OAuth2.0 四种授权模式(图解)

已于 2023-06-09 08:07:28 修改
阅读量2.5w 收藏 59
点赞数 9
分类专栏: # SpringCloud Java面试知识点精讲 文章标签: 服务器 java 网络
于 2022-07-21 21:00:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45525272/article/details/125920928
版权
本文详细介绍了OAuth2.0的四种授权模式:授权码模式、密码模式、客户端模式和简化模式,包括每个模式的流程、应用场景和安全性考虑。授权码模式是最安全的,适用于Web服务器端应用;密码模式适用于第一方应用,直接处理用户敏感信息;客户端模式适用于完全信任的服务器端服务;简化模式则简化了授权流程,适用于第三方单页面应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

1. 四种模式

OAuth2.0提供了四种授权(获取令牌)方式,四种方式均采用不同的执行流程,让我们适应不同的场景。

1.0 前导知识

OAuth2.0中有四个重要角色:

OAauth2.0包括的角色 说明
客户端 本身不存储资源,需要通过资源拥有者的授权去请求资源服务器的资源,比如:Android客户端、Web客户端(浏览器端)、微信客户端等。
资源拥有者 通常为用户,也可以是应用程序,即该资源的拥有者。
授权服务器(也称认证服务器) 用于服务提供商对资源拥有的身份进行认证、对访问资源进行授权,认证成功后会给客户端发放令牌 (access_token),作为客户端访问资源服务器的凭据。本例为微信的认证服务器。
资源服务器 存储资源的服务器,本例子为微信存储的用户信息。

拿微信授权其他平台登录为例,该角色在流程中对应关系如下:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Spring Security OAuth2 四种认证模式(含流程图)
诺浅的专栏
11-16 8399
什么是OAuth2 OAuth2 其实是一个关于授权网络标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 PS:如果不能理解就想想你用微信/QQ登录优快云的时候,你并不需要告诉优快云你的QQ密码就能登录,是怎么实现的?其实采用OAuth2就可以实现 什么是Spring Security OAuth2 上面说了OAuth2是一个标准,而Spring Security基于这个标准进行了实现,这个实现就是Spring
OAuth2 四种授权使用场景,图文结合不能再清晰了
stone_tmp的博客
06-21 480
1 OAuth 2.0 定义了四种授权方式 密码模式(resource owner password credentials) 授权模式(authorization code) 简化模式(implicit) 客户端模式(client credentials) 1.1 密码模式 这种模式是最不推荐的,因为 client 可能存了用户密码 这种模式主要用来做遗留项目升级为 oauth2 的适配方案 当然如果 client 是自家的应用,也是可以 支持 refresh token 一.
【六袆-时序图】SSO单点登录时序图;单点注销时序图;
六祎的博客
11-06 5190
用户访问系统1的受保护资源,系统1发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数 sso认证中心发现用户未登录,将用户引导至登录页面 用户输入用户名密码提交登录申请 sso认证中心校验用户信息,创建用户与sso认证中心之间的会话,称为全局会话,同时创建授权令牌 sso认证中心带着令牌跳转会最初的请求地址(系统1) 系统1拿到令牌,去sso认证中心校验令牌是否有效 sso认证中心校验令牌,返回有效,注册系统1 系统1使用该令牌创建与用户的会话,称为局部会话,返回受保护...
spring security oauth2.0搭建用户认证服务()
u013911102的博客
09-10 735
项目场景: 言归正传,我们上一篇文章搭建的spring security显然不符合我们的需求,因此我们要在原来的基础上引入oauth.通过jwt的形式来完成登录模块。本篇文章我们只是引入oauth。 技术详解: 我们之前的配置只不过是引入了spring security,现在我们要加入oauth。 第一步:配置数据库 create table oauth_client_details ( client_id VARCHAR(256) PRIMARY KEY, resource_ids V
OAuth2.0详解
最新发布
跟佟格码路一起学习计算机知识吧~
04-16 2146
OAuth是一种广泛使用的授权框架,允许第三方应用程序在用户授权的情况下访问用户在某个服务上的资源,而无需共享用户的凭据(如用户名和密码)。
OAuth 2.0
xzy的博客
10-12 1898
第一步,A 应用在命令行向 B 发出请求。上面 URL 中,
OAuth2四种模式
乐天派
10-13 3745
现在的互联网流量入口基本上被几大巨头(BAT、TMD)所把持,对于新上线的应用获取用户比较快捷的方式就是通过OAuth2协议接入它们的账号系统。降低用户注册&登录成本,是大部分新上线应用的选择。比如前段时间吵得沸沸扬扬的抖音滥用腾讯系(微信、QQ)用户信息(头像、昵称)事件,就是因为抖音上线时通过OAuth2接入了腾讯系的账号体系,后面未经腾讯同意就将用户信息给多闪使用。 本文将介绍OAu...
Oauth2.0四种模式
qq_37457564的博客
07-25 2463
1. 授权模式 (1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会 附加客户端的身份信息。如: /uaa/oauth/authorize? client_id=p2pweb&response_type=code&scope=app&redirect_uri=http://xx.xx/notify 参数列表如下: client_id:客户端接入标识。 response_type:授权模式固定为code。 scope:客户端权限
OAuth2.0四种模式的详解
weixin_47713590的博客
09-25 1803
授权模式:最安全,适合 Web 应用程序,涉及用户授权服务器端代码交换。简化模式:适用于前端应用,访问令牌直接暴露在 URL 中,适合不需要高安全性的应用。密码模式:用于高信任度的环境,用户直接向客户端提供凭证,安全性较低。客户端模式:用于应用之间的通信,没有用户参与,适合后台服务的交互。不同的授权模式根据应用场景、客户端类型和安全要求的不同有着各自的适用范围,选择合适的模式可以提高系统的安全性和易用性。
OAuth2.0概述
qq_43843037的博客
01-24 1万+
OAuth2.0概述 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三 方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及
OAuth2四种不同的标准模式
记事本
06-10 5554
OAuth2标准为了应对不同的场景,设计了四种不同的标准模式。 1、授权模式 授权模式四种模式中最繁琐也是最安全的一种模式。 client向资源服务器请求资源,被重定向到授权服务器(AuthorizationServer) 浏览器向资源拥有者索要授权,之后将用户授权发送给授权服务器 授权服务器授权码(AuthorizationCode)转经浏览器发送给client c...
OAuth 2.0:为什么有了授权码(Code)还需要访问令牌(Access Token)?
目标架构师
01-14 1033
和**授权模式(Authorization Code Grant)**的完整流程讲起。是最常用的授权协议。授权模式OAuth 2.0 中最安全的一种授权方式,主要用于。为了深入理解这个问题,我们需要从 OAuth 2.0 的。如果 Token 有效,资源服务器返回用户数据。用户点击登录按钮,客户端将用户重定向到。用户同意授权后,授权服务器返回一个。OAuth 2.0 的核心思想是。在现代 Web 应用中,发送到授权服务器,换取。
OAuth2.0原理与攻击面
crystal_shrimps的博客
10-23 1190
文章目录OAuth2.0协议原理令牌与密码OAuth的参与实体OAuth2.0流程授权模式授权模式简化模式客户端模式密码模式令牌刷新安全漏洞access_token未绑定用户CSRF绑定劫持redirect_url授权劫持简化授权模式授权模式防御 OAuth2.0协议原理 OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取部分用户数据。 OAuth2.0OAuth协议的下...
OAuth2.0四种授权模式
weixin_34192816的博客
06-12 740
1. OAuth2简易实战(一)-四种模式 1.1. 隐式授权模式(Implicit Grant) 第一步:用户访问页面时,重定向到认证服务器。 第二步:认证服务器给用户一个认证页面,等待用户授权。 第三步:用户授权,认证服务器想应用页面返回Token 第四步:验证Token,访问真正的资源页面 1.2. 授权授权模式(Authorization code Gra...
OAuth2.0 四种模式
m0_60492092的博客
06-28 1237
优点:access_token不会经过浏览器或移动端的App,而是直接从服务端去交换,这样就最大限度的减小了令牌泄漏的风险,安全性高。优点:不需要多次请求转发,额外开销,同时可以获取更多的用户信息。缺点:安全性无法保障,需要授权应用完全信任,且授权应用安全可靠。缺点:没有后台,授权码暴露在前端,安全性无法保障。缺点:局限性,认证服务器和应用方必须有超高的信赖。优点:无用户参与,过程简单。
Oauth2.0四种授权模式适用场景和授权流程介绍以及个人的一些思考
玖涯博客
03-09 5313
Oauth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准,先前曾经了解过在 spring-security-oauth2Oauth 四种模式的实现,也通过 Shiro 实现了 Oauth授权流程。 目前 spring-security-oauth2 已经被逐步废弃,Spring 也提供了新的框架 spring-authorization-server,整个框架基于 Oauth 2.1 开发。目前重新整理项目代码,借此机会详细梳理一遍 Oauth2.0 授权模式的适用场景和授权流程,
spring security oauth2.0四种模式
LCY133的博客
04-12 1056
OAuth 2.0 定义了(Grant Type),用于不同场景下的令牌获取。•(有后端服务器)•(需安全存储• 最安全的模式,fill:#333;访问客户端重定向到授权服务器登录并授权重定向回客户端(携带授权码 code)传递 code用 code 换取令牌(client_id + client_secret)返回访问令牌(access_token)和刷新令牌(refresh_token)用 access_token 访问资源• 令牌不暴露给浏览器(通过后端交换)• 支持。
OAuth 2.0四种认证模式
wangfenglei123456的博客
09-08 2549
OAuth 2四种模式 授权码(authorization-code) 隐藏式(implicit) 密码式(password): 客户端凭证(client credentials) 1.授权模式 应用场景:第三方账号登录,接入微信开放平台,需要申请appid ,appsecret相当于clientId,secret。 1.1操作步骤: B网站的用户可以登录 A网站,A网站可以在用户同意授权以后去B网站拿一些开放的数据 弹出B网站登录二维码网址: http://B.com/oauth
OAuth2.0四种授权模式以及Oauth2.0实战
热门推荐
CODEING一场空的博客
04-11 2万+
OAuth2.0四种授权模式实现演示以及自定义授权模式Oauth2.0具有多种授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我心向阳iu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值