初始OAuth2.0

2023-11-19

1. 什么是OAuth2.0

OAuth2.0 是目前使用非常广泛的授权机制，用于授权第三方应用获取用户的数据。举例说明：

用户可以通过选择其他登录方式来使用gitee，这里就使用到了第三方认证。

OAuth 引入了一个授权层，用来分离两种不同的角色：客户端和资源所有者。 ...... 资源所有者同意。

以后，资源服务器可以向客户端颁发令牌。客户端通过令牌，去请求数据。

2. OAuth2中的角色

1. 资源所有者

能够授予对受保护资源的访问权限的实体，如果资源的所有者为个人，也被成为最终用户

2. 资源服务器

存储有受保护资源的服务器，能够接受并验证访问令牌，并响应受保护资源的访问请求

3.客户

需要被授权，然后再访问受保护资源的实体。客户这个术语，并不是特指应用程序，服务器，计算机等

4. 授权服务器

验证资源所有者并获取授权成功后，向客户发出访问令牌

3. 认证流程

4. 生活中的Oauth2思维

场景设置：小王出差在外，为家中买了一台空调需要上门安装，小王的老爸老王在家，小王家是小王的老婆做主，只用获得老婆的许可方能有进入家中。现在空调客服人员需要进到小王家中安装空调。设计的流程如下：

客服人员发一个进门安装空调的的申请给小王

小王看到了服务人员的申请，在验证了客服人员的公司名称，工号等信息后，同意申请，并发给他

一个授权码

客服人员获取授权码之后，使用授权码去申请进门的令牌，申请发到小王的老婆那里，小王老婆在

验证了授权码之后给客服人员发了一个含有有效期为一天的令牌（小王的老婆可以查看到小王发的

原始验证码）

客服人员拿着令牌到小王家

老王在验证令牌有效后可客服人员进入客厅安装空调，但这个令牌不能进入其他房间。

一天后令牌会过期，如有需要则需要重新申请

上面的过程反应了 OAuth2 认证的典型流程，流程中的角色对应关系

客户 ---> 客服人员

资源所有者 ---> 小王

授权服务器 ---> 小王老婆

资源服务器 ---> 客厅

5. 令牌的特点

使用令牌方式的优点：

A、令牌又时效性，一般是短期的，且不能修改，密码一般是长期有效的

B、令牌可以由颁发者撤销，且即时生效，密码一般可以不用修改而长期有效

C、令牌可以设定权限的范围，且使用者无法修改

在使用令牌时需要令牌的保密，令牌验证有效即可进入系统，不会再做其他的验证。

6. OAuth2授权方式

由于互联网有多种场景，OAuth2定义了四种获取令牌的方式，可以选择合适与自己的方式。

A、授权码（authorization-code）

B、隐藏式（implicit）

C、密码式（password）

D、客户端凭证（client credentials）

6.1 授权码

第三方应用先申请一个授权码，然后再用该码获取令牌。

最常见的用法，安全性高，适合 web 应用。授权码通过前端传送，令牌则是储存在后端，而且所有与资源服务器的通信都在后端完成。这样的前后端分离，可以避免令牌泄漏。

流程如下：

1. 资源服务器提供一个链接，用户点击后就会跳转到认证服务器，授权用户数据给资源服务器使用，资源服务器提供的连接的示例：

https : //b.com/oauth/authorize?

response_type = code &

client_id = CLIENT_ID &

redirect_uri = CALLBACK_URL &

scope = read

解析：

response_type=code ，表示使用授权码方式

client_id=CLIENT_ID ，请求者的身份 ID

redirect_uri=CALLBACK_URL ，认证服务器接受请求之后的调转连接，可以根据这个连接将生成的code 发送给资源服务器

scope=read ，授权范围为只读

2. 页面跳转后，用户登录认证服务器，同意或拒绝资源服务器的授权请求，认证服务器根据上一步的 redirect_uri地址，将生成的授权码返回给资源服务器。

https : //resouce.com/callback_url?code=AUTHORIZATION_CODE

解析： code 返回的认证码

3. 客户拿到认证码之后，向认证服务器发给请求，申请令牌

https : //b.com/oauth/token?

client_id = CLIENT_ID &

client_secret = CLIENT_SECRET &

grant_type = authorization_code &

code = AUTHORIZATION_CODE &

redirect_uri = CALLBACK_URL

解析：

client_id 资源服务器的身份 ID

client_secret=CLIENT_SECRET 安全参数，只能在后端发请求

grant_type=authorization_code 表示授权的方式为授权码

code=AUTHORIZATION_CODE 用来获取令牌的授权码

redirect_uri=CALLBACK_URL 令牌生成后的颁发地址

4. 认证服务器对授权码进行认证，通过后颁发令牌

{

"access_token" : 访问令牌 ,

"token_type" : "bearer" ,

"expires_in" : 过期时间 ,

"refresh_token" : "REFRESH_TOKEN" ,

"scope" : "read" ,

"uid" : 用户 ID ,

"info" :{ ... }

}

6.2 隐藏方式

隐藏方式合适的场景：

当 web 应用为纯前端应用没有后端，此时必须将令牌放在前端保存，省略了申请授权码的步骤。

1. 资源服务器提供连接，跳转到认证服务器

https : //b.com/oauth/authorize?

response_type = token &

client_id = CLIENT_ID &

redirect_uri = CALLBACK_URL &

scope = read

解析：

response_type=token 表示直接返回令牌

client_id=CLIENT_ID 客户的身份 ID

redirect_uri=CALLBACK_URL 生成令牌后的回调地址

scope=read 授权范围，只读

2. 用户需要在认证服务器登录，并进行授权，授权成功后会根据第一步提供的 CALLBACK_URL 地址返回生成的token

https : //a.com/callback#token=ACCESS_TOKEN

这种方式的特点：这种方式不安全，适用于对安全性不高的场景，令牌的有效期一般设置的比较短，通常是会话期间有效，浏览器关闭令牌就时效了

6.3 密码方式

非常信任某个应用，将用户名和密码直接告诉应用，应用拿到用户名和密码后直接申请令牌

1. 资源服务器要求用户提供认证服务器的用户名和密码，拿到以后资源服务器向认证服务器申请令牌

https : //oauth.b.com/token?

grant_type = password &

username = USERNAME &

password = PASSWORD &

client_id = CLIENT_ID

解析：

grant_type=password 认证方式

username=USERNAME 用户名

password=PASSWORD 密码

client_id=CLIENT_ID 客户 id

1. 认证服务器验证身份通过后，直接在响应中发放令牌，资源服务器在响应中获取令牌。

6.4 凭证方式

这种方式适用于没有前端的命令行应用，通过命令行的方式请求令牌

1. 资源服务器使用命令行向认证服务器发送请求

https : //oauth.b.com/token?

grant_type = client_credentials &

client_id = CLIENT_ID &

client_secret = CLIENT_SECRET

解析：

grant_type=client_credentials 凭证方式

client_id=CLIENT_ID 客户身份 ID

client_secret=CLIENT_SECRET 认证码

该方式真对的是第三方应用，而不是用户，可以多个用户共享一个令牌

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

oauth20

服务器

运维

初始OAuth2.0 的相关文章

身份服务器流程

IdentityServer 支持不同的 OpenId Connect 流这些流定义在Flows https github com IdentityServer IdentityServer3 blob 4a44a9f03879c85bb
Spring Security 中具有密码授予的 oAuth2 客户端

我正在使用一组受 oAuth2 保护的服务目前的工作原理如下客户端使用用户名和密码登录我用这些换取代币我将令牌保留在会话中并在每次想要调用服务时提交它它可以工作但问题是我完全手动执行此操作而没有使用 Spring Secur
当 access_type=online 时，“此应用程序希望：具有离线访问权限”

我有一个带有 OAuth 2 0 身份验证的 Google 应用程序一切过去都工作正常但最近我开始收到以下请求许可屏幕奇怪的是当我经过时我看到这个屏幕access type online 同样这种方法直到最近才有效造成这种
OAuth 2.0 令牌对于提供商来说永远是唯一的吗？

当 OAuth 2 0 提供商颁发令牌时该令牌值对于提供商而言是否永远是唯一的或者是否有可能在未来的某个时候大概在令牌过期后可能会为不同的用户发行具有相同值的另一个令牌在搜索中我发现了很多有关令牌过期的信息但没有关于该令牌值将
来自服务器的 OAuth2“无效授予”响应

我要求我的客户使用他创建了 google api 项目的授权 gmail 帐户访问此 URL https accounts google com o oauth2 auth scope https www googleapis com au
Google Analytics 3.0 身份验证流程

EDIT 最初这个问题问我如何仅使用我的 API 密钥通过 Google Analytics API 进行身份验证作为弗拉特科指出 https stackoverflow com a 13834210 697449 这是不可能的现在我只
如何使用 OAUTH2 从 Java 访问 Outlook.office365.com IMAP？

由于 Microsoft 宣布很快将无法再通过基本身份验证访问 Outlook IMAP 邮箱因此我正在尝试弄清楚如何在 Java 中使用 OAUTH2 正确打开 IMAP 邮箱但我总是收到错误代码 A1 NO AUTHENTICATE
参数“ state ”必须在查询字符串中设置，结果我应该进一步做什么

我做了一个智能家居谷歌动作连接网络应用程序与谷歌主页链接并授权我关注了智能家居谷歌的行动那里需要国家什么是状态下面给出的字符串是授权的示例但我不知道状态字符串我从哪里添加状态字符串它的目的是什么 GET https myse
Google 云端点（应用程序引擎）+ oauth2 与 android 集成

我正在尝试将谷歌应用程序引擎云端点 API 与 android 集成我已经按照此链接进行了相同的操作无法使用我的服务对象连接到我的谷歌端点 https stackoverflow com questions 29544723 unabl
处理Oauth 2.0-facebook gem错误100：此授权码已被使用

我一直在为我的 Rails 应用程序设置 Facebook 身份验证在测试时使用我的 Facebook 帐户登录后我不断收到此错误 OAuth2 Error error message This authorization code
在 GCP API 网关上使用 Google 访问令牌进行身份验证

我正在尝试使用 Google 在 GCP API Gateway 上执行身份验证访问令牌 ya29 OAuth2 但是那文档 https cloud google com api gateway docs authenticating u
Spring OAuth2 中 /check_token 和 user-info-uri 端点有什么区别？

春天暴露 check token终点看这个链接 http projects spring io spring security oauth docs oauth2 html For check token我们需要配置RemoteToken
如何在 API 模式下使用 Doorkeeper 处理 OAuth 流程？

场景很简单 A 仅限 Rails API带有 Doorkeeper 提供商的服务器 A 移动应用 and a SPA 假设是 React 想要使用电子邮件和密码注册和登录的用户当你有一个正常的Rails 堆栈你需要定义一个authori
Google API 控制台 - 缺少客户端密钥

我尝试为 Android 应用程序创建一个测试客户端 ID 该应用程序使用 OAUTH 2 0 作为检索用户配置文件的登录名我按照步骤在谷歌控制台上完成了客户端 ID 的创建但我没有在任何地方看到客户端密钥我正在尝试帮助我的雇主获取其
为什么不调用 GrantRefreshToken 方法 - Oauth2 ASP.NET Web API

我使用请求正文向 oauth2 服务器发送请求 grant type refresh token refresh token abc 我将refresh token保存在数据库中接收异步方法 public async Task Recei
使用 Codenameone 的 Oauth2 类获取 Dropbox Core API 的 OAuth2 访问令牌

我正在尝试使用 codenameone 的 Oauth2 类来获取 Dropbox 核心 API 的访问令牌我使用的代码如下 Oauth2 auth new Oauth2 https www dropbox com 1 oauth2 au
Spring Oauth2. DaoAuthenticationProvider 中未设置密码编码器

我对 Spring Oauth 和 Spring Security 很陌生我正在尝试在我的项目中使用 client credentials 流程现在我设法使用自己的 CustomDetailsS ervice 来从系统中已存在的数据库
ApplicationController 的未定义方法“helper_method”，Rails 5

我正在尝试使用doorkeeper 将oAuth2 0 集成到我的仅rails api 应用程序中但我不断收到此错误 ApplicationController 的未定义方法 helper method 但无法找到解决该问题的明确解决方案
具有客户端凭据 OAuth 流的 Dynamics CRM 2016 Online Rest API

我正在尝试使用 Dynamics CRM 2016 Online 和 Azure Active Directory 进行身份验证我能够按照此处的所有步骤进行操作 https msdn microsoft com en us library
在对 VSTS API 的 Ajax 调用中使用 OAuth Bearer Token 而不是 PAT

我已成功让我的 ASP NET MVC5 应用程序在服务器端用 C 读取和写入 VSTS 工作项然而为了获得最佳的用户体验我真的想使用 Ajax 进行一些更新我已经能够使用在我自己的帐户下创建的个人访问令牌 PAT 完美地完成此操作

随机推荐

nodejs获取时间戳

可以使用 JavaScript 内置的 Date 对象来获取当前的时间戳可以使用 Date now 方法来获取当前的时间戳 consttimestamp Date now console log timestamp 也可以使用 Date
轻松掌握Python自动化工具，解锁PyAutoGUI的强大功能

前言 PyAutoGUI是一个用于图像识别和鼠标键盘控制的Python库它提供了一组函数和方法用于自动化屏幕上的鼠标移动点击拖拽和键盘输入以及执行图像识别和处理本文旨在帮助读者入门 PyAutoGUI 理解其基础概念和掌握最佳
js逆向-国密SM2初探

目录前言目标网站加密分析加密定位结尾本文仅供学习使用切勿非法使用如有侵权请联系作者及时删除前言无意中看到一个网站采用国密SM2算法进行登陆参数进行加密之前接触的加密基本都是国外的算法例如RSA DES MD5等等国
13位时间戳单位为毫秒，10位字符串单位为秒。时间戳转换日期数字格式100%全乎

时间戳转换为年月日时分秒数字格式注意时间戳有2种 13位时间戳单位为毫秒 10位字符串单位为秒接口返回1616160878418 微秒期望格式2021 03 19 21 34 35 标签 java new Date 变成GMT G
tar打包备份+ubuntu系统的修复

如果ubuntu系统出问题通过备份文件可以简单快速地修复ubuntu系统 tar打包十分必要一 tar打包备份 1 进入管理员账户 sudo su 2 打包 tar cvPzf 20191203ubuntu1804 tgz exclud
关于static 的各种数据类型及在面向对象编程中的应用

一按存储区域分全局变量静态全局变量和静态局部变量都存放在内存的静态存储区域局部变量存放在内存的栈区 1定义全局静态变量的好处 lt 1 gt 不会被其他文件所访问修改 lt 2 gt 其他文件中可以使用相同名字的变量不会发生冲突
2023杭电暑假多校4 题解

3 Simple Set Problem 题意 k 个多重集合每个集合选出一个数形成新集合A 求 m a x A m
macos多合一系统安装u盘制作器_U 盘多系统安装盘制作神器YUMI

通常我们一个 U 盘只能制作成一个系统安装盘比如制作好一个 Windows 10 安装盘日后想要用到 Linux WinPE 等安装盘时只能重新制作一遍非常浪费时间而且现在 U 盘容量都很大如果只放一个系统同样就会白白浪费 U
软考-操作系统

考点梳理进程管理考点1 进程的状态考法分析本考点主要考查形式主要是根据图示判断相关状态位置或状态变迁条件要点分析操作系统三态模型如下图所示操作系统五态模型备考点拨掌握操作系统三态模型五态模型的状态位置及其状态变迁条件考
arcgis 10.8 for win10安装教程

本文主要记录arcgis安装步骤遇到的问题等文章目录一前提二下载与安装 1 下载 2 安装参考资料一前提下载前需要确定 1 ArcGIS对系统的要求安装之前系统需安装 net framework 4 5 以上版本我的
【翻译】 WireGuard 何去何从？

请考虑订阅 LWN订阅是 LWN net 的生命线如果您喜欢这些内容并希望看到更多您的订阅将有助于确保 LWN 继续蓬勃发展请访问此页面加入我们让 LWN 继续在网络上传播作者 Jonathan Corbet 2019年3月25日
Angular2 之单元测试

单元测试需要掌握的知识点 karma conf js的配置具体了解到每一项的意义这样才能真正的了解这个配置是如何配置的甚至才可以做到自己的配置组件的测试单独的service测试 Angular的测试工具 Angular的测试工具类
飞机大战(C语言版）

大一下要交课程设计于是就用C语言写了一个飞机大战小游戏没有用到第三方库飞机和子弹的移动使用的光标移动函数所以没有卡顿其中w s a d分别表示上下左右包括大写空格发射子弹游戏结束后可选择是否储存游戏数据该程序复制后可直接使
git push错误: failed to push some refs to

原因当你在git上对它进行了在线修改但是没有对本地库进行同步这个时候你再次commit 想把本地库提交到远程git库中就会出现push失败问题简单来说就是远程与本地存在不一致的commit情形解决方法确保远程代码没问题的情况
【Java SE】抽象类和接口

点进来你就是我的人了博主主页戳一戳欢迎大佬指点欢迎志同道合的朋友一起加油喔目录前言一抽象类 1 抽象类的概述 2 抽象类特点 3 抽象关键字abstract和哪些不可以共存 4 抽象类的细节 5 抽象类的作用二接口 1 什
统计学习方法论概念

1 统计学习包含监督学习非监督学习半监督学习和强化学习 2 监督学习监督学习的任务是学习一个模型使模型能够根据任意给定的输入对模型的输出做出一个好的预测监督学习分为学习和预测两个过程由学习系统和预测系统组成 3 损失函数和风险
【C++】迭代器 && vector中迭代器失效

文章目录 1 什么是迭代器 2 迭代器与指针 3 迭代器的分类 3 1具体分类 3 2为什么要对迭代器分类 3 3迭代器的使用建议 4 vector迭代器失效 4 1迭代器失效及其危害 4 2哪些操作会导致迭代器失效如何解决 1 什么是迭
视觉SLAM十四讲笔记-6-3

视觉SLAM十四讲笔记 6 3 文章目录视觉SLAM十四讲笔记 6 3 6 3 实践曲线拟合问题 6 3 1 手写高斯牛顿法 6 3 2 使用Ceres进行曲线拟合 Ceres 简介安装Ceres 使用Ceres拟合曲线 6 3 3
JAVA往map添加元素_java list map在初始化的时候添加元素

List list new ArrayList add First Object add Second Object add Third Object Map map new HashMap put First Key First Valu
初始OAuth2.0

1 什么是OAuth2 0 OAuth2 0 是目前使用非常广泛的授权机制用于授权第三方应用获取用户的数据举例说明用户可以通过选择其他登录方式来使用gitee 这里就使用到了第三方认证 OAuth 引入了一个授权层用来分离两种不同的