最详细的一篇关于Oauth2.0认证模式

最新推荐文章于 2025-04-16 20:28:35 发布
最新推荐文章于 2025-04-16 20:28:35 发布
阅读量3.3k 收藏
点赞数
分类专栏: Java 文章标签: java jwt oauth2 认证授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42054155/article/details/115609898
版权
本文详细介绍了OAuth2.0的认证流程,包括授权码模式、密码模式、客户端模式和简化模式,以及在微服务中认证中心的角色和工作流程。同时,讨论了各种模式的安全性和适用场景,如授权码模式适用于Web服务器端应用,密码模式用于第一方应用,客户端模式用于完全信任的服务器端服务,简化模式适用于单页面应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不 需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向 后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服 务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准

Oauth协议目前发展到2.0版本,1.0版本过于复杂,2.0版本已得到广泛应用。

参考:https://baike.baidu.com/item/oAuth/7153134?fr=aladdin

Oauth协议:https://tools.ietf.org/html/rfc6749

Oauth2的认证流程

  • 流程图
    oauth2的认证流程

引自OAauth2.0协议rfc6749 https://tools.ietf.org/html/rfc6749

  • 概念:

    • 客户端

      本身不存储资源,需要通过资源拥有者的授权去请求资源服务器的资源,比如:Android客户端、Web客户端(浏 览器端)、微信客户端等。

    • 资源拥有者

      通常为用户,也可以是应用程序,即该资源的拥有者。

    • 授权服务器(也称认证服务器)

      用于服务提供商对资源拥有的身份进行认证、对访问资源进行授权,认证成功后会给客户端发放令牌 (access_token),作为客户端访问资源服务器的凭据。l例如:微信的认证服务器、支付宝的认证服务器

    • 资源服务器

      存储资源的服务器,例如:微信、支付宝等包含用户信息服务器,可以通过认证服务器认证之后,通过access_token获取微信、支付宝保存的用户信息

Oauth2的四种模式

授权码模式

简单来讲就是经过用户授权之后获取code,然后通过code到认证服务器获取access_otken

  • 认证流程

最低0.47元/天 解锁文章
【漏洞挖掘】——142、 逻辑漏洞之OAuth 2.0认证缺陷刨析
Fly_鹏程万里
07-29 656
我们在浏览到一个网页时经常会遇到需要使用一段第三方社交媒体的账户(Github、Facebook等)登录的情况,而这种大多数都是使用OAuth 2.0框架构建的,关于此项技术之前只是在一些功能站点中作为用户来使用并未对此进行深入研究,近出于对OAuth 2.0的安全评估需求,对OAuth 2.0的身份认证过程和安全脆弱性进行了一个从零到一的梳理并以文章方式呈现,本篇文章将着重介绍OAuth身份认证的原理、OAuth 身份认证过程中存在的安全问题以及如何正确使用OAuth进行身份认证
Spring Security 6.x 系列【24】OAuth2认证篇之OAuth 2.0 协议
记录知识、锤炼自我
04-20 1783
Open Authorization(开放授权)简称OAuth,它是一种开放标准的授权协议,允许用户授权第三方应用访问其在网站上受保护的资源。 2007年, OAuth 1.0 版本发布, 但是过于复杂,漏洞较多,2012年,OAuth 2.0正式发布,因为其简单易用,迅速成为使用广泛的版本,目前大多数的互联网产品,比如微信、支付宝、百度等都提供了OAuth认证服务。
oauth2.0认证及zuul网关配置
07-18
一个基于spring cloud组件zuul搭建的包括oauth2认证功能和网关gateway路由功能。
[认证授权] 1.OAuth2授权
weixin_33868027的博客
01-09 195
1 OAuth2解决什么问题的? 举个栗子先。小明在QQ空间积攒了多年的照片,想挑选一些照片来打印出来。然后小明在找到一家提供在线打印并且包邮的网站(我们叫它PP吧(Print Photo缩写
OAuth2.0详解
最新发布
跟佟格码路一起学习计算机知识吧~
04-16 2176
OAuth是一种广泛使用的授权框架,允许第三方应用程序在用户授权的情况下访问用户在某个服务上的资源,而无需共享用户的凭据(如用户名和密码)。
身份认证的实现——OAuth2.0
peanut的博客
07-29 383
文章目录一、理解OAuth 2.0二、OAuth 2.0 的一个简单解释二、OAuth 2.0 的四种方式 一、理解OAuth 2.0 http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 二、OAuth 2.0 的一个简单解释 http://www.ruanyifeng.com/blog/2019/04/oauth_design.html 二、OAuth 2.0 的四种方式 正常情况只看第一种就够了 http://www.ruanyifeng.com/
OAuth2.0认证
谢公子的博客
09-09 2164
目录 Oauth Oauth2.0 客户端应用注册 授权模式(authorization code)流程 简化模式(Implicit Flow)流程 密码模式(Resource owner password credentials)流程 客户端模式(Client Credentials Flow)流程 前言:开发者A注册某IT论坛后,发现可以在信息栏中填写自己的 Github ...
Oauth2.0 认证
m0_62943934的博客
12-09 1945
Oauth2.0 是非常流行的网络授权表准,已经广泛应用在全球范围内,比较大的公司,如腾讯等都有大量的应用场景。
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 2012
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
【通俗易懂介绍OAuth2.0协议以及4种授权模式
weixin_44585177的博客
09-22 2448
介绍了OAuth 2.0协议及其4种授权模式和刷新token机制,并且介绍了AuthorizationServerConfigurerAdapter里面三个configure方法的配置说明
OAuth 2.0授权框架中文版 [4.4] - 客户端凭证模式
李浩好好学习
10-30 511
OAuth 2.0授权框架中文版 [4.4] - 客户端凭证模式4.4 客户端凭证模式 - Client Credentials Grant4.4.1 授权请求和响应 - Autorization Request and Response4.4.2 访问令牌请求4.4.3 访问令牌响应 4.4 客户端凭证模式 - Client Credentials Grant 客户端可以仅通过客户端凭证(或其它受支持的认证方式)来请求访问令牌,用于访问其可控范围内的受保护资源,此外,也可以访问跟其他的与授权服务器提前协商
OAuth2.0授权系统实现单点登录
01-13
实现OAuth2授权,并且实现单点登录的小例子,请使用vs2015打开
OAuth2.0 - 四种授权模式(4 - 客户端凭证模式)
cibi7188的博客
11-16 2507
4.4. Client Credentials Grant(客户端凭证模式) 客户端模式(Client Credentials Grant)指客户端以自己的名义,而不是以用户的名义,向"授权服务提供商"进行认证。严格地说,客户端模式并不属于OAuth框架所要解决的问题。在这种模式...
Spring Cloud Zuul 网关使用与 OAuth2.0 认证授权服务
weixin_34186931的博客
07-13 1569
API 网关的出现的原因是微服务架构的出现,不同的微服务一般会有不同的服务地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题: 客户端会多次请求不同的微服务,增加了客户端的复杂性。 存在跨域请求,在一定场景下处理相对复杂。 认证复杂,每个服务都需要独立认证。 难以重构,随着项目的迭代,可能需要重新划分微服务。例如,可能将多个...
OAuth 2.0 认证过程
知无涯
11-25 3686
认证授权的过程中涉及的三方包括: 1、服务提供方,用户使用服务提供方来存储受保护的资源,如照片,视频,联系人列表。 2、用户,存放在服务提供方的受保护的资源的拥有者。 3、客户端,要访问服务提供方资源的第三方应用,通常是网站,如提供照片打印服务的网站。在认证过程之前,客户端要向服务提供者申请客户端标识。 使用OAuth进行认证授权的过程如下所示: 用户想操作存放在服务提供方的资源。...
Oauth2 认证
fjd7474的博客
03-15 8447
1 简介 1.1 基本概念 认证:用户访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,常见的账号密码登录,验证码登录,指纹登陆 授权:用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限 单点登录 SSO:用户在一个系统中登录,其他任意受信任的系统都可以访问,例如在京东主页登陆了,京东其他页面就不需要再登录,这个功能就叫单点登录。 第三方账号登录:第三方系统对用户认证通过 1.2 认证解决方案 1.2.1 单点登录技术方案 分布式系统要实现单点登录,通常将认证系统独立抽
OAuth2认证
hnhroot的博客
07-27 838
OAuth2是基于Token的认证协议,可以访问第三方的用户资源数据,而不需要密码例如B站使用微信登录,登录的时候区微信获取用户数据,是不需要用户在B站中输入用户的微信账号密码。
Oauth2认证
小白有个大牛梦
03-23 1954
什么是Oauth2
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值