OAuth简介

OAuth是在不提供用户名和密码的情况之下,授权第三方应用访问Web资源的安全协议。

OAuth允许用户提供一个令牌给第三方网站,一个令牌对应一个特定的第三方网站,同时该令牌只能在特定的时间内访问特定的资源。

比如在FB上想要导入MSN好友,在没有OAuth时,可能需要用户向FB提供MSN的用户名和密码。

OAuth解决了这个信任问题。它使得用户不需要向FB提供MSN的用户名和密码的情况下,可以授权MSN将用户的好友名单提供给FB。

OAuth中的角色:

服务商(Server):用户使用服务的提供方,一般用来存消息、储照片、视频、联系人、文件等(比如Twitter、Sina等)。

用  户(Resource Owner):服务商的用户

消费方(Client):通常是网站,该网站想要访问用户存储在服务商那里的信息。

上面例子里面,Client是FB,Server是MSN,Resource Owner是用户。

另外一个实例:

Jane在f.com上有两张照片,她想要将这两张照片分享到b.com,这个过程如何实现?

Jane在b.com上选择要分享的两张照片.

在b.com的后台会创建一个临时凭证,稍后Jane将持此凭证前往f.com.

然后页面跳转到f.com的OAuth页面,并要求Jane登录。注意,这里是在f.com上登录。

登录成功后,f.com会询问Jane是否授权b.com访问Jane在f.com里面的私有照片。

如果Jane授权成功,f.com会将Jane带来的临时凭证标记为Jane已经授权,同时跳转回b.com,并带上临时凭证(Temporary Credentials),凭此,b.com知道它可以去获取Jane的照片了。

对于b.com来说,它首先通过Request Token去f.com来换取Access Token,然后就可以用Access Token访问资源了。Request Token只能用于获取用户的授权,Access Token才能用于访问用户的资源。

最终,Jane成功将照片从f.com分享到b.com上。

一个通用的流程:

1、用户访问Client网站,想对用户存放在Server的某些资源进行操作。

2、Client网站向服务商请求一个临时Token。

3、Server验证Client网站的身份后,授予一个临时Token。

4、Client网站获得临时令牌后,将用户导向至Server的授权页面请求用户授权,然后这个过程中将临时Token和Client网站的返回地址发送给Server。

5、用户在Server的授权页面上输入自己的用户名和密码,授权Client网站访问所相应的资源。

6、授权成功后,Server将用户导向Client网站的返回地址。

7、Client网站根据临时Token从Server那里获取访问Token。

8、Server根据Token和用户的授权情况授予Client网站访问Token。

9、Client网站使用获取到的访问Token访问存放在Server的对应的用户资源。

流程图如下

中小网站没有必要自己实现OAuth协议,可以使用一些比较成熟的库。具体的库可以查看:http://oauth.net/2/

参考:《白帽子讲web安全》

OAuth认证的更多相关文章

  1. OAuth认证原理及HTTP下的密码安全传输

    很多人都会问这样一个问题,我们在登录的时候,密码会不会泄露?随便进一个网站,登录时抓包分析,可以看到自己的密码都是明文传输的,在如此复杂的web环境下,我们没有百分的把握保证信息在传输过程中不被截获, ...

  2. HTTP下密码的安全传输、OAuth认证

    在复杂的web环境下,我们没有百分的把握保证信息在传输的过程中不被接货,那不是用明文如何告诉服务器自己的身份呢? 在一些高度通信安全的网络中,数据传输会使用HTTPS作为传输协议,但是通常情况下我们没 ...

  3. 拿nodejs快速搭建简单Oauth认证和restful API server攻略

    拿nodejs快速搭建简单Oauth认证和restful API server攻略:http://blog.csdn.net/zhaoweitco/article/details/21708955 最 ...

  4. 一步一步搭建 OAuth 认证服务器

    http://www.fising.cn/2011/03/%E4%B8%80%E6%AD%A5%E4%B8%80%E6%AD%A5%E6%90%AD%E5%BB%BA-oauth-%E8%AE%A4% ...

  5. JAVA Oauth 认证服务器的搭建

    http://blog.csdn.net/binyao02123202/article/details/12204411 1.软件下载 Oauth服务端: http://code.google.com ...

  6. Oauth认证简介

    Oauth是什么: 1.Oauth是一种安全认证的协议: 2.Oauth为用户资源的授权提供了一个安全的.开放而又简易的标准: 3.Oauth的授权不会使第三方触及到用户的账号信息(用户名和密码). ...

  7. 新浪微博客户端开发之OAuth认证篇

    新浪微博客户端开发之OAuth认证篇 2013年7月29日新浪微博客户端开发 OAuth2.0授权机制我在这里就不浪费口舌了,有很多大牛都发表过相关的文章解释OAuth2.0认证的流程,我就随便找了一 ...

  8. 服务端API的OAuth认证实现

    http://stackoverflow.com/questions/12499602/body-joints-angle-using-kinect?rq=1 新浪微博跟update相关的api已经挂 ...

  9. Oauth认证的时候报错:timestamp_refused

    今天server大规模报错,大部分用户无法登陆,小部分能够登陆,非常是奇怪. 查看log.调试代码,发现问题是在oauth认证的时候出了问题,报 timestamp_refused. google了下 ...

  10. 豆瓣api之OAuth认证

    豆瓣api通过OAuth允许第三方应用访问用户数据,所以OAuth认证就是我们整个project的基础了. OAuth认证听起来挺神秘,其实挺简单的. 现在的大型网站的开放平台的认证几乎都是采用OAu ...

随机推荐

  1. 2016_09_21 Russia is seriously running out of cash_CNN

    After almost two years in recession,the country's rainy day fund has shrunk to just $32.2 billlion t ...

  2. form表单修改label样式

    <?php $form = ActiveForm::begin([ 'options'=>['enctype'=>'multipart/form-data','class' => ...

  3. ANDROID学习之路 转

    版权声明:本文为 stormzhang 原创文章,可以随意转载,但必须在明确位置注明出处!!! 这篇博客背后的故事 一路走来很不容易,刚好知乎上被人邀请回答如何自学android编程, 就借这个机会在 ...

  4. centos6.5为tengine安装php 5.6支持

    1.到php官网下载最新的php版本 http://php.net/ 我下载的是php-5.6.28.tar.bz2 2.编译安装 2.1安装依赖 2.1.1 解决libxml2和xml2-confi ...

  5. centos6.5 升级安装pcre 8.39版本

    1.查看系统pcre安装情况 rpm -qa pcre 2.卸载系统自带的旧版本 rpm -e --nodeps pcre 3.下载新版安装 地址:ftp://ftp.csx.cam.ac.uk/pu ...

  6. .NET设计规范————类型设计规范

    类型设计规范 从CLR的角度看,只有值类型和引用类型两种类型,但是从框架设计的角度我们把类型从逻辑上分了更多的组.如下所示: 类是引用类型的一般情况,占了框架中的大多情况,类的流行归于它支持面向对象的 ...

  7. [开源项目]Hibernate基本使用

    开源项目(1)Hibernate基本使用 Hibernate介绍 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象 ...

  8. GDI+ 操作TIFF ccitt t.6 压缩

    Bitmap Bi=new Bitmap("C:\img.tif"); SaveFileDialog sfdlg = new SaveFileDialog(); sfdlg.Fil ...

  9. 用两个Stack来实现一个Queue

    import java.util.Stack; /** * 问题:用两个Stack来实现一个Queue; * 方法:栈的特点是先进后出:而队列的特点是先进先出: * 用两个栈正好能把顺序调过来: * ...

  10. nodejs概要

    1.什么是Node   Node.js 可能类似jquery.js?当不是. 首先Js包含(ECMAScript 即JS- ES  BOM  DOM三类),浏览器三种都可以运行,node中只能运行EC ...