2. 程式人生 > >IdentityServer4-客戶端的授權模式原理分析(三)

IdentityServer4-客戶端的授權模式原理分析(三)

阿新 發佈:2018-12-30
原文: IdentityServer4-客戶端的授權模式原理分析(三)

在學習其他應用場景前,需要了解幾個客戶端的授權模式。首先了解下本節使用的幾個名詞

Resource Owner:資源擁有者,文中稱“user”;

Client為第三方客戶端;

Authorization server為授權伺服器;

redirection URI:簡單理解為取資料的地址;

User Agent:使用者代理,本文中就是指瀏覽器;

這裡把訪問資源伺服器簡單理解成取資料。

 

Resource Owner Password Credentials模式

 

下面以我自己的理解加上對話的形式來簡要說明。

User:Client,這是我的redirection URI,user ID和Password,你去幫我拿些資料吧。

Client:好的,沒問題!(轉向Authorization server)Authorization server,這是user的user ID和Password,我要去拿user需要的資料。

Authorization server:給的user ID和Password正確,給你access token和refresh token,去拿資料吧。

authorization code模式

 

User:Client,這是我的redirection URI,你去幫我拿些資料吧,但是我不會提供賬號密碼。

Client:這樣啊,那我們找Authorization server吧,讓它來當中間人。

Authorization server(很負責任):User,你是要讓Client幫你拿資料嗎。

User:是啊,這是我的redirection URI。

Authorization server:Client,給你個授權碼authorization code,你拿著authorization code和user給你redirection URI給我驗證吧。

Client:好,這是authorization code和user給我redirection URI,我要去拿資料了。

Authorization server

:可以,驗證沒問題了,給你個access token和refresh token,你去拿資料吧。

Implicit模式

 

User:Client,這是我的redirection URI,你去幫我拿些資料吧,但是我不會提供賬號密碼。

Client:這樣啊,那我們還是找Authorization server吧,讓它來當中間人。

Authorization server:User,你是要讓Client幫你拿資料嗎。

User:是啊,這是我的redirection URI。

Authorization server:(瀏覽器登場)瀏覽器,這是user的redirection URI和access token的碎片,你來幫他搞吧。

瀏覽器(很委屈):只給access token的碎片弄不了啊,我還是問redirection URI怎樣才能把這些碎片拼完整吧。

redirection URI的老大(資源伺服器):給你個網頁,裡面有方法把access token的碎片拼起來。

瀏覽器:Client,access token拼好了,你用access token去拿資料吧。

 

Implicit模式通過user的瀏覽器成功拿到了access token,相對於authorization code模式,省去了授權碼部分。

而密碼模式,需要user提供賬號和密碼進行驗證。倘若user的賬號密碼可以讓Client獲取到,可以使用密碼模式,但要確保Client不被黑了。

 

Hybrid模式:

Hybrid模式是結合了Implicit模式和authorization code模式。以下是我對Hybrid模式的理解,如有不對的地方,歡迎指正!

User通過身份認證後,ID token和類似授權碼authorization code等資訊被傳輸到瀏覽器,Client通過瀏覽器獲取到authorization code,然後從Authorization server獲取到access token和refresh token。

 

 

最後說下refresh token

獲取到access token後,它是預設有效時間為3600秒/1小時,可以在new Client的AccessTokenLifetime進行設定。一般情況下,access token失效後,使用者需要重新授權,Client才能拿到新的access token。但有了refresh token後,Client檢測到access token失效後,可直接向Authorization server申請新的access token。當然,refresh token也是有有效期的。

AbsoluteRefreshTokenLifetime的預設有效期為2592000秒/30天SlidingRefreshTokenLifetime的預設有效期為1296000秒/15天。

refresh token支援hybridauthorization codedevice flow 和 resource owner password flows等模式 。

 

本節圖片轉自阮一峰的網路日誌:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

以上是個人對客戶端的授權模式的理解,如有不對的地方,歡迎指正

 

相關推薦

IdentityServer4-客戶授權模式原理分析

原文: IdentityServer4-客戶端的授權模式原理分析(三) 在學習其他應用場景前,需要了解幾個客戶端的授權模式。首先了解下本節使用的幾個名詞 Resource Owner:資源擁有者,文中稱“user”; Client為第三方客戶端; Authorization server為授權伺服器;

ArcGIS網路分析之Silverlight客戶最近設施點分析

在上一篇中說了如何實現最近路徑分析,本篇將討論如何實現最近設施點分析。 最近設施點分析實際上和路徑分析有些相識,實現的過程基本一致,不同的是引數的設定,選用的分析圖層為最近設施點網路分析圖層,一般形式為: http://<伺服器名或ip地址>/ArcGIS/re

java併發程式設計一一執行緒池原理分析

合理的設定執行緒池的大小 接著上一篇探討執行緒留下的尾巴。如果合理的設定執行緒池的大小。 要想合理的配置執行緒池的大小、首先得分析任務的特性,可以從以下幾個角度分析: 1、任務的性質:CPU密集型任務、IO密集型任務、混合型任務等; 2、任務的優先順序:高、中、低; 3、任務的執行時

kafka的工作原理分析 -- 高可用副本機制

一、副本機制簡介 在kafka中,topic是可以拆分為多個分割槽進行儲存資料的,每個分割槽儲存的資料都是不一樣的。在kafka的叢集環境下,為了避免出現單節點宕機導致的資料丟失迭代情況,kafka提供了一種分割槽資料的副本機制,保證在某個分割槽的讀寫節點宕機

Redis客戶連線以及持久化資料

0、Redis目錄結構       1)Redis介紹及部署在CentOS7上(一)       2)Redis指令與資料結構(二)       3)Redis客戶端連線以及持久化資料(三)

IdentityServer47- 使用客戶認證控制API訪問客戶授權模式

一.前言 目前官方的文件和Demo以及一些相關元件全部是.net core 1.1的,應該是因為目前IdentityServer4目前最新版本只是2.0.0 rc1的原因,官方文件和Demo還沒來更新。我準備使用的是.net core 2.0 所支援的IdentityServer4 2.0.0,官方文件及De

IdentityServer4 (1) 客戶授權模式(Client Credentials)

寫在前面 1、原始碼(.Net Core 2.2)   git地址:https://github.com/yizhaoxian/CoreIdentityServer4Demo.git 2、相關章節   2.1、《IdentityServer4 (1) 客戶端授權模式(Client Credentials)》

Spring Cloud Eureka原理分析:註冊過程-服務

Eureka的官方文件和Spring Cloud Eureka文件都有很多含糊的地方,其他資料也不多,只有讀讀原始碼維持生活這樣子…… 本文將不會詳細介紹每個細節,而是講述一些關鍵的地方,便於查閱。 一些好的參考資料 對讓人一臉懵逼的region和zone的解釋 攜程對Eureka機制的剖析

Spring Cloud Eureka原理分析:續租、下線、自我保護機制和自動清理服務

續租、下線等操作比較直觀,實際上也不復雜。讓我們自己想想它們大概會在服務端有什麼操作。 renew: 更新Lease的lastUpdateTimestamp, 更新一下InstanceInfo的最新狀態。然後呼叫其他同伴節點的renew介面。 cancel:把lease從registry中移除,設

Android OTA升級原理和流程分析---Android系統的種啟動模式

        以下的篇幅開始分析我們在上兩個篇幅中生成的update.zip包在具體更新中所經過的過程,並根據原始碼分析每一部分的工作原理。 一、       系統更新update.zip包的兩種方式 1.  通過上一個文件,我們知道了怎樣製作一個updat

dubbo遠端呼叫原始碼分析客戶接收反饋後的處理

dubbo遠端呼叫的原始碼分析,分成了三篇文章地址分別如下:下面是consumer接收到provider反饋時的處理consumer接收到provider的反饋後,觸發NettyClient的事件處理器,該事件對consumer來說是上行事件,觸發的是NettyCodecAd

一個基於JRTPLIB的輕量級RTSP客戶(myRTSPClient)——實現篇:RTP音視頻傳輸解析層之音視頻數據傳輸格式

客戶端 會有 服務 client 基本 cnblogs 存在 額外 導致 一、差異 本地音視頻數據格式和用來傳輸的音視頻數據格式存在些許差異,由於音視頻數據流到達客戶端時,需要考慮數據流的數據邊界、分包、組包順序等問題,所以傳輸中的音視頻數據往往會多一些字節。 舉個例子

Java並發AQS原理分析

jpg 子類 ole success ces || pro 同步 無法 我們說的AQS就是AbstractQueuedSynchronizer,他在java.util.concurrent.locks包下,這個類是Java並發的一個核心類。第一次知道有這個類是在看可重入鎖R

一個基於JRTPLIB的輕量級RTSP客戶(myRTSPClient)——實現篇:以g711-mulaw為例添加新的編碼格式解析支持

調用 pcm 2個 h265 pri 源碼 返回 .cn memcpy 一、myRtspClient音頻解析架構 AudioTypeBase是處理解析各種編碼的音頻數據的接口類。處理MPA數據的MPEG_Audio類和處理g711-mulaw的PCMU_Audio類均從Au

QUIC協議原理分析

內存 鼓勵 pda 視頻 物聯 簡化 發現 不同的 寫在前面 之前深入了解了一下HTTP1.1、2.0、SPDY等協議,發現HTTP層怎麽優化,始終要面對TCP本身的問題。於是了解到了QUIC,這裏分享一篇之前找到的有意義的文章。 原創地址:https://mp.weixi

Thrift原理分析協議和編解碼

協議和編解碼是一個網路應用程式的核心問題之一,客戶端和伺服器通過約定的協議來傳輸訊息(資料),通過特定的格式來編解碼位元組流,並轉化成業務訊息,提供給上層框架呼叫。 Thrift的協議比較簡單,它把協議和編解碼整合在了一起。抽象類TProtocol定義了協議和編解碼的頂層介面。個人感

osgEarth的Rex引擎原理分析earth檔案中都有哪些options

目標:(九)中問題9 通過在earth檔案中搜索options,發現主要有這麼幾種: <options> <profile> <srs>+proj=aeqd +lat_0=90 +lon_0=0 +x_0=0 +y_

osgEarth的Rex引擎原理分析十三選擇資訊的作用

目標:(十二)中的問題28 在rex引擎建立時,會建立選擇資訊結構體SelectionInfo _selectionInfo;該結構體包含了lod切換的距離設定的引數資訊。該結構體的包含三個全域性設定: osgEarthDrivers/engine_rex/SelectionInfor.cp

Android跨程序通訊Binder原理分析

文章目錄 1 Binder原始碼分析 1.1 Service的註冊流程 1.2 Service的獲取流程 1.3 Service的使用流程 1 Binder原始碼分析 1.1 Service的註冊流程  

Android跨程序通訊Binder原理分析

文章目錄 1. Linux程序基礎 1.1 程序隔離 1.2 使用者空間/核心空間 1.3 核心模組/驅動 1.4 圖解 2. 為什麼要使用Binder 2.1 安全方面 2.2 效能方面(一