAuth协议的下一版本,但不向下兼容OAuth 1.0。OAuth 2.0关注客户端开发者的简易性,同时为Web应用桌面应用手机,和起居室设备提供专门的认证流程。不就是升级版么,有什么了不起。对了,这就是 OAuth 2.0 。

为什么是 OAuth 2.0?

你今天刚刚发现了一个比较好玩的网站,它可以装逼,不是知乎,是逼乎。你是不是很好奇,点了进去,看到了这个「超目前主流扁平化设计的一种新型设计模式」的页面。逼乎登录页
是不是特别想进去看看,我不会告诉你里边有奥巴马、乔布斯和思聪的。当你去点击微博或QQ图标的时候,会跳转一个授权页面,当你输入你的账户及密码后,就可以去静静的装逼了。当然,逼乎是不会知道你的微博或QQ密码的,这就用到了 OAuth 2.0 协议。

OAuth 2.0 协议有哪几种?

上面说到的「第三方快捷登录」只是 OAuth 2.0 协议的其中一种,其实它是有四种授权方式的,但无论如何客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。四种授权方式如下:

  • 授权码模式(authorization code)
  • 简化模式(implicit)
  • 密码模式(resource owner password credentials)
  • 客户端模式(client credentials)

我这就不一一赘述具体每个方式所适应的情况了,我下面几篇文章就针对我们打算开发的「开发者中心」来一行行写代码。
但请你记住:OAuth 就是一个开放授权协议! OAuth 就是一个开放授权协议!! OAuth 就是一个开放授权协议!!

OAuth2 与 Spring Boot 集成 —— 打造安全高效的认证与授权系统!
**My Coding Family**
06-04 1689
🏆本文收录于「滚雪球学SpringBoot」专栏,手把手带你零基础入门Spring Boot,从入门到就业,助你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!
我也聊聊 OAuth 2.0 —— Access Token
weixin_33905756的博客
03-17 132
这是一篇待在草稿箱半年之久的文章 连我自己都不知道我的草稿箱有多少未发布的文章了。这应该是我在上一家公司未解散之前写的,记得当时是要做一个开发者中心,很不幸。 今天,打开草稿箱有种莫名的伤感,看到这个一系列关于 OAuth 的草稿(其实也就两篇而已),我决定重新发表出来。因为,我看到之前简单写的一个一行代码,发送邮件的小工具,放到Github上以后,好多大的企业在免费使用,如:某某新闻网、某某云服...
OAuth2.0-授权码模式
请叫我菜鸟
01-07 1181
由于豆瓣只关心像qq发起authorize请求后会返回一个code,并不关心qq是如何校验用户的,并且这个过程每个授权服务器可能会做些个性化的处理,只要最终的结果是返回给浏览器一个重定向并附上code即可,所以这个过程在图中并没有详细展开。qq的服务器接受到了豆瓣访问的authorize,在次例中所给出的回应是跳转到qq的登录页面,用户输入账号密码点击授权并登录按钮后,一定还会访问qq服务器中校验用户名密码的方法,若校验成功,该方法会响应浏览器一个重定向地址,并附上一个。总之第一步即对应了图中的这些部分。
聊聊OAuth2.0和OIDC
09-06 717
[toc]]
低代码如何构建支持OAuth2.0的后端Web API
葡萄城技术团队博客
07-13 3563
OAuth 是一个安全协议,用于保护全球范围内大量且不断增长的Web API。它用于连接不同的网站,还支持原生应用和移动应用于云服务之间的连接,同时它也是各个领域标准协议中的安全层。(图片来源网络)接下来我们来仔细聊聊OAuth2.0是什么,有什么用处。再说OAuth2.0之前,我们先聊聊OAuth。大家可以把它理解为OpenID的补充,但是服务内容完全不同。OAuth允许用户授权第三方网站访问他们存储在其他网站服务器上的信息,而不需要分享他们的访问许可或他们数据的所有内容。OAuth2.0尽管是OAuth
OAuth2.0实现第三方登录
静心123的博客
04-28 1768
目录 引言 OAuth2.0是什么 OAuth2.0怎么写 1、引言 本篇文章是介绍OAuth2.0中最经典最常用的一种授权模式:授权码模式 非常简单的一件事情,网上一堆神乎其神的讲解,让我不得不写一篇文章来终结它们。 一项新的技术,无非就是了解它是什么,为什么,怎么用。至于为什么,本篇文章不做重点探讨,网上会有各种文章举各种什么丢钥匙、发船票的例子供你去阅读,个人认为还是有些哗众取宠,没有聊到本质。 那我们就重点聊聊OAuth2.0是什么,怎么用。但首先在读本文之前,你要先对OAuth2.0有一定的了
Spring Security OAuth 2.0学习总结
Ybt_c_index的博客
08-01 7360
继上一篇Spring Security的文章,这次聊聊Spring Security OAuth 2.0,当然还是只能简单聊聊,比较基础和片面。 首先说一下主要参考的文章: 阮一峰的《理解OAuth 2.0》 徐靖峰的《Re:从零开始的Spring Security Oauth2系列》 Spring的《OAuth 2 Developers Guide》 也就是说,还是拾人牙慧。 OAu...
一张图搞定OAuth2.0
第27号专栏
05-19 292
1、引言 本篇文章是介绍OAuth2.0中最经典最常用的一种授权模式:授权码模式 非常简单的一件事情,网上一堆神乎其神的讲解,让我不得不写一篇文章来终结它们。 一项新的技术,无非就是了解它是什么,为什么,怎么用。至于为什么,本篇文章不做重点探讨,网上会有各种文章举各种什么丢钥匙、发船票的例子供你去阅读,个人认为还是有些哗众取宠,没有聊到本质。 那我们就重点聊聊OAuth2.0是什么,怎么用...
【高频考点精讲】前端OAuth2.0安全实践:授权码流程和PKCE扩展详解
全栈老李的博客
05-17 1371
🧑‍🏫:全栈老李📅:2025 年 5 月🧑‍💻:前端初学者、进阶开发者🚀:本文由全栈老李原创,转载请注明出处。大家好,我是全栈老李。今天咱们聊聊前端开发中绕不开的安全话题——OAuth2.0。这玩意儿就像互联网世界的"签证官",决定谁可以进你家门(访问用户数据),但最近几年"假签证"(安全攻击)越来越多,所以得好好研究下怎么把门守严实了。
Oauth2.0 介绍
MrBlackWhite的博客
08-21 147
本文文章转载,出自https://www.cnblogs.com/flashsun/p/7424071.html 一张图搞定OAuth2.0 目录 1、引言 2OAuth2.0是什么 3、OAuth2.0怎么写 1、引言 本篇文章是介绍OAuth2.0中最经典最常用的一种授权模式:授权码模式 非常简单的一件事情,网上一堆神乎其神的讲解,让我不得不写一篇文章来终结它们。 一...
C++设计模式之工厂模式
不会C++、害怕嵌入式且不爱看动漫的小趴菜
09-10 2352
本文详解C++设计模式的工厂模式,让C++编程能力和思维更进一步
前端设计模式全解(23 种)
用于分享前端相关的知识和架构体系
09-12 417
前端设计模式概述 设计模式是解决常见软件设计问题的可复用方案。在前端开发中,23种经典模式(由GoF提出)可提升代码质量。主要分为三类: 创建型模式:控制对象实例化,如单例模式(全局状态管理)、工厂模式(环境适配创建)、建造者模式(组件渐进构建) 结构型模式:处理对象组合,如适配器(接口兼容)、装饰器(功能扩展)、代理(访问控制) 行为型模式:管理对象交互,如责任链(请求处理链)、命令模式(操作封装) 典型应用包括: 状态管理(单例) 组件构建(工厂/建造者) API封装(外观/代理) 功能扩展(装饰器)
从源码和设计模式深挖AQS(AbstractQueuedSynchronizer)
2301_81016208的博客
09-11 948
AQS 核心概念与架构: AbstractQueuedSynchronizer(AQS)是Java并发包的核心框架,采用CLH变体的FIFO双向队列和volatile状态变量实现同步机制。核心结构包含:1)volatile int state表示资源状态;2)Node节点队列管理等待线程,节点保存线程引用、前后指针及等待状态(CANCELLED/SIGNAL等);3)支持SHARED和EXCLUSIVE两种模式。AQS通过CAS操作state和队列节点实现高效同步
图解设计模式2
一般路过底层打工人的博客
09-10 657
简要介绍23中设计模式,作为《图解设计模式》的阅读笔记
设计模式-适配器&备忘录&组合&迭代器
荼图的博客
09-11 568
适配器模式(Adapter Pattern)是一种结构型设计模式,它允许将一个接口转换成客户端所期望的另一个接口。。
设计模式(C++)详解—抽象工厂模式 (Abstract Factory)(2)
最新发布
weixin_42108533的博客
09-12 544
抽象工厂模式详解 抽象工厂模式是一种创建型设计模式,用于创建一系列相关或依赖对象的家族。它解决了在不指定具体类的情况下创建相互关联的产品对象的问题。 核心特点: 提供"工厂的工厂"概念,能创建整套相互关联的产品 确保创建的产品能协同工作(如苹果生态设备) 客户端代码只依赖抽象接口,与具体实现解耦 适用场景: 跨平台UI组件开发 数据库访问层 游戏开发中的不同风格角色/道具 主题系统切换 优势: 产品兼容性保证 易于切换整套产品族 符合开闭原则(新增产品族无需修改代码) 扩展性特点: 纵向
C++设计模式,高级开发,算法原理实战,系统设计与实战(视频教程)
闲余知道
09-10 1342
C++设计模式,高级开发,算法原理实战,系统设计与实战(视频教程)
C++ 设计模式《外卖菜单展示》
xiaofeng的博客
09-08 447
public:适用场景描述不同集合类型统一遍历vector、list、map 等不同结构隐藏内部结构客户端不关心菜单内部支持并发、懒加载遍历支持自定义迭代顺序和惰性加载等。
oauth2.0基本概念
03-04
### OAuth 2.0 基本原理和概念 #### 授权委托模式 OAuth 2.0 是一种开放标准的身份验证协议,允许应用程序在不暴露用户凭证的情况下获取有限的访问权限。该协议基于授权委托模型,在这种模型中,资源所有者(通常是最终用户)授予第三方应用对其受保护资源(如个人资料、联系人列表等)的访问权。 #### 主要角色定义 - **客户端 (Client)**: 请求访问受保护资源的应用程序。 - **授权服务器 (Authorization Server)**: 验证用户的凭据并发放访问令牌给客户端。 - **资源拥有者 (Resource Owner)**: 能够给予或拒绝访问其受保护资源的人,一般是终端用户。 - **资源服务器 (Resource Server)**: 存储着被请求的数据的服务端组件;它依赖于有效的访问令牌来决定是否响应来自客户端的API调用[^3]。 #### 认证流程概述 当一个客户端希望获得对特定资源的访问时,必须先得到资源拥有的同意并通过授权服务器完成身份验证过程。一旦成功,客户端就会收到一个短暂存在的访问令牌,这个令牌可以在一定时间内用于向资源服务器发起合法请求。整个过程中不会涉及到任何敏感信息如用户名/密码直接传递给第三方应用[^2]。 ```python import requests def get_access_token(client_id, client_secret, authorization_code, redirect_uri): url = 'https://authorization-server.com/oauth/token' payload = { 'grant_type': 'authorization_code', 'code': authorization_code, 'redirect_uri': redirect_uri, 'client_id': client_id, 'client_secret': client_secret } response = requests.post(url, data=payload) token_info = response.json() return token_info['access_token'] ``` 上述代码展示了如何利用 `requests` 库发送 POST 请求至授权服务器以换取访问令牌的一个简单例子。实际应用场景可能更加复杂,并且需要处理更多细节,比如错误情况下的重试逻辑以及刷新过期令牌等功能[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值