一文搞懂OAuth2.0

最新推荐文章于 2025-03-07 00:27:01 发布
最新推荐文章于 2025-03-07 00:27:01 发布
阅读量997 收藏 18
点赞数 25
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ynh_bolg/article/details/139483726
版权

OAuth2.0是什么?

OAuth 2.0 是目前最流行的授权机制,一般用来授权第三方应用,获取用户数据。

四种角色

Oauth一共定义了四种角色:
1.资源所有者(Resource Owner):用户本身
2.资源服务器(Resource Server):存储受保护的信息 (应用的一个后台服务)
3.授权服务器(Authorization Server):在成功验证用户身份,并获得授权后,给客户端派发访问资源令牌(也是应用的一个后台服务,专门用来做授权而已)
4.客户端(Client):你使用的APP(比如微信、QQ)或第三方应用(需要使用微信、QQ授权用户信息或授权登录的应用)

四种授权方式

oauth2提供4种授权方式,分别是
授权码(authorization-code)
隐藏式(implicit)
密码式(password)
客户端凭证(client credentials)

授权码(authorization-code)

这种模式应该是最常用的,且是最安全的。

应用场景

使用第三方app时授权用户信息。

流程

1.你想玩一款游戏,然后该游戏支持新注册一个用户和使用微信登录。你为了方便,选择使用微信登录。

2.此时该游戏APP后台会请求授权服务器(附上回调URL),游戏界面会跳转到微信授权页面,提示你需要向该游戏授权你的个人信息,例如用户昵称,手机号,好友信息等(这些其实就是需要做授权保护的资源)。

3.你点击确定,确认授权这些信息给该游戏

4.微信的授权服务器将通过调用游戏APP请求中的回调URL,向该游戏颁发一个授权码

5.游戏APP获取到授权码,使用授权码请求微信的授权服务器。

6.微信授权服务器确认授权码有效后,调用回调URL,返回一个可用的令牌。

7.游戏APP携带令牌向微信资源服务器请求你的微信用户信息,后续为你在游戏中提供微信好友是否在线等信息。

在这里插入图片描述

隐藏式(implicit)

也被称作简化模式,它与授权码模式差不多,只是少了一个使用授权码获取token的操作。不通过第三方应用程序服务器,直接在浏览器中向授权服务器申请令牌。

应用场景

由于授权码模式需要第三方应用有后台服务器的支持,但是有时第三方应用可能只有web端。这种情况下就可以使用简化模式。

流程

1.你登录一个网页,该网页需要你提供你的微信账号某些信息的授权。

2.此时该网页会请求授权服务器(附上回调URL),跳转到微信授权页面,提示你需要向该游戏授权你的个人信息,例如用户昵称,手机号,好友信息等(这些其实就是需要做授权保护的资源)。

3.你点击确定,确认授权这些信息给该网页

4.微信的授权服务器将通过调用请求中的回调URL,直接向该游戏颁发一个令牌(与授权码模式不同,此处直接给令牌,而非授权码)

5.网页携带令牌向微信资源服务器请求你的微信用户信息,提供相关服务。

密码式(password)

密码模式是用户直接将自己的用户名密码交给你所使用的APP,APP使用你的用户名密码直接换取AccessToken。

应用场景

手机APP和网站基本都是需要这种模式登陆的,非常常用。但是一般情况下,APP和网站与授权服务器、资源服务器都是同一个产品的。

不是同一个产品的例子是火车票抢票软件,这种情况其实有两个原因,一个是你信任这些抢票软件,另一个原因是12306没有开放授权码模式给第三方APP(因为12306想让大家自己抢啊,防止服务器压力过大,并且由于很多人不会使用抢票软件,这样使用抢票软件其实是破坏了公平的。)

流程

1.用户在APP或网站上输入用户名和密码

2.授权服务器验证用户名密码正确后,返回令牌给APP或网站

3.APP或网站携带令牌访问资源服务器

客户端凭证(client credentials)

应用场景

适用于内部系统之间的验证,应用维度的共享资源,不需要用户授权,适合后台服务间的认证和访问。严格来说,客户端模式并不属于oauth框架所要解决的问题,在这种模式下,已经与用户没有关系了,单纯的数据客户端以自己的名义要求资源提供商提供服务,不存在授权问题。

流程

第一步,A 应用在命令行向 B 发出请求。

https://oauth.b.com/token?
  grant_type=client_credentials&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET

上面 URL 中,grant_type参数等于client_credentials表示采用凭证式,client_idclient_secret用来让 B 确认 A 的身份。

第二步,B 网站验证通过以后,直接返回令牌。

这种方式给出的令牌,是针对第三方应用的,而不是针对用户的,即有可能多个用户共享同一个令牌。

参考链接:

https://blog.youkuaiyun.com/Huang_Ds/article/details/125533523

https://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html

https://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

M2M场景之客户端凭证模式|OIDC & OAuth2.0 认证协议最佳实践系列 【4】
Authing的博客
04-27 885
一文读懂 OIDC Client Credentials 授权模式
什么是Oauth2.0授权,四种授权模式
weixin_46690856的博客
12-02 2817
文章目录什么是OAuth2.0?1. OAuth2四种模式1.1. 隐式授权模式(Implicit Grant)1.2. 授权码授权模式(Authorization code Grant)1.3. 密码模式(Resource Owner Password Credentials Grant) 什么是OAuth2.0OAuth2.0是一个能够使应用之间彼此访问数据的开放授权协议,OAuth2.0OAuth1.0协议的延续版本,但不向后兼容OAuth1.0,即完全废止了OAuth1.0。 1. OAuth
Oauth2.0+JWT
klcss的博客
04-13 657
授权服务器:用于对资源拥有者的身份进行认证,对访问资源进行授权。客户端如果想要访问资源的话需要 资源拥有者 通过向 授权服务器 授权后才可以访问。OAuth 2.0OAuth2被称为授权框架(或规范框架),其主要目的是允许第三方网站或应用程序访问资源。资源服务器:存储资源的服务器,客户端最终需要通过资源服务器来获取资源。客户端:本身不存储资源,需要通过资源拥有者去请求资源服务器的资源。资源拥有者:通常可以理解为用户。
SpringBoot实战(三十五)微服务集成OAuth2.0(UAA)
最新发布
ACGkaka的博客
03-07 1223
SpringBoot实战(三十五)微服务集成OAuth2.0(UAA)
OAuth 2.0的认证原理
keehom的博客
06-17 2147
使用 OAuth 2.0 认证的的好处是显然易见的。你只需要用同一个账号密码,就能在各个网站进行访问,而免去了在每个网站都进行注册的繁琐过程。本文将介绍 OAuth 2.0 的原理,并基于 Spring Security 和 GitHub 账号,来演示 OAuth 2.0 的认证的过程。什么是 OAuth 2.0OAuth 2.0 的规范可以参考 :RFC 6749OAuth 是一个开放标准,...
OAuth2.0 开放认证和授权/互联网标准协议
weixin_30836759的博客
05-23 287
OAuth2.0 目录 展开展开 前言 OAuth 1.0已经在IETF尘埃落定,编号是RFC5849 这也标志着OAuth已经正式成为互联网标准协议。 OAuth 2.0早已经开始讨论和建立的草案。OAuth2.0很可能是下一代的“用户验证和授权”标准。现在百度开放平台,腾讯开放平台等大部分的开放平台都是使用的OAuth 2.0协议作为支撑。 OAuth(开放授权)是一个...
OAuth 2.0
OneGoal的博客
11-12 252
OAuth 2.0 标准 https://tools.ietf.org/html/rfc6749 是什么 OAuth 2.0 授权框架使得第三方可以获取对用户资源的访问(有限访问或者完全访问)。 举个例子:通过你的允许,bilibili 可以去微信服务器获取你的头像,昵称,openid 等等。 为什么 传统授权方式,用户和第三方共享密码。缺点如下: 未来可能持续需要访问各种受限资源。所以第三...
OAuth 2.0:通往地狱之路1
08-08
然而,正如“OAuth 2.0:通往地狱之路”一文指出,OAuth 2.0 在安全性方面存在一些关键问题,这些问题是与OAuth 1.0相比的核心架构变化所导致的。 首先,OAuth 2.0 引入了“无绑定token”(Unbounded tokens)的概念...
spotify-status-sync:基于Oauth 2.0的应用程序,可将当前正在播放的Spotify歌曲同步到您的空闲状态
04-17
一个基于Oauth 2.0的应用程序,它将当前正在播放的Spotify歌曲同步到您的空闲状态。 最初是从《 入门》一文中模板化的。 本地运行 确保已安装版本1.12或更高版本,并且已安装 。 $ git clone ...
实现Spotify状态同步到空闲状态的OAuth 2.0应用
资源摘要信息:"Spotify-status-sync是一个基于Oauth 2.0的应用程序,其主要功能是将用户当前正在播放的Spotify歌曲同步到用户的空闲状态。这个应用程序的开发灵感来源于《入门》一文的模板化。要本地运行这个应用...
"理解OAuth 2.0:应用场景、名词定义和思路解析
阮一峰在《理解OAuth 2.0一文中对OAuth的应用场景、名词定义以及OAuth的思路进行了阐述。本文主要介绍了如何使用OAuth进行授权,并通过一个假设的例子来解释OAuth的适用场合。 在应用场景一节中,阮一峰举了一个...
Oauth2.0通俗易懂的理解和四种方式
fanbojiayou的专栏
04-26 1763
重点:以下内容来自于阮一峰老师写的资料: http://www.ruanyifeng.com/blog/2019/04/oauth_design.html http://www.ruanyifeng.com/blog/2019/04/oauth-grant-types.html OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 这个标准比较抽象,使用了很...
Oauth2.0
Lu_QQ的博客
08-20 184
第一步:引导用户到授权服务器 那需要传递哪些参数呢? response_type:表示响应类型,必选项,此处的值固定为"code"; client_id:表示客户端的ID,用来标志授权请求的来源,必选项; redirect_uri:成功授权后的回调地址; scope:表示申请的权限范围,可选项; state:表示客户端的当前状态,可以指定任意值,授权服务器会原封不动地返回这个值。 https://graph.qq.com/oauth2.0/authorize?client_id=100410602 &
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值