2. 程式人生 > >OAuth 授權過程工作原理講解

OAuth 授權過程工作原理講解

阿新 發佈:2017-08-04
sch 網絡日誌 dir 學生 del 解決 oca href word

轉自:http://www.imooc.com/article/10931

在一個單位中,可能是存在多個不同的應用,比如學校會有財務的系統會有學生工作的系統,還有圖書館的系統等等,如果每個系統都用獨立的賬號認證體系,會給用戶帶來很大困擾,也給管理帶來很大不便。所以需要設計一種統一登錄的解決方案。比如我登陸了百度賬號,進貼吧時發現已經登錄了,進糯米發現也自動登錄了。常見的有兩種情況,一種是SSO(單點登錄)效果是一次輸入密碼多個網站可以識別在線狀態;還有一種是多平臺登錄,效果是可以用一個賬號(比如QQ賬號)登錄多個不同的網站。

SSO與多平臺登錄

SSO一般用於同一單位的多個站點的登陸狀態保持,技術上一般參考CAS協議;多平臺登錄一般是Oauth體系的協議,有多種認證模式但是不具備會話管理和狀態保持。
不過從本質上講,我覺得兩者都是通過可信的第三方進行身份驗證,如果說同一單位的多個子系統共同只圍繞一個第三方賬戶(可以稱為認證中心)進行多平臺登錄驗證,那麽在第三方平臺登錄後再訪問其他網站,效果和統一登錄是差不多的。此外,Oauth2還有個好處就是可以實現跨平臺的登錄管理,因為他的認證過程不依賴於session和cookie,比如對於移動端設備,以及在前後端分離後這種登錄認證方式也可以起到很大作用。
這篇文章裏我就著結合之前項目中整合過的OAUTH2來講一講這種登錄認證的過程。項目是基於Shiro+ALTU實現,參考方案mkk/oauth2-shiro - 碼雲 - 開源中國 。

oauth2的基本概念

在Oauth中至少是有用戶,應用服務器,認證服務器這幾個角色在交互。OAuth的作用就是讓"客戶端"安全可控地獲取"用戶"的授權,與"應用服務器"進行互動。

OAuth2的基本流程

用戶通過瀏覽器訪問一個應用,比如我要上慕課網學習。

  1. 網站要求我登錄,我選擇使用QQ登錄,這裏的QQ登錄就是那個認證服務器。
  2. 這個時候慕課提供的QQ登錄鏈接會把我帶到QQ登錄頁面
  3. 在QQ的登錄頁面完成登錄後,選擇授權,也就是允許慕課網獲取我的資料。
  4. 這個時候我們看到瀏覽器經過幾次跳轉後返回慕課網,這個時候我們已經完成了登錄。

重點在於幾次跳轉的過程中,慕課網和QQ登錄的服務之間還有過幾次交互。

  1. 我們選擇了授權的時候QQ登錄服務器會根據慕課跳轉到QQ時候給出的重定向鏈接返回給慕課網一個code,這個code代表QQ的登錄服務器認可慕課網這個應用服務器的這個請求是合法的予以放行.
  2. 慕課這個時候就會用這個code再次向QQ登錄服務發起請求服務令牌(token)。
  3. 拿到這個令牌之後,接下來慕課需要用戶的一些基本信息時就可以通過在向QQ服務提交的請求頭裏帶上這個令牌,令牌驗證通過就可以拿到用戶資源。

這一部分的操作是應用服務器和驗證服務器之間的交互,這個過程對用戶是透明的。這個過程中慕課網是不需要知道用戶的賬號密碼也可以完成對用戶身份的認證,這個token就可以用來標識用戶資源。
官方的運行流程圖是這樣的:
技術分享

OAuth的幾種認證模式

上述講的是OAuth2中支持的授權碼(CODE)方式的認證流程,也是其支持的四種認證方式裏最復雜的,其他的三種種包括:

  1. 簡化模式(implicit),(在redirect_uri 的Hash傳遞token; Auth客戶端運行在瀏覽器中,如JS,Flash)
  2. 密碼模式(resource owner password credentials),將用戶名,密碼傳過去,直接獲取token;
  3. 客戶端模式(client credentials),無用戶,用戶向客戶端註冊,然後客戶端以自己的名義向‘服務端‘獲取資源;
    詳細的OAuth2資料參考理解OAuth 2.0|阮一峰的網絡日誌
    分別適用不同場景,復雜度也比授權碼模式要低,所以這裏就只說說授權碼模式的具體過程。

CODE方式認證實例

假設現在有一個應用服務器跑在我本機8000端口,認證服務器在8090端口。在需要用戶登錄時候把用戶帶到以下的一個URL.

http://localhost:8090/oauth/authorize?response_type=code&scope=read write&client_id=test&redirect_uri=http://localhost:8000/login&state=09876999

我們註意到幾個重要的參數:
技術分享

  • response_type:表示授權類型,就是上面講的那四種類型,這裏用的是code方式。
  • client_id:表示客戶端的ID,代表哪個應用請求驗證
  • redirect_uri:表示重定向URI,驗證以後的回調地址,一般用來接收返回的code,以及做下一步處理。
  • scope:表示申請的權限範圍,
  • state:表示客戶端的當前狀態,可以指定任意值,認證服務器會原封不動地返回這個值。作為安全校驗。

如果以上步驟都通過的話,認證服務器會轉向這個會調地址,帶上發放的Code碼,類似如下:

http://localhost:8000/login?code=bca654ab6133ab3cbc55bb751da93b1c&state=09876999

可以看到帶回了返回的參數,以及原樣返回的狀態碼。

應用服務器這時候拿到返回的code去換token,發起如下的一個請求:

http://localhost:8090/oauth/token?client_id=test&client_secret=test&grant_type=authorization_code&code=bca654ab6133ab3cbc55bb751da93b1c&redirect_uri=http://localhost:8000/login&scope=read%20write&state=09876999
與之前請求類似只是多了一個code字段,去驗證客戶端的合法性。

技術分享
驗證服務器會在收到code以後去查找是否有支持這種code的處理器,如果有則發放token。



OAuth 授權過程工作原理講解

相關推薦

OAuth 授權過程工作原理講解

sch 網絡日誌 dir 學生 del 解決 oca href word 轉自:http://www.imooc.com/article/10931 在一個單位中,可能是存在多個不同的應用,比如學校會有財務的系統會有學生工作的系統,還有圖書館的系統等等,如果每個系統都用獨立

OAuth2.0 授權工作原理

表示 ron tar 記錄 ebs login ref 拒絕 rec 作者:Barret李靖鏈接:https://www.zhihu.com/question/19781476/answer/81020455來源:知乎著作權歸作者所有。商業轉載請聯系作者獲得授權,非商業轉載

DNS工作原理講解

發出 -s pro lan lsp 程序 1.5 靜態文件 額外 我們通常使用域名來訪問目標機器,而不是直接使用其IP地址,那麽域名與IP地址之間存在什麽樣子的轉化關系呢?想要了解他們之間的轉化關系,我們不得不提域名查詢服務。域名查詢服務具有很多種實現方式,例如:N

晶體三極體工作原理講解方法探討

補充內容。  原文作者分析的極妙,但是少了飽和區狀態的分析。這裡加上。 三極體的輸出特性曲線往往會誤導初學者,給人一種先進入飽和區,之後才進入放大區的錯覺。其實正確的狀態階段是,輸入電壓Ube很小,小於開啟電壓Uon,三極體工作在截止區;加大Ube,發射結導通,輸入電流

文章閱讀:計算機體系-計算機將代碼編譯和持續運行過程中需要考慮的問題,以及具體的實現原理講解

body ext ont 計算機 display convert pan 數據 borde 文章太棒,我無法理解和評價,備份一下。1、編程漫遊 - Mr.Riddler‘s Puzzle http://blog.mrriddler.com/2016/12/15/%E7%BC

瀏覽器工作原理(二):瀏覽器渲染過程概述

sync 結構 dom end 繪制 fault 異步加載 步驟 targe 參考:https://segmentfault.com/a/1190000012925872#articleHeader4 瀏覽器器內核拿到內容後,渲染大概可以劃分成以下幾個步驟: 解析html

nginx 工作原理和配置文件講解

打開 cli ssi http 狀態碼 stat pro clu libs red 1、nginx 介紹 Nginx (engine x) 是一個高性能的HTTP和反向代理服務,也是一個IMAP/POP3/SMTP服務。Nginx是由伊戈爾·賽索耶夫為俄羅斯訪問量第二的Ra

TCP提供可靠傳輸的工作原理和實現過程

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

講解變頻電源的工作原理

直流電 等等 部分 我的文章 功能 -o nag 系列 做到 其實,像三相變頻電源,單相變頻電源,還有60HZ-50HZ變頻電源,包括大功率變頻電源的原理跟上面講述的這些都大同小異,只不過三相變頻電源和大功率變頻電源他們的內部核心部件比單相變頻電源的多。三相大功率變頻電源的

View的工作原理之Measure過程原始碼學習(四)

       上一篇文章,學習了ViewGroup和View的measure流程。文章最後講到,本文將會學習ViewGroup和普通View的onMeasure方法的工作。        因為ViewGroup是

View的工作原理之Measure過程原始碼學習(三)

        上一篇文章講解了整個Android應用程式的View檢視的頂級節點DecorView的Measure過程,文章最後就講到了DecorView的onMeasure方法中呼叫super.onMeasure(widthMeasureSpec, h

View的工作原理之Measure過程原始碼學習(二)

          上一篇文章從Android程式啟動過程講解了Activity、PhoneWindow以及ViewRoot與DecorView的聯絡。本篇文章詳細講述一下DecorView的measure過程。  

View的工作原理之Measure過程原始碼學習(一)

       在Android開發過程中,View控制元件的使用是最基本的技能,而自定義View技能的掌握也是非常重要的。這篇博文講記錄一下在讀任玉剛老師的《Android開發藝術探索》一書中學習到的相關知識以及自己的一些收穫。這裡說明一點,在"View的

SAP CRM裡Lead通過工作流自動建立Opportunity的原理講解

(1) 在SAP CRM裡建立一個Lead後,會觀察到有一個Opportunity自動生成,這是通過什麼後臺邏輯實現的呢? 檢查前臺日誌或者後臺事務碼SLG1,發現有很多屬於使用者WF-BATCH的日誌. Who is WF-BATCH? WF-BACTH is a Workf

c語言函式呼叫過程中棧的工作原理理解

差不多每個程式設計師都知道,函式呼叫過程,就是層層入棧出棧的過程。 那麼這個過程中的詳細的細節是什麼樣子的呢? 閱讀了以下幾篇文章之後,對整個過程基本理解了: C函式呼叫過程原理及函式棧幀分析 閱讀經典——《深入理解計算機系統》04 函式返回值與棧 針對自己的理解,做個記錄:

OAuth的機制原理講解及開發流程

國內私募機構九鼎控股打造APP,來就送 20元現金領取地址:http://jdb.jiudingcapital.com/phone.html內部邀請碼:C8E245J (不寫邀請碼,沒有現金送)國內私募機構九鼎控股打造,九鼎投資是在全國股份轉讓系統掛牌的公眾公司,股票程式碼為

【機器學習】【層次聚類演算法-1】HCA(Hierarchical Clustering Alg)的原理講解 + 示例展示數學求解過程

層次聚類(Hierarchical Clustering)是聚類演算法的一種,通過計算不同類別資料點間的相似度來建立一棵有層次的巢狀聚類樹。在聚類樹中,不同類別的原始資料點是樹的最低層,樹的頂層是一個聚類的根節點。建立聚類樹有自下而上合併和自上而下分裂兩種方法,本篇文章介紹合併方法。層次聚類的合併演算法層次聚

Servlet的生命週期、工作原理和一次請求響應過程

一、Servlet的生命週期 Servlet的生命週期分為4個階段:例項化- ->初始化- ->執行處理- ->銷燬 (1)例項化——new:伺服器第一次被訪問時,載入一個Servlet容器,而且只會被載入一次。 (2)初始化——init

Android系統Recovery工作原理之使用update.zip升級過程分析

                       ① 在main函式的開頭,首先將使用者設定的option選項存入OPTIONS變數中,它是一個python中的類。緊接著判斷有沒有額外的指令碼,如果有就讀入到OPTIONS變數中。                        ② 解壓縮輸入的zip包,即我們在

DNS工作原理及其過程

DNS伺服器所提供的服務是完成將主機名或域名轉換為IP地址的工作。為什麼需要將主機名或域名轉換為IP地址的工作呢?這是因為,當網路上的一臺客戶機訪問某一伺服器上的資源時,使用者在瀏覽器位址列中輸入的是便於識記的主機名或域名。而網路上的計算機之間實現連線卻是通過每臺計算機在網