图文并茂,带你梳理一下 OAuth2.0 概念和授权流程
toyiye 2024-09-16 06:07 3 浏览 0 评论
阅读目录
- OAuth2 的概念
- OAuth2授权模式
- 授权码模式(Authorization Code Grant)
- 隐式授权模式(Implicit Grant)
- 密码模式(Resource Owner Password Credentials Grant)
- 客户端模式(Client Credentials Grant)
- OAuth2授权模式的选型
- 后记
OAuth2 的概念
OAuth是一个关于授权的开放网络标准,OAuth2是其2.0版本。
它规定了四种操作流程(授权模式)来确保安全
应用场景有第三方应用的接入、微服务鉴权互信、接入第三方平台、第一方密码登录等
Java王国中Spring Security也对OAuth2标准进行了实现。
OAuth2授权模式
OAuth2定义了四种授权模式(授权流程)来对资源的访问进行控制
- 授权码模式(Authorization Code Grant)
- 隐式授权模式(Implicit Grant)
- 用户名密码模式(Resource Owner Password Credentials Grant)
- 客户端模式(Client Credentials Grant)
无论哪个模式(流程)都拥有三个必要角色:客户端、授权服务器、资源服务器,有的还有用户(资源拥有者),下面简单介绍下授权流程
授权码模式(Authorization Code Grant)
授权码模式是OAuth2目前最安全最复杂的授权流程,先放一张图,稍做解释
如上图,我们可以看到此流程可大致分为三大部分
- Client Side:用户+客户端与授权服务器的交互
- Server Side:客户端与授权服务器之间的交互
- Check Access Token:客户端与资源服务器之间的交互 + 资源服务器与授权服务器之间的交互
整体上来说,可以用一句话概括授权码模式授权流程
客户端换取授权码,客户端使用授权码换token,客户端使用token访问资源
接下来对这三部分进行一些说明 :
前提条件:
- 第三方客户端需要提前与资源拥有方(同时也是授权所有方)协商客户端id(client_id),客户端密钥(client_secret)
- 文中暂时未将scope、state等依赖具体框架的内容写进来,这里可以参考Spring Security OAuth2的实现
Client Side
客户端换取授权码
这个客户端可以是浏览器,
- 客户端将client_id + client_secret + 授权模式标识(grant_type) + 回调地址(redirect_uri)拼成url访问授权服务器授权端点
- 授权服务器返回登录界面,要求用户登录(此时用户提交的密码等直接发到授权服务器,进行校验)
- 授权服务器返回授权审批界面,用户授权完成
- 授权服务器返回授权码到回调地址
Server Side
客户端使用授权码换token
- 客户端接收到授权码,并使用授权码 + client_id + client_secret访问授权服务器颁发token端点
- 授权服务器校验通过,颁发token返回给客户端
- 客户端保存token到存储器(推荐cookie)
Check Access Token
客户端使用token访问资源
- 客户端在请求头中添加token,访问资源服务器
- 资源服务器收到请求,先调用校验token的方法(可以是远程调用授权服务器校验端点,也可以直接访问授权存储器手动校对)
- 资源服务器校验成功,返回资源
这里的说明省去了一些参数,如scope(请求token的作用域)、state(用于保证请求不被CSRF)、redirect_uri(授权服务器回调uri),先理解概念,实现的时候再去要求
隐式授权模式(Implicit Grant)
隐式授权模式大致可分为两部分:
- Client Side:用户+客户端与授权服务器的交互
- Check Access Token:客户端与资源服务器之间的交互 + 资源服务器与授权服务器之间的交互
用一句话概括隐式授权模式授权流程
客户端让用户登录授权服务器换token,客户端使用token访问资源
Client Side
客户端让用户登录授权服务器换token
- 客户端(浏览器或单页应用)将client_id + 授权模式标识(grant_type)+ 回调地址(redirect_uri)拼成url访问授权服务器授权端点
- 授权服务器跳转用户登录界面,用户登录
- 用户授权
- 授权服务器访问回调地址返回token给客户端
Check Access Token
客户端使用token访问资源
- 客户端在请求头中添加token,访问资源服务器
- 资源服务器收到请求,先调用校验token的方法(可以是远程调用授权服务器校验端点,也可以直接访问授权存储器手动校对)
- 资源服务器校验成功,返回资源
密码模式(Resource Owner Password Credentials Grant)
密码模式大体上也分为两部分:
- Client Side: 用户与客户端交互,客户端与授权服务器交互
- Check Access Token:客户端与资源服务器之间的交互 + 资源服务器与授权服务器之间的交互
一句话概括用户名密码模式流程:
用户在客户端提交账号密码换token,客户端使用token访问资源
Client Side
用户在客户端提交账号密码换token
- 客户端要求用户登录
- 用户输入密码,客户端将表单中添加客户端的client_id + client_secret发送给授权服务器颁发token端点
- 授权服务器校验用户名、用户密码、client_id、client_secret,均通过返回token到客户端
- 客户端保存token
Check Access Token
客户端使用token访问资源
- 客户端在请求头中添加token,访问资源服务器
- 资源服务器收到请求,先调用校验token的方法(可以是远程调用授权服务器校验端点,也可以直接访问授权存储器手动校对)
- 资源服务器校验成功,返回资源
客户端模式(Client Credentials Grant)
客户端模式大体上分为两部分:
- Server Side: 客户端与授权服务器之间的交互
- Check Access Token: 客户端与资源服务器,资源服务器与授权服务器之间的交互
一句话概括客户端模式授权流程:
客户端使用自己的标识换token,客户端使用token访问资源
Server Side
客户端使用自己的标识换token
- 客户端使用client_id + client_secret + 授权模式标识访问授权服务器的颁发token端点
- 授权服务器校验通过返回token给客户端
- 客户端保存token
Check Access Token
客户端使用token访问资源
- 客户端在请求头中添加token,访问资源服务器
- 资源服务器收到请求,先调用校验token的方法(可以是远程调用授权服务器校验端点,也可以直接访问授权存储器手动校对)
- 资源服务器校验成功,返回资源
OAuth2授权模式的选型
考虑到授权场景的多样性,可以参考以下两种选型方式
1.按授权需要的多端情况
2.按客户端类型与所有者
后记
学习OAuth2有一段时间了,把学到的知识分享出来,行文中难免有错误,如果发现还请留言指正,谢谢!
Java知音,专注于Java实用文章推送,不容错过!
来源:cnblogs.com/hellxz/p/oauth2_process.html
相关推荐
- 为何越来越多的编程语言使用JSON(为什么编程)
-
JSON是JavascriptObjectNotation的缩写,意思是Javascript对象表示法,是一种易于人类阅读和对编程友好的文本数据传递方法,是JavaScript语言规范定义的一个子...
- 何时在数据库中使用 JSON(数据库用json格式存储)
-
在本文中,您将了解何时应考虑将JSON数据类型添加到表中以及何时应避免使用它们。每天?分享?最新?软件?开发?,Devops,敏捷?,测试?以及?项目?管理?最新?,最热门?的?文章?,每天?花?...
- MySQL 从零开始:05 数据类型(mysql数据类型有哪些,并举例)
-
前面的讲解中已经接触到了表的创建,表的创建是对字段的声明,比如:上述语句声明了字段的名称、类型、所占空间、默认值和是否可以为空等信息。其中的int、varchar、char和decimal都...
- JSON对象花样进阶(json格式对象)
-
一、引言在现代Web开发中,JSON(JavaScriptObjectNotation)已经成为数据交换的标准格式。无论是从前端向后端发送数据,还是从后端接收数据,JSON都是不可或缺的一部分。...
- 深入理解 JSON 和 Form-data(json和formdata提交区别)
-
在讨论现代网络开发与API设计的语境下,理解客户端和服务器间如何有效且可靠地交换数据变得尤为关键。这里,特别值得关注的是两种主流数据格式:...
- JSON 语法(json 语法 priority)
-
JSON语法是JavaScript语法的子集。JSON语法规则JSON语法是JavaScript对象表示法语法的子集。数据在名称/值对中数据由逗号分隔花括号保存对象方括号保存数组JS...
- JSON语法详解(json的语法规则)
-
JSON语法规则JSON语法是JavaScript对象表示法语法的子集。数据在名称/值对中数据由逗号分隔大括号保存对象中括号保存数组注意:json的key是字符串,且必须是双引号,不能是单引号...
- MySQL JSON数据类型操作(mysql的json)
-
概述mysql自5.7.8版本开始,就支持了json结构的数据存储和查询,这表明了mysql也在不断的学习和增加nosql数据库的有点。但mysql毕竟是关系型数据库,在处理json这种非结构化的数据...
- JSON的数据模式(json数据格式示例)
-
像XML模式一样,JSON数据格式也有Schema,这是一个基于JSON格式的规范。JSON模式也以JSON格式编写。它用于验证JSON数据。JSON模式示例以下代码显示了基本的JSON模式。{"...
- 前端学习——JSON格式详解(后端json格式)
-
JSON(JavaScriptObjectNotation)是一种轻量级的数据交换格式。易于人阅读和编写。同时也易于机器解析和生成。它基于JavaScriptProgrammingLa...
- 什么是 JSON:详解 JSON 及其优势(什么叫json)
-
现在程序员还有谁不知道JSON吗?无论对于前端还是后端,JSON都是一种常见的数据格式。那么JSON到底是什么呢?JSON的定义...
- PostgreSQL JSON 类型:处理结构化数据
-
PostgreSQL提供JSON类型,以存储结构化数据。JSON是一种开放的数据格式,可用于存储各种类型的值。什么是JSON类型?JSON类型表示JSON(JavaScriptO...
- JavaScript:JSON、三种包装类(javascript 包)
-
JOSN:我们希望可以将一个对象在不同的语言中进行传递,以达到通信的目的,最佳方式就是将一个对象转换为字符串的形式JSON(JavaScriptObjectNotation)-JS的对象表示法...
- Python数据分析 只要1分钟 教你玩转JSON 全程干货
-
Json简介:Json,全名JavaScriptObjectNotation,JSON(JavaScriptObjectNotation(记号、标记))是一种轻量级的数据交换格式。它基于J...
- 比较一下JSON与XML两种数据格式?(json和xml哪个好)
-
JSON(JavaScriptObjectNotation)和XML(eXtensibleMarkupLanguage)是在日常开发中比较常用的两种数据格式,它们主要的作用就是用来进行数据的传...
你 发表评论:
欢迎- 一周热门
- 最近发表
- 标签列表
-
- r语言矩阵 (127)
- browsererror (114)
- exportexcel (119)
- cv2.bitwise_not (137)
- dump命令 (128)
- es6concat (126)
- heapify (127)
- java.security.egd (130)
- javax.annotation (117)
- jsstringsplit (117)
- js数字 (115)
- maven编译 (132)
- mysqlleft (128)
- nodejsbuffer (149)
- org.apache.commons.httpclient (126)
- org.jsoup (141)
- org.springframework.web (128)
- robotframework-ride (115)
- setnocounton (141)
- socket.gethostbyname (122)
- sqlmid (121)
- time.strptime (133)
- vscode格式化 (125)
- win32con (129)
- window.localstorage (126)