本文可以转载,但请注明出处https://www.cnblogs.com/hellxz/p/oauth2_process.html

OAuth2 的概念

OAuth是一个关于授权的开放网络标准,OAuth2是其2.0版本。

它规定了四种操作流程(授权模式)来确保安全

应用场景有第三方应用的接入、微服务鉴权互信、接入第三方平台、第一方密码登录等

Java王国中Spring Security也对OAuth2标准进行了实现。

OAuth2授权模式

OAuth2定义了四种授权模式(授权流程)来对资源的访问进行控制

  • 授权码模式(Authorization Code Grant)
  • 隐式授权模式(Implicit Grant)
  • 用户名密码模式(Resource Owner Credentials Grant)
  • 客户端模式(Client Credentials Grant)

名称与翻译略有出入,但有利于理解

无论哪个模式(流程)都拥有三个必要角色:客户端授权服务器资源服务器,有的还有用户(资源拥有者),下面简单介绍下授权流程

授权码模式(Authorization Code Grant)

授权码模式是OAuth2目前最安全最复杂的授权流程,先放一张图,稍做解释

如上图,我们可以看到此流程可大致分为三大部分

  • Client Side:用户+客户端与授权服务器的交互
  • Server Side:客户端与授权服务器之间的交互
  • Check Access Token:客户端与资源服务器之间的交互 + 资源服务器与授权服务器之间的交互

整体上来说,可以用一句话概括授权码模式授权流程

客户端换取授权码,客户端使用授权码换token,客户端使用token访问资源

接下来对这三部分进行一些说明 :

前提条件:

  • 第三方客户端需要提前与资源拥有方(同时也是授权所有方)协商客户端id(client_id),客户端密钥(client_secret)

Client Side

客户端换取授权码

这个客户端可以是浏览器,

  1. 客户端将client_id + client_secret + 授权模式标识(grant_type) + 回调地址(redirect_uri)拼成url访问授权服务器授权端点
  2. 授权服务器返回登录界面,要求用户登录(此时用户提交的密码等直接发到授权服务器,进行校验)
  3. 授权服务器返回给授权审批界面,用户授权完成
  4. 授权服务器返回授权码到回调地址

Server Side

客户端使用授权码换token

  1. 客户端接收到授权码,并使用授权码 + client_id + client_secret访问授权服务器颁发token端点
  2. 授权服务器校验通过,颁发token返回给客户端
  3. 客户端保存token到存储器(推荐cookie)

Check Access Token

客户端使用token访问资源

  1. 客户端在请求头中添加token,访问资源服务器
  2. 资源服务器收到请求,先调用校验token的方法(可以是远程调用授权服务器校验端点,也可以直接访问授权存储器手动校对)
  3. 资源服务器校验成功,返回资源

这里的说明省去了一些参数,如scope(请求token的作用域)、state(用于保证请求不被CSRF)、redirect_uri(授权服务器回调uri),先理解概念,实现的时候再去要求

隐式授权模式(Implicit Grant)

隐式授权模式大致可分为两部分:

  • Client Side:用户+客户端与授权服务器的交互
  • Check Access Token:客户端与资源服务器之间的交互 + 资源服务器与授权服务器之间的交互

用一句话概括授权码模式授权流程

客户端让用户登录授权服务器换token,客户端使用token访问资源

Client Side

客户端让用户登录授权服务器换token

  1. 客户端(浏览器或单页应用)将client_id + client_secret + 授权模式标识(grant_type)+ 回调地址(redirect_uri)拼成url访问授权服务器授权端点

  2. 授权服务器跳转用户登录界面,用户登录
  3. 用户授权

  4. 授权服务器访问回调地址返回token给客户端

Check Access Token

客户端使用token访问资源

  1. 客户端在请求头中添加token,访问资源服务器
  2. 资源服务器收到请求,先调用校验token的方法(可以是远程调用授权服务器校验端点,也可以直接访问授权存储器手动校对)
  3. 资源服务器校验成功,返回资源

用户名密码模式(Resource Owner Credentials Grant)

用户名密码模式也称Password Grant,大体上也分为两部分:

  • Client Side: 用户与客户端交互,客户端与授权服务器交互
  • Check Access Token:客户端与资源服务器之间的交互 + 资源服务器与授权服务器之间的交互

一句话概括用户名密码模式流程

用户在客户端提交账号密码换token,客户端使用token访问资源

Client Side

用户在客户端提交账号密码换token

  1. 客户端要求用户登录
  2. 用户输入密码,客户端将表单中添加客户端的client_id + client_secret发送给授权服务器颁发token端点
  3. 授权服务器校验用户名、用户密码、client_id、client_secret,均通过返回token到客户端
  4. 客户端保存token

Check Access Token

客户端使用token访问资源

  1. 客户端在请求头中添加token,访问资源服务器
  2. 资源服务器收到请求,先调用校验token的方法(可以是远程调用授权服务器校验端点,也可以直接访问授权存储器手动校对)
  3. 资源服务器校验成功,返回资源

客户端模式(Client Credentials Grant)

客户端模式大体上分为两部分:

  • Server Side: 客户端与授权服务器之间的交互
  • Check Access Token: 客户端与资源服务器,资源服务器与授权服务器之间的交互

一句话概括客户端模式授权流程

客户端使用自己的标识换token,客户端使用token访问资源

Server Side

客户端使用自己的标识换token

  1. 客户端使用client_id + client_secret + 授权模式标识访问授权服务器的颁发token端点
  2. 授权服务器校验通过返回token给客户端
  3. 客户端保存token

Check Access Token

客户端使用token访问资源

  1. 客户端在请求头中添加token,访问资源服务器
  2. 资源服务器收到请求,先调用校验token的方法(可以是远程调用授权服务器校验端点,也可以直接访问授权存储器手动校对)
  3. 资源服务器校验成功,返回资源

OAuth2授权模式的选型

考虑到授权场景的多样性,可以参考以下两种选型方式

  • 按授权需要的多端情况

  • 按客户端类型与所有者

后记

学习OAuth2有一段时间了,把学到的知识分享出来,行文中难免有错误,如果发现还请留言指正,谢谢合作

参考文章与资料:

https://time.geekbang.org/course/intro/84 作者:杨波

https://blog.csdn.net/sinat_25295611/article/details/84980987 作者:Kayfen

How OAuth 2.0 works and how to choose the right flow 作者:Lorenzo Spyna

本文可以转载,但请注明出处https://www.cnblogs.com/hellxz/p/oauth2_process.html

OAuth 2.0 概念及授权流程梳理的更多相关文章

  1. [转]OAuth 2.0 - Authorization Code授权方式详解

    本文转自:http://www.cnblogs.com/highend/archive/2012/07/06/oautn2_authorization_code.html I:OAuth 2.0 开发 ...

  2. OAuth 2.0 - Authorization Code授权方式详解

    I:OAuth 2.0 开发前期准备 天上不会自然掉馅饼让你轻松地去访问到人家资源服务器里面的用户数据资源,所以你需要做的前期开发准备工作就是把AppKey, AppSecret取到手 新浪获取传送门 ...

  3. 我也想聊聊 OAuth 2.0 —— Access Token

    这是一篇待在草稿箱半年之久的文章 连我自己都不知道我的草稿箱有多少未发布的文章了.这应该是我在上一家公司未解散之前写的,记得当时是要做一个开发者中心,很不幸. 今天,打开草稿箱有种莫名的伤感,看到这个 ...

  4. 微服务系列之授权认证(一) OAuth 2.0 和 OpenID Connect

    1.传统架构的授权认证 传统应用架构,用户使用账号密码登录后,可以使用前端cookie存储登录状态,也可以使用后端session方式存储登录状态,小应用这么做其实很高效实用,当应用需要横向扩展时,就需 ...

  5. ASP.NET WebApi OWIN 实现 OAuth 2.0

    OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用. OAuth 允许用户提供一个令牌, ...

  6. NET WebApi OWIN 实现 OAuth 2.0

    NET WebApi OWIN 实现 OAuth 2.0 OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和 ...

  7. [转]ASP.NET WebApi OWIN 实现 OAuth 2.0

    OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用. OAuth 允许用户提供一个令牌, ...

  8. 我与OAuth 2.0那点荒唐的小秘密

    OAuth2.0这个名词你是否在项目中时常听到呢?是否觉得好像懂,又好像不太懂呢? 最近一直想写篇关于OAuth2.0的东西,记录下我的学习与感悟,然各种理由的拖延,直到今日才静下心来写下这篇博客.当 ...

  9. OAuth 2.0 的探险之旅

    前言 OAuth 2.0 全称是 Open Authorization 2.0, 是用于授权(authorization)的行业标准协议. OAuth 2.0 专注于客户端开发人员的简单性,同时为 W ...

随机推荐

  1. Stringbuilder常用方法

    一.创建Stringbuilder对象StringBuilder strB = new StringBuilder(); 1.append(String str)/append(Char c):字符串 ...

  2. 使用ESP8266 打造一款物联网产品---新版ESP8266-RTOS-SDK(V3.1以上)串口使用指南

    问题背景: 使用乐鑫的ESP8266做一个物联网的项目,要使用串口0通信,串口1作为打印log.本来是一个非常简单的事情.没想到居然里面有个大坑.本着前任踩坑,后任抱娃的原则. 这里就做个记录,给后面 ...

  3. mysql分组和去重同时使用

    这是我的数据结构: 这是我的统计SQL

  4. Java 干货之深入理解Java泛型

    一般的类和方法,只能使用具体的类型,要么是基本类型,要么是自定义的类.如果要编写可以应用多中类型的代码,这种刻板的限制对代码得束缚会就会很大. ---<Thinking in Java> ...

  5. 等距结点下的Newton插值多项式系数计算(向前差分)

    插值多项式的牛顿法 1.为何需要牛顿法? ​ 使用Lagrange插值法不具备继承性.当求好经过\(({x_0},{y_0})-({x_n},{y_n})\)共n+1个点的插值曲线时候,如果再增加一个 ...

  6. 网络安全-主动信息收集篇第二章SNMP扫描

    SNMP扫描: snmp在中大型企业中可以用来做网络管理和网络监控的使用,当开启了snmp简单网络管理后,那么客户机就可以通过这个协议向该设备发送snmp协议内容可以轻松查询到目标主机的相关信息. 以 ...

  7. CSPS模拟 44

    状态不是很好吧 这套和前边是一套的, skyh在我旁边AK,好像开了三个对拍又在拼小人 T3 正解没调出来,暴力又忘交了qwq 当时心情都要爆炸了 T1 区间$gcd$乘区间长度的最大值 暴力是$n^ ...

  8. 详解SpringBoot应用跨域访问解决方案

    一.什么是跨域访问 说到跨域访问,必须先解释一个名词:同源策略.所谓同源策略就是在浏览器端出于安全考量,向服务端发起请求必须满足:协议相同.Host(ip)相同.端口相同的条件,否则访问将被禁止,该访 ...

  9. python学习之【第五篇】:Python中的元组及其所具有的方法

    1.前言 Python的元组(tuple)与列表很相似,不同之处在于元组不能被修改,即元组一旦创建,就不能向元组中的增加新元素,不能删除元素中的元素,更不能修改元组中元素.但是元组可以访问任意元素,可 ...

  10. VNC的安装以及使用

    VNC (Virtual Network Console)是虚拟网络控制台的缩写.它 是一款优秀的远程控制工具软件,由著名的 AT&T 的欧洲研究实验室开发的.VNC 是在基于 UNIX 和  ...