角色:

  1. RO (resource owner): 资源所有者,对资源具有授权能力的人,通常比喻为用户
  2. RS (resource server): 资源服务器,存储资源、并处理对资源的访问请求
  3. Client:第三方应用,它通过RO确认后,获得RO的授权后便可以去访问RS上的RO对应资源
  4. AS (authorization server): 授权服务器,它认证RO的身份,为RO提供授权审批流程并最终颁发授权令牌(Access Token)。

PS:通常和RS放到一起

授权模式:

前言:在一般的授权流程中,Client第三方应用可能是一个web程序,也有可能是一段命令行代码。或者其他一些脚本,为了保护其安全性。关于用户的一些秘钥,可以选择不给用户(RO)暴露。但对于第三方应用,还是可以访问到用户的数据。

支持这些不同类型的Client,区分除了多种授权模式。

  1. 授权码 (Authorization Code Grant)
  2. 隐式授权 (Implicit Grant)
  3. RO凭证授权 (Resource Owner Password Credentials Grant)
  4. Client凭证授权 (Client Credentials Grant)

授权码模式 (Authorization Code Grant):

典型的web流程:

  1. 第三方应用程序(Client),将用户(RO)当前页面重定向到授权服务器(AS),在用户确认授权或取消授权后,重定向回一个由第三方web应用程序制定的url。
  2. 授权服务器(AS)验证用户(通过http头),并确定用户是否允许第三方应用程序访问用户资源(RS)
  3. 如果用户确认授权第三方应用程序,授权服务器(AS),将会重定向到由第一步第三方应用程序设定的一个url,并返回一个授权码(就是个临时认证字符串)。
  4. 第三方应用程序通过验证并传入由上一步获取的授权码参数再去授权服务器上验证并获取一个令牌。

隐式授权模式 (Implicit Grant):

  1. 用户访问第三方应用程序时(client),第三方应用将用户重定向到授权服务器(AS)。
  2. 授权服务器(AS)生成一个页面,来提供给用户是否授权
  3. 如果用户授权,授权服务器(AS)向第三方应用页面返回令牌
  4. 第三方应用获取到上一步返回的令牌,去资源服务器获取用户的资源(前提是令牌没问题)

密码模式 (Resource Owner Password Credentials Grant):

简单来说就是把密码托管给第三方应用,所以在这里。我们要确保第三方应用的高度可信任

  1. 用户(RO)向第三方应用程序(client)提供账号密码。
  2. 第三方应用程序获取到上一步的账号和密码,向授权服务器发送请求
  3. 授权服务器认证账号密码正确后,再向第三方应用程序提供一个令牌

Client凭证授权 (Client Credentials Grant):

这种是最不安全的一种模式,过程并不需要用户去参与,完全就是第三方应用程序与授权服务器的交流

  1. 用户(RO)访问第三方应用程序
  2. 第三方应用程序通过自定义的验证方式,拿到令牌。无需通过用户去认证
  3. 访问资源服务器(RS)

Oauth2.0详解,Oauth2.0协议原理的更多相关文章

  1. 百度大脑UNIT3.0详解之知识图谱与对话

    如今,越来越多的企业想要在电商客服.法律顾问等领域做一套包含行业知识的智能对话系统,而行业或领域知识的积累.构建.抽取等工作对于企业来说是个不小的难题,百度大脑UNIT3.0推出「我的知识」版块专门为 ...

  2. 百度大脑UNIT3.0详解之数据生产工具DataKit

    在智能对话项目搭建的过程中,高效筛选.处理对话日志并将其转化为新的训练数据,是对话系统效果持续提升的重要环节,也是当前开发者面临的难题之一.为此百度大脑UNIT推出学习反馈闭环机制,提供数据获取.辅助 ...

  3. 13.详解oauth2授权码流程

    13.详解oauth2授权码流程 把登陆系统单独独立出来,可以给自己写的微服务用,也可以给第三方的系统调用我们的服务 显式的和隐式的,两种方式,

  4. (转载)详解7.0带来的新工具类:DiffUtil

    [Android]详解7.0带来的新工具类:DiffUtil 标签: diffutil 2017-04-17 18:21 226人阅读 评论(0) 收藏 举报  分类: Android学习笔记(94) ...

  5. 百度大脑UNIT3.0详解之嵌入式对话理解技术

    相信很多人都体验过手机没有网时的焦虑,没有网什么也做不了.而机器人也会遇到这样的时刻,没有网或者网络环境不好的情况下,无法识别用户在说什么,也无法回复用户.在AIoT(AI+物联网)飞速普及的现在,智 ...

  6. [转帖]万字详解Oracle架构、原理、进程,学会世间再无复杂架构

    万字详解Oracle架构.原理.进程,学会世间再无复杂架构 http://www.itpub.net/2019/04/24/1694/ 里面的图特别好 数据和云 2019-04-24 09:11:59 ...

  7. [转帖]详解Linux系统inode原理--硬链接、软链接、innodb大小和划分等

    详解Linux系统inode原理--硬链接.软链接.innodb大小和划分等 原创 波波说运维 2019-07-17 00:03:00 https://www.toutiao.com/i6713116 ...

  8. RocketMQ详解(一)原理概览

    专题目录 RocketMQ详解(一)原理概览 RocketMQ详解(二)安装使用详解 RocketMQ详解(三)启动运行原理 RocketMQ详解(四)核心设计原理 RocketMQ详解(五)总结提高 ...

  9. 淘宝JAVA中间件Diamond详解(2)-原理介绍

    淘宝JAVA中间件Diamond详解(二)---原理介绍 大家好,通过第一篇的快速使用,大家已经对diamond有了一个基本的了解.本次为大家带来的是diamond核心原理的介绍,主要包括server ...

随机推荐

  1. nes 红白机模拟器 第8篇 USB 手柄支持

    买了一个支持 USB OTG, 蓝牙 连接的 安卓手柄. 接到 ubunto 上 dmesg 可以看到识别出来的信息,内核已经支持了. usb - using uhci_hcd usb - usb - ...

  2. node打开本地应用程序

    1.打开浏览器 最简单的方法: const cp = require('child_process') cp.exec('start http://127.0.0.1:8889/'); // 自动打开 ...

  3. Python基础数据类型2

    lst.extend([1,2,3]) # 扩展 --- 迭代添加 整型和布尔值不能迭代print(lst) lst1 = [1,2,3]lst2 = [4,5,6]lst3 = lst1 + lst ...

  4. [BUG]微信小程序ios时间转换

    描述 小程序ios   new Date('2019-08-14T08:00:00.000+0000')   显示为  <Date: null>. '2019-08-14T08:00:00 ...

  5. 最长公共前缀(py)

    编写一个函数来查找字符串数组中的最长公共前缀. 如果不存在公共前缀,返回空字符串 "". 示例 1: 输入: ["flower","flow" ...

  6. Asp.Net Core 中IdentityServer4 实战之 Claim详解

    一.前言 由于疫情原因,让我开始了以博客的方式来学习和分享技术(持续分享的过程也是自己学习成长的过程),同时也让更多的初学者学习到相关知识,如果我的文章中有分析不到位的地方,还请大家多多指教:以后我会 ...

  7. Natas30 Writeup(sql注入)

    Natas30: 本关是一个登录页面,查看源码,可以发现关键代码. if ('POST' eq request_method && param('username') &&am ...

  8. RestFul API 统一格式返回 + 全局异常处理

    一.背景 在分布式.微服务盛行的今天,绝大部分项目都采用的微服务框架,前后端分离方式.前端和后端进行交互,前端按照约定请求URL路径,并传入相关参数,后端服务器接收请求,进行业务处理,返回数据给前端. ...

  9. linux redis安装 5.0.2

    参看:https://www.cnblogs.com/limit1/p/9045183.html 1.获取redis资源 wget http://download.redis.io/releases/ ...

  10. Swift 4.0 字符串(String)学习

    定义字符串常量(常量只有读操作) let lString = "constant" let lString1: String = "constant" 定义字符 ...