初始OAuth2.0

news2024/11/20 21:28:20

1. 什么是OAuth2.0

OAuth2.0 是目前使用非常广泛的授权机制,用于授权第三方应用获取用户的数据。 举例说明:

 用户可以通过选择其他登录方式来使用gitee,这里就使用到了第三方认证。

OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。 ...... 资源所有者同意。
以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。

2. OAuth2中的角色

1. 资源所有者
能够授予对受保护资源的访问权限的实体,如果资源的所有者为个人,也被成为最终用户
2.  资源服务器
存储有受保护资源的服务器, 能够接受并验证访问令牌,并响应受保护资源的访问请求
3.客户
需要被授权,然后再访问受保护资源的实体。客户这个术语,并不是特指应用程序,服务器,计算机等

4.  授权服务器
验证资源所有者并获取授权成功后,向客户发出访问令牌

3. 认证流程

 4. 生活中的Oauth2思维

场景设置:小王出差在外,为家中买了一台空调需要上门安装,小王的老爸老王在家,小王家是小王的 老婆做主,只用获得老婆的许可方能有进入家中。现在空调客服人员需要进到小王家中安装空调。设计 的流程如下:
客服人员发一个进门安装空调的的申请给小王
小王看到了服务人员的申请,在验证了客服人员的公司名称,工号等信息后,同意申请,并发给他
一个授权码
客服人员获取授权码之后,使用授权码去申请进门的令牌,申请发到小王的老婆那里,小王老婆在
验证了授权码之后给客服人员发了一个含有有效期为一天的令牌(小王的老婆可以查看到小王发的
原始验证码)
客服人员拿着令牌到小王家
老王在验证令牌有效后可客服人员进入客厅安装空调,但这个令牌不能进入其他房间。
一天后令牌会过期,如有需要则需要重新申请

上面的过程反应了 OAuth2 认证的典型流程,流程中的角色对应关系
客户 ---> 客服人员
资源所有者 ---> 小王
授权服务器 ---> 小王老婆
资源服务器 ---> 客厅

5. 令牌的特点

 使用令牌方式的优点:

A、令牌又时效性,一般是短期的,且不能修改,密码一般是长期有效的

B、令牌可以由颁发者撤销,且即时生效,密码一般可以不用修改而长期有效

C、令牌可以设定权限的范围,且使用者无法修改

在使用令牌时需要令牌的保密,令牌验证有效即可进入系统,不会再做其他的验证。

6. OAuth2授权方式

由于互联网有多种场景,OAuth2定义了四种获取令牌的方式,可以选择合适与自己的方式。

A、授权码(authorization-code

B、隐藏式(implicit

C、密码式(password

D、客户端凭证(client credentials

6.1 授权码

第三方应用先申请一个授权码,然后再用该码获取令牌。

最常见的用法,安全性高,适合 web 应用。 授权码通过前端传送,令牌则是储存在后端,而且所有与资 源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。
流程如下:

1. 资源服务器提供一个链接,用户点击后就会跳转到认证服务器,授权用户数据给资源服务器使用, 资源服务器提供的连接的示例:
https : //b.com/oauth/authorize?
response_type = code &
client_id = CLIENT_ID &
redirect_uri = CALLBACK_URL &
scope = read
解析:
response_type=code ,表示使用授权码方式
client_id=CLIENT_ID ,请求者的身份 ID
redirect_uri=CALLBACK_URL , 认证服务器接受请求之后的调转连接,可以根据这个连接将生成 的code 发送给资源服务器
scope=read ,授权范围为只读
2. 页面跳转后,用户登录认证服务器,同意或拒绝资源服务器的授权请求,认证服务器根据上一步的 redirect_uri地址,将生成的授权码返回给资源服务器。
https : //resouce.com/callback_url?code=AUTHORIZATION_CODE
解析: code 返回的认证码
3. 客户拿到认证码之后,向认证服务器发给请求,申请令牌
https : //b.com/oauth/token?
client_id = CLIENT_ID &
client_secret = CLIENT_SECRET &
grant_type = authorization_code &
code = AUTHORIZATION_CODE &
redirect_uri = CALLBACK_URL
解析:
client_id 资源服务器的身份 ID
client_secret=CLIENT_SECRET 安全参数,只能在后端发请求
grant_type=authorization_code 表示授权的方式为授权码
code=AUTHORIZATION_CODE 用来获取令牌的授权码
redirect_uri=CALLBACK_URL 令牌生成后的颁发地址
4. 认证服务器对授权码进行认证,通过后颁发令牌
{
"access_token" : 访问令牌 ,
"token_type" : "bearer" ,
"expires_in" : 过期时间 ,
"refresh_token" : "REFRESH_TOKEN" ,
"scope" : "read" ,
"uid" : 用户 ID ,
"info" :{ ... }
}

6.2 隐藏方式

隐藏方式合适的场景:
web 应用为纯前端应用没有后端,此时必须将令牌放在前端保存,省略了申请授权码的步骤。

 1. 资源服务器提供连接,跳转到认证服务器

https : //b.com/oauth/authorize?
response_type = token &
client_id = CLIENT_ID &
redirect_uri = CALLBACK_URL &
scope = read
解析:
response_type=token 表示直接返回令牌
client_id=CLIENT_ID 客户的身份 ID
redirect_uri=CALLBACK_URL 生成令牌后的回调地址
scope=read 授权范围,只读
2.  用户需要在认证服务器登录,并进行授权, 授权成功后会根据第一步提供的 CALLBACK_URL 地址 返回生成的token
https : //a.com/callback#token=ACCESS_TOKEN
这种方式的特点:这种方式不安全,适用于对安全性不高的场景,令牌的有效期一般设置的比较短,通 常是会话期间有效,浏览器关闭令牌就时效了

6.3 密码方式

非常信任某个应用,将用户名和密码直接告诉应用,应用拿到用户名和密码后直接申请令牌
1. 资源服务器要求用户提供认证服务器的用户名和密码,拿到以后资源服务器向认证服务器申请令牌
https : //oauth.b.com/token?
grant_type = password &
username = USERNAME &
password = PASSWORD &
client_id = CLIENT_ID
解析:
grant_type=password 认证方式
username=USERNAME 用户名
password=PASSWORD 密码
client_id=CLIENT_ID 客户 id
1. 认证服务器验证身份通过后,直接在响应中发放令牌,资源服务器在响应中获取令牌。

6.4 凭证方式

这种方式适用于没有前端的命令行应用,通过命令行的方式请求令牌
1. 资源服务器使用命令行向认证服务器发送请求
https : //oauth.b.com/token?
grant_type = client_credentials &
client_id = CLIENT_ID &
client_secret = CLIENT_SECRET
解析:
grant_type=client_credentials 凭证方式
client_id=CLIENT_ID 客户身份 ID
client_secret=CLIENT_SECRET 认证码
该方式真对的是第三方应用,而不是用户,可以多个用户共享一个令牌

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/191167.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

前端工程化

一、前端工程化1、webpack(1)定义:是一个前端的构建工具。前端代码格式多(html、css、js、图片),前端构建工具的作用是将各种格式不同文件打包到一起,方便项目的上线运行。(将开发环…

Java学习笔记---干货

Java学习 一、java版本 JavaSE :标准版(桌面应用程序、控制台程序) JavaEE:E企业级开发(Web端,服务器的开发) JDK:Java开发工具 JRE:Java运行环境 JVM:…

通信原理笔记—基带信号的功率谱

目录 二进制纯随机序列基带信号的功率谱: 基带信号的功率谱分析: (1)信号(t)的功率谱: (2)信号v(t)的功率谱: 随机序列S(t)的功率谱: 二进制纯随机序列基带信号的功率谱: 基带信号的功率谱分析&#…

软件需求说明书确保正确性的6大关键点

软件需求说明书对软件开发项目非常关键,如何确保其正确性,关键有6大要点! 1、需求与其他需求是否相互冲突或重复 一般需求规格说明书长达几百页,并不是一蹴而就的,因此可能出现前后观点的重叠或差异,或同一…

[HDCTF2019]Maze 题解

少欲则心静,心静则事简。 ——人民日报 1.查壳 是一个加了upx壳的32位EXE文件 2.使用Kali Linux脱壳 maze题目脱壳3.去除脏字节 没有找到主函数,发现这段汇编代码标红了,IDA分析崩溃,这是掺杂了花指令 这里jnz,不论判…

中国电子学会2022年03月份青少年软件编程Scratch图形化等级考试试卷三级真题(含答案)

青少年软件编程(图形化)等级考试试卷(三级) 分数:100 题数:38 一、单选题(共25题,共50分) 1. 以下四个选项中,运行哪个积木块,可能得到523这个数值?&…

25-35分布式事务seata

分布式事务Seata使用及其原理剖析 Seata的三大角色 TC (Transaction Coordinator) - 事务协调者 维护全局和分支事务的状态,驱动全局事务提交或回滚。 TM (Transaction Manager) - 事务管理器 定义全局事务的范围:开始全局事务、提交或回滚全局事务。 RM…

devicetree和启动参数解析流程

devicetree和启动参数解析流程 文章目录devicetree和启动参数解析流程一、设备树解析概述二、early device tree 解析流程三、device node节点创建流程四、bootargs参数解析4.1 bootargs参数配置4.2 early param参数解析4.&…

Docker - 2. Docker 工作原理

目录 1. Docker入门图解 2. Docker 整体架构和底层通讯原理 1. Docker入门图解 (1) Docker是一个Client-Server结构的系统,Docker守护进程(图中Docjer daemon)运行在主机上,然后通过Socket链接客户端往返,守护进程从客户端接收命令并管理在…

PySpark 之 SparkSQL 编程

1. DataFrame 的创建 1.1 RDD 和 DataFrame 的区别 RDD 是一种弹性分布式数据集,Spark中的基本抽象。表示一种不可变的、分区储存的集合,可以进行并行操作DataFrame是一种以列对数据进行分组表达的分布式集合, DataFrame等同于Spark SQL中的…

jvm宏观上类的加载机制整体和微观上通过类加载器进行加载的过程

说到一个词“类的加载”其实含有歧义,因为在jvm中可以说有一个宏观的,即整体上的类的加载,还有一个微观上的加载,也就是狭隘的通过类加载器的加载class文件的过程,这里介绍这两种“类的加载”。 类的整体加载过程(类加…

Windows C盘清理的正确方式,从此你告别红色烦恼

前言 伴随着电脑工作的时间越久,C盘常常会提示显示其内存已不足。 C盘容量不足将会极大影响系统的运行速度,电脑会变卡、死机。 今天,就给大家分享一个C盘空间清理终极解决方案: 1、利用Windows自己附带的磁盘清理工具 1&…

[oeasy]python0068_ 字体样式_正常_加亮_变暗_控制序列

字体样式 回忆上次内容 上次了解了一个新的转义模式 \33 逃逸控制字符 esc esc 让输出 退出标准输出流 进行控制信息的设置 可以清屏也可以设置光标输出的位置 还能做什么呢? 可以设置字符的颜色吗???🤔 查看细节…

BIC-2022-BDT:区块链和基于数字双胞胎的智能制造高效数据处理安全框架

摘要工业物联网具有智能连接、数据实时处理、协同监测、信息自动处理等特点,是物联网时代的重要组成部分之一。异构工业物联网设备对高数据速率、高可靠性、高覆盖、低延迟的要求,已成为信息安全领域的一大挑战。工业物联网中的智能制造产业需要多方协同…

(02)Cartographer源码无死角解析-(53) 2D后端优化→位姿图优化理论讲解、

讲解关于slam一系列文章汇总链接:史上最全slam从零开始,针对于本栏目讲解(02)Cartographer源码无死角解析-链接如下: (02)Cartographer源码无死角解析- (00)目录_最新无死角讲解:https://blog.csdn.net/weixin_43013761/article/details/127350885 文末…

【ardunio+sx1268】与【esp32+sx1268】实现不同主控单片机lora通讯

2023.21 在前文 esp32 sx1268 的 spi 驱动调通之后,又尝试 ardunio sx1268 驱动,实现不同主控对于lora模块 sx1268 的控制 文章目录1. 实验结果2.硬件描述2.1 sx12682.2 ardunio ATmega3283.接线实物图5.开发环境6.代码实现关于esp32sx1268 的驱动以及代…

爆款制作获1200w播放,B站UP主+品牌如何迈入2023

1月13日,bilibili 2022年度百大UP主已经揭开帷幕,今年延续2021年的评审标准,依然从专业性、影响力、创新性三个维度进行评选。来源-B站这套评审标准已经实施两年,早期的百大评选上榜的更多是来自知名度高、影响力广的UP主&#xf…

2.关系数据库

学习过程参考(后续章节同) 【公开课】数据库系统概论(王珊老师)(完结) 《数据库系统概论》思维导图 【专栏必读】数据库系统概论第五版(王珊)专栏学习笔记目录导航及课后习题答案详…

中国电子学会2021年09月份青少年软件编程Scratch图形化等级考试试卷三级真题(含答案)

2021-09 Scratch三级真题 分数:100 题数:38 一、单选题(共25题,每题2分,共50分) 1. 程序中要使用不确定的数值,这时要用到的是?(D ) A、图章 …

Github如何使用详细介绍(保姆级教学)

前言 📜 “ 作者 久绊A ” 专注记录自己所整理的Java、web、sql等,IT技术干货、学习经验、面试资料、刷题记录,以及遇到的问题和解决方案,记录自己成长的点滴 目录 一、Github如何搜索 二、如何判断一个项目好不好呢&#xff1f…