OAuth认证
OAuth简介
OAuth是在不提供用户名和密码的情况之下,授权第三方应用访问Web资源的安全协议。
OAuth允许用户提供一个令牌给第三方网站,一个令牌对应一个特定的第三方网站,同时该令牌只能在特定的时间内访问特定的资源。
比如在FB上想要导入MSN好友,在没有OAuth时,可能需要用户向FB提供MSN的用户名和密码。
OAuth解决了这个信任问题。它使得用户不需要向FB提供MSN的用户名和密码的情况下,可以授权MSN将用户的好友名单提供给FB。
OAuth中的角色:
服务商(Server):用户使用服务的提供方,一般用来存消息、储照片、视频、联系人、文件等(比如Twitter、Sina等)。
用 户(Resource Owner):服务商的用户
消费方(Client):通常是网站,该网站想要访问用户存储在服务商那里的信息。
上面例子里面,Client是FB,Server是MSN,Resource Owner是用户。
另外一个实例:
Jane在f.com上有两张照片,她想要将这两张照片分享到b.com,这个过程如何实现?
Jane在b.com上选择要分享的两张照片.
在b.com的后台会创建一个临时凭证,稍后Jane将持此凭证前往f.com.
然后页面跳转到f.com的OAuth页面,并要求Jane登录。注意,这里是在f.com上登录。
登录成功后,f.com会询问Jane是否授权b.com访问Jane在f.com里面的私有照片。
如果Jane授权成功,f.com会将Jane带来的临时凭证标记为Jane已经授权,同时跳转回b.com,并带上临时凭证(Temporary Credentials),凭此,b.com知道它可以去获取Jane的照片了。
对于b.com来说,它首先通过Request Token去f.com来换取Access Token,然后就可以用Access Token访问资源了。Request Token只能用于获取用户的授权,Access Token才能用于访问用户的资源。
最终,Jane成功将照片从f.com分享到b.com上。
一个通用的流程:
1、用户访问Client网站,想对用户存放在Server的某些资源进行操作。
2、Client网站向服务商请求一个临时Token。
3、Server验证Client网站的身份后,授予一个临时Token。
4、Client网站获得临时令牌后,将用户导向至Server的授权页面请求用户授权,然后这个过程中将临时Token和Client网站的返回地址发送给Server。
5、用户在Server的授权页面上输入自己的用户名和密码,授权Client网站访问所相应的资源。
6、授权成功后,Server将用户导向Client网站的返回地址。
7、Client网站根据临时Token从Server那里获取访问Token。
8、Server根据Token和用户的授权情况授予Client网站访问Token。
9、Client网站使用获取到的访问Token访问存放在Server的对应的用户资源。
流程图如下
:
中小网站没有必要自己实现OAuth协议,可以使用一些比较成熟的库。具体的库可以查看:http://oauth.net/2/
参考:《白帽子讲web安全》
OAuth认证的更多相关文章
- OAuth认证原理及HTTP下的密码安全传输
很多人都会问这样一个问题,我们在登录的时候,密码会不会泄露?随便进一个网站,登录时抓包分析,可以看到自己的密码都是明文传输的,在如此复杂的web环境下,我们没有百分的把握保证信息在传输过程中不被截获, ...
- HTTP下密码的安全传输、OAuth认证
在复杂的web环境下,我们没有百分的把握保证信息在传输的过程中不被接货,那不是用明文如何告诉服务器自己的身份呢? 在一些高度通信安全的网络中,数据传输会使用HTTPS作为传输协议,但是通常情况下我们没 ...
- 拿nodejs快速搭建简单Oauth认证和restful API server攻略
拿nodejs快速搭建简单Oauth认证和restful API server攻略:http://blog.csdn.net/zhaoweitco/article/details/21708955 最 ...
- 一步一步搭建 OAuth 认证服务器
http://www.fising.cn/2011/03/%E4%B8%80%E6%AD%A5%E4%B8%80%E6%AD%A5%E6%90%AD%E5%BB%BA-oauth-%E8%AE%A4% ...
- JAVA Oauth 认证服务器的搭建
http://blog.csdn.net/binyao02123202/article/details/12204411 1.软件下载 Oauth服务端: http://code.google.com ...
- Oauth认证简介
Oauth是什么: 1.Oauth是一种安全认证的协议: 2.Oauth为用户资源的授权提供了一个安全的.开放而又简易的标准: 3.Oauth的授权不会使第三方触及到用户的账号信息(用户名和密码). ...
- 新浪微博客户端开发之OAuth认证篇
新浪微博客户端开发之OAuth认证篇 2013年7月29日新浪微博客户端开发 OAuth2.0授权机制我在这里就不浪费口舌了,有很多大牛都发表过相关的文章解释OAuth2.0认证的流程,我就随便找了一 ...
- 服务端API的OAuth认证实现
http://stackoverflow.com/questions/12499602/body-joints-angle-using-kinect?rq=1 新浪微博跟update相关的api已经挂 ...
- Oauth认证的时候报错:timestamp_refused
今天server大规模报错,大部分用户无法登陆,小部分能够登陆,非常是奇怪. 查看log.调试代码,发现问题是在oauth认证的时候出了问题,报 timestamp_refused. google了下 ...
- 豆瓣api之OAuth认证
豆瓣api通过OAuth允许第三方应用访问用户数据,所以OAuth认证就是我们整个project的基础了. OAuth认证听起来挺神秘,其实挺简单的. 现在的大型网站的开放平台的认证几乎都是采用OAu ...
随机推荐
- 2016_09_21 Russia is seriously running out of cash_CNN
After almost two years in recession,the country's rainy day fund has shrunk to just $32.2 billlion t ...
- form表单修改label样式
<?php $form = ActiveForm::begin([ 'options'=>['enctype'=>'multipart/form-data','class' => ...
- ANDROID学习之路 转
版权声明:本文为 stormzhang 原创文章,可以随意转载,但必须在明确位置注明出处!!! 这篇博客背后的故事 一路走来很不容易,刚好知乎上被人邀请回答如何自学android编程, 就借这个机会在 ...
- centos6.5为tengine安装php 5.6支持
1.到php官网下载最新的php版本 http://php.net/ 我下载的是php-5.6.28.tar.bz2 2.编译安装 2.1安装依赖 2.1.1 解决libxml2和xml2-confi ...
- centos6.5 升级安装pcre 8.39版本
1.查看系统pcre安装情况 rpm -qa pcre 2.卸载系统自带的旧版本 rpm -e --nodeps pcre 3.下载新版安装 地址:ftp://ftp.csx.cam.ac.uk/pu ...
- .NET设计规范————类型设计规范
类型设计规范 从CLR的角度看,只有值类型和引用类型两种类型,但是从框架设计的角度我们把类型从逻辑上分了更多的组.如下所示: 类是引用类型的一般情况,占了框架中的大多情况,类的流行归于它支持面向对象的 ...
- [开源项目]Hibernate基本使用
开源项目(1)Hibernate基本使用 Hibernate介绍 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象 ...
- GDI+ 操作TIFF ccitt t.6 压缩
Bitmap Bi=new Bitmap("C:\img.tif"); SaveFileDialog sfdlg = new SaveFileDialog(); sfdlg.Fil ...
- 用两个Stack来实现一个Queue
import java.util.Stack; /** * 问题:用两个Stack来实现一个Queue; * 方法:栈的特点是先进后出:而队列的特点是先进先出: * 用两个栈正好能把顺序调过来: * ...
- nodejs概要
1.什么是Node Node.js 可能类似jquery.js?当不是. 首先Js包含(ECMAScript 即JS- ES BOM DOM三类),浏览器三种都可以运行,node中只能运行EC ...