2. 程式人生 > >Auth2.0 授權碼模式個人分析思路

Auth2.0 授權碼模式個人分析思路

阿新 發佈:2019-01-24
介面設計:獲取code的介面+獲取access_token+獲取資源伺服器 頁面設計:登入頁->授權頁   (需要開啟app並判斷是否已登入,未登入先登入,已登入則調到授權頁(可靜默授權直接返回到 redirect_uri))      ①建立一個開放平臺用於開發者註冊獲取app key、app secret,然後app key與app secret會將資料儲存到認證伺服器  #此處需建立一個數據表(開發者資訊表-developer 表、authorzation表) 開發者資訊表(developer):id、app_key(相當於微信的appid、oauth2.0中的client_id)、app_secret、redirect_uri(授權後的回撥地址)、code(用於記錄授權碼)access_token、username、desc、created_at、updated_at 認證表(authorization):id、developer_id(索引對應的開發者資訊)、user_id(使用者id索引)、code、access_token、expires_in、created_at、updated_at   #可合併到使用者表 注:開放平臺返回時可能會存在第三方應用的正式網址,但是這樣可能會存在本地驗證測試問題 ②在客戶端(即向我們開放平臺申請使用者資訊的使用者的站點)向認證伺服器發起 類似以下請求 GET /authorize?response_type
=code&client_id=s6BhdRkqt3&state=xyz                 # 整個get請求需要強正則驗證順序         &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1         # redirect_uri寫在開放文件中,用於認證完回撥的的地址 Host: server.example.com        # 認證伺服器
請求到認證伺服器,先判斷是否已登入(未登入跳轉到登入頁面),反之跳轉到使用者授權頁面(建議靜默授權無需使用者點選確認),授權後根據redirect_uri返回授權碼(相應的authorzation認證表更新授權碼code及updated_at)。 !!關鍵!!
注:判斷是否已登入和跳轉到授權頁面中間存在一個等待的長連線過程(可開一個程序用於維持長連線tcp或websocket用於及時更新到給對方狀態) 上面想錯了,可以使用session標記是否授權狀態,決定使用者是否登入後進而判斷驗證client_id返回授權碼code 響應: HTTP/1.1 302 Found Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz 注:以上是請求後返回的響應,state用於防止csrf攻擊 ③上一步獲取了授權碼code(get可獲取),由於這裡是經過使用者授權通過後獲取到的code,所以是安全的,發起請求如下: POST /token HTTP/1.1
 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb 這裡驗證code、redirect_uri,然後更新authorization中 access_token、updated_at ??問題??:授權碼要繫結使用者嗎?每一個使用者對應一個授權碼?     目前情況是分理處一個認證表(authorization)用於單獨為每個使用者繫結,最好就是將該表合併到使用者表 響應:      HTTP/1.1 200 OK      Content-Type: application/json;charset=UTF-8      Cache-Control: no-store                    # 不得快取      Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"      } ④獲取access_token後即可獲取指定資源(過期重新refresh_token即可) 參考資料: http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 
http://www.cnblogs.com/yuanloo/p/4330098.html 

相關推薦

Auth2.0 授權模式個人分析思路

介面設計:獲取code的介面+獲取access_token+獲取資源伺服器 頁面設計:登入頁->授權頁   (需要開啟app並判斷是否已登入,未登入先登入,已登入則調到授權頁(可靜默授權直接返回到 redirect_uri))      ①建立一個開放平臺用於開發

OAuth 2.0授權模式

sse 解釋 wiki value 選擇 可見 blank rect www. 轉載自:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html OAuth 2.0授權碼模式 授權碼模式(authorization code

Springboot2.0 + OAuth2.0授權模式

class article 事先 except font 一段 cati auth account 綜述:上兩回講了密碼模式,應該是淺顯易懂。如有補充,不足或者是有誤之處還請多多指出。現在重頭戲,授權碼模式開始。 一、具體操作流程 - 用戶訪問客戶端,後者將前者導向認證服

實現OAuth2.0服務端【授權模式(Authorization Code)】

實現主要涉及引數配置如下:  授權碼設定(code)  第三方通過code進行獲取 access_token的時候需要用到,code的超時時間為10分鐘,一個code只能成功換取一次access_token即失效。  授權作用域(scope)  作用域代表使用者授權給第三方的介面許可權,第三方應用需要

spring-oauth-server實踐(1-5)為客戶mobile-client開通授權模式申請access_token,並使用access_token訪問需要鑒權的業務

有效 ron 服務提供者 http spring use tro 使用 info 1、為mobile用戶申請access_token access_token存在並有效時,4+1種方式再次申請到的access_token都是一樣的,有效期不變! 如果mo

Spring Security OAuth2 授權模式

 背景:     由於業務實現中涉及到接入第三方系統(app接入有贊商城等),所以涉及到第三方系統需要獲取使用者資訊(使用者手機號、姓名等),為了保證使用者資訊的安全和接入方式的統一, 採用Oauth2四種模式之一的授權碼模式。  介紹:   &nbs

Spring boot+Security OAuth2 爬坑日記(2)授權模式(升級篇)

1. 開發環境和本專案用到的框架 接著上一篇Spring boot+Security OAuth2 爬坑日記(1)授權碼模式部落格中的內容,上篇介紹了基本的開發環境,系統以及jdk版本等,本篇再來詳細介紹下專案中用到的框架和相關類庫。 框架/類庫/資

Spring boot+Security OAuth2 爬坑日記(1)授權模式

OAuth2 OAuth 關於授權的開放網路標準,關於OAuth2的知識,參考OAuth2.0 和 理解OAuth 2.0-阮一峰 四種授權模式 授權碼模式 (功能最完整,流程最嚴密) 密碼模式 客戶端模式 簡化模式 授權碼模式

Spring Security Oauth2-授權模式(Finchley版本)

一、授權碼模式原理解析(來自理解OAuth 2.0) 授權碼模式(authorization code)是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端的後臺伺服器,與"服務提供商"的認證伺服器進行互動。其具體的流程如下: 具體步驟: A:使用者訪問客戶端(cli

Java後端愛上SpringBoot 第三節:整合Security & OAuth2(密碼模式 & 授權模式

Java後端愛上SpringBoot 第三節:整合Security & OAuth2(密碼模式 & 授權碼模式) 一些連結 密碼模式 PS:網上SpringBoot整合Spring Security 和 OAuth2的文章很多,在這裡

auth2.0授權

簡單畫了一個oauth授權的時序圖,有些粗糙。 客戶端授權型別: 授權碼模式(authorization code) 簡化模式(implicit) 密碼模式(resource owner password credentials) 客戶端模式(client cr

Oauth2授權模式訪問之授權模式(authorization_code)訪問

獲取code redirect_uri可以隨便寫,在瀏覽器輸入(注意是get請求方式): http://localhost:8080/oauth/authorize?response_type=code&client_id=pair&redirec

axure 8.0授權

轉載自:https://blog.csdn.net/u012955029/article/details/78599153?locationNum=10&fps=1Axure RP 8 註冊碼僅供個人學習交流使用(建議購買正版授權)8.1.0.3366親測可用Lice

Axure 8.0 授權

Licensee:University of Science and Technology of China (CLASSROOM) Key:DTXRAnPn1P65Rt0xB4eTQ+4bF5IUF0gu0X9XBEUhM4QxY0DRFJxYEmgh4ny

03 基於閘道器服務的OAuth2驗證(OAuth2 Authentication Code Grant 授權模式

https://getkong.org/plugins/oauth2-authentication 我們演示還是用books 的Restful api資料介面,把Kong Gateway - 01範例中PostgresSQL中的kong資料庫刪掉, 匯入一個已經配置好

Oauth2認證模式授權模式實現

Oauth2認證模式之授權碼模式(authorization code) 本示例實現了Oauth2之授權碼模式,授權碼模式(authorization code)是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端的後臺伺服器,與"服務提供商"的認證伺服器進行互動。 閱讀本示例之前,

Spring Security OAuth2 Demo —— 授權模式

本文可以轉載,但請註明出處https://www.cnblogs.com/hellxz/p/oauth2_oauthcode_pattern.html 寫在前邊 在文章OAuth 2.0 概念及授權流程梳理 中我們談到OAuth 2.0的概念與流程,這裡我準備分別記一記這幾種授權模式的demo,一方面為自己的

IdentityServer4系列 | 授權模式

# 一、前言 在上一篇關於[簡化模式](https://www.cnblogs.com/i3yuan/p/14033016.html)中,通過客戶端以瀏覽器的形式請求**IdentityServer**服務獲取訪問令牌,從而請求獲取受保護的資源,但由於token攜帶在url中,安全性方面不能保證。因此,我們

第一次個人項目【詞頻統計】——需求分析,代規範,設計思路

get 數據 處的 哈希表 ring 關註 區分 www 代碼規範 需求分析 由於程序需要在Windows平臺和Linux平臺都能運行,因此對代碼的可移植性有一定的要求 由於需要對文件夾進行遍歷,因此數據量相對較大,需要選擇合適的數據結構,在此項目中,樹和哈希表都是可供選

[Android FrameWork 6.0學習] ViewGroup的addView函數分析

getparent without cap work direct down lstat sig ecif Android中整個的View的組裝是采用組合模式。 ViewGroup就相當與樹根,各種Layout就相當於枝幹,各種子View,就相當於樹葉。 至於View類。我