2. 程式人生 > >我與OAuth 2.0那點荒唐的小祕密

我與OAuth 2.0那點荒唐的小祕密

阿新 發佈:2020-01-22

OAuth2.0這個名詞你是否在專案中時常聽到呢?是否覺得好像懂,又好像不太懂呢?

最近一直想寫篇關於OAuth2.0的東西,記錄下我的學習與感悟,然各種理由的拖延,直到今日才靜下心來寫下這篇部落格。當然,這裡僅代表個人理解,如有紕漏之處,望園內大佬們不吝賜教~

好了,話不多說,乾貨頂上。

幾個基本概念

認證(Authentication)和授權(Authorization)

在接觸OAuth2.0時是否常聽到認證和授權這兩個名詞呢?

剛接觸時,一直以為這兩個詞是一個意思,只是大家說法的不同而已。然,在看完官方開發文件後才知道,這根本就是兩個東西,不能混為一談。下面詳細說說:

  • 認證:主要用於驗證身份。比如,我們進出火車站,身份證證明自己是張三而不是李四,這就是認證。
  • 授權:主要用於判斷是否擁有相應的許可權。比如,我們進出火車站,火車票證明我們有乘坐列車的許可權,這就是授權。

現在看看,是不是挺簡單的概念,頓時清晰起來?

OAuth定義的四個角色

  • 資源擁有者:受保護資源的擁有者,可以對他人授權,讓其訪問該資源。
  • 資源伺服器:託管受保護資源的伺服器,只要認證和授權通過,便可響應該資源。
  • 客戶端:提出請求受保護資源的應用程式。
  • 授權伺服器:當認證和授權成功後,給客戶端釋出訪問令牌(access token)。

訪問令牌

訪問令牌,其實就是可以訪問受保護資源的一個憑證。一般而言,這是串加密過的字串,頒發給客戶端,用於替換使用者名稱和密碼,避免每次請求都攜帶使用者名稱密碼,增加安全風險。

協議流程

上面這張圖便是OAuth 2.0抽象的協議流程,描述了其定義的四個角色之間的互動關係。我將這個流程分為了前期準備和獲取資源兩個部分,詳細如下:

前期準備(這是一次性操作,可通過介面申請,與資源擁有者的使用者代理溝通等):

  • 客戶端向資源擁有者申請受保護資源的訪問許可權;
  • 客戶端得到擁有者的授權,表示客戶端可以訪問該受保護資源。

獲取資源(Restful請求,每次訪問資源都得經過該操作):

  • 客戶端攜帶使用者名稱、密碼或clientId、secret等方式,向授權伺服器發起認證和授權;
  • 授權通過,授權伺服器向客戶端返回訪問令牌(access token);
  • 客戶端攜帶訪問令牌,向資源伺服器訪問受保護資源;
  • 資源伺服器驗證訪問令牌的有效性之後,向客戶端返回受保護資源。

授權

授權成功其實就是資源擁有者頒發的可以訪問受保護資源的憑證。當然客戶端直接拿著憑證是無法訪問資源的,還需拿著這個憑證去授權伺服器拿訪問令牌,憑著令牌便可直接訪問受保護資源。

OAuth 2.0官方給出的規範,授權的具體方式共有四種(可自定義):資源擁有者密碼憑證,客戶端憑證,授權碼和隱式授權,;當然自定義機制也是支援的。

資源擁有者憑證授權

資源擁有者密碼憑證的授權方式僅適用於資源擁有者和客戶端高度信任的場景。

  • 資源擁有者提供客戶端密碼憑證(resourId: secret)
  • 客戶端攜帶密碼憑證直接去授權伺服器獲取訪問令牌

客戶端憑證授權

客戶端攜帶自身憑證(clientId: secret)直接去授權伺服器獲取訪問令牌

授權碼授權

一次性操作(授權碼只需要獲取一次即可):

  • 客戶端重定向URI和身份資訊直接訪問資源擁有者或者擁有者的使用者代理(一般為前端)
  • 使用者代理拿著客戶端身份資訊和重定向URI,重定向至訪問授權伺服器;
  • 授權伺服器對客戶端的資訊進行認證和授權;
  • 認證和授權通過後,將授權碼返回至使用者代理;
  • 使用者代理將授權碼返回給客戶端

獲取資源:

  • 客戶端拿著授權碼和去授權伺服器獲取訪問令牌;
  • 客戶端攜帶訪問令牌,向資源伺服器訪問受保護資源;
  • 資源伺服器驗證訪問令牌的有效性之後,向客戶端返回受保護資源。

優勢:對客戶端進行認證;訪問令牌沒有直接返回至客戶端,所以沒有經歷第三方(使用者代理),減少暴露令牌的可能。

隱式授權

隱士授權是個簡化的授權流程,適用於前端頁面由指令碼語言(如Javascript)編寫的場景,對於React,Angular等編寫的前端,建議使用授權碼的授權方式。

  • 客戶端攜帶身份資訊和重新向URI(一般為前端主介面地址)訪問使用者代理;
  • 使用者代理將客戶端身份資訊和重定向URI發往授權伺服器,並進行使用者認證;
  • 認證授權通過後,將訪問令牌拼進重定向URI,並將這個新的URI發往使用者代理;
  • 使用者代理直接重定向至新的URI,載入主介面(所需資料,可根據訪問令牌去資源伺服器獲取);
  • 使用者代理將訪問令牌返回客戶端。

注意:一般隱式授權,可以利用重定向URI進行客戶端認證。

作者:吳家二少

部落格地址:https://www.cnblogs.com/cloudman-open/

本文歡迎轉載,但未經作者同意必須保留此段宣告,且在文章頁面明顯位置給出原文

相關推薦

OAuth 2.0荒唐祕密

OAuth2.0這個名詞你是否在專案中時常聽到呢?是否覺得好像懂,又好像不太懂呢? 最近一直想寫篇關於OAuth2.0的東西,記錄下我的學習與感悟,然各種理由的拖延,直到今日才靜下心來寫下這篇部落格。當然,這裡僅代表個人理解,如有紕漏之處,望園內大佬們不吝賜教~ 好了,話不多說,乾貨頂上。 幾個基本概念 認

認證授權事兒 —— OAuth 2.0

OAuth 2.0 —— 開放授權協議,對應的規範檔案RFC-6749早在2012年便成形,所以這並不是一個新的技術(你問我為啥研究這個,我也想吟一首詩啊。。。組織上就是這樣決定的),但由於其必不可少的價值,在今天的網路上已經得到了廣泛的應用。 OAuth2.0認證是要在不同的應用之

在農業2.0的互聯網創業思考 (1)

我卻 -s style 學生 優秀 做什麽 專業 農產品 easy 2014年的中國創新創業大賽互聯網總決賽落下了帷幕了,對我來說也是眼下這個項目的終結,由於眼下的項目也不是我非常喜歡的,創業就會這樣。沒有了激情也就沒有了動力。 事實上去深圳比賽前,我就已經開始思

OAuth 2.0中文譯本

encode forbidden 分享服務 grant 求一個 增加 一次 access erro (一)背景知識 OAuth 2.0很可能是下一代的“用戶驗證和授權”標準,目前在國內還沒有很靠譜的技術資料。為了弘揚“開放精神&rdqu

OWIN OAuth 2.0 Authorization Server

href auth docs alt tar 參考 服務器 ges tps 參考:https://docs.microsoft.com/en-us/aspnet/aspnet/overview/owin-and-katana/owin-oauth-20-authorizat

PHP OAuth 2.0 Server

ram ide ati window blob alex 申請 upgrade 客戶端 PHP OAuth 2.0 Server PHP OAuth 2.0 Server ??????????????????????????????????????????????

Postman-OAuth 2.0授權

變量 其中 發送 auth eight postman type .com acc Postman提供的授權類型有10種。授權過程將驗證是否有權從服務器訪問所需的數據。發送請求時,通常必須包含參數以確保請求有權訪問並返回所需的數據。 使用第7種OA

轉:OAuth 2.0 介紹

tgz 表示 lencod 保護 瀏覽器中 服務器申請 orm 這一 打開 OAuth是一個關於授權(authorization)的開放網絡標準,在全世界得到廣泛應用,目前的版本是2.0版。 本文對OAuth 2.0的設計思路和運行流程,做一個簡明通俗的解釋,主要參考材料

理解OAuth 2.0

發放 可選 第三方 四種 程序 ken 發送 用戶授權 解決 引用:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html OAuth是一個關於授權(authorization)的開放網絡標準,在全世界得到廣泛應用,目前的

詳解K8SRancher 2.0內的身份認證授權

Rancher Kubernetes 身份認證和授權 Rancher 2.0正式版已全面發布。Rancher 2.0是一個開源的Kubernetes管理平臺,為企業用戶提供Kubernetes-as-a-Service (Kubernetes即服務),並且能夠實現多Kubernetes集群的統一納

ASP.NET WebApi OWIN 實現 OAuth 2.0(自定義獲取 Token)

href timespan 獲取 edi prot cep b- med 2-0 相關文章:ASP.NET WebApi OWIN 實現 OAuth 2.0 之前的項目實現,Token 放在請求頭的 Headers 裏面,類似於這樣: Accept: application

要用Identity Server 4 -- OAuth 2.0 超級簡介

分隔 理解 大小 很多 應用程序 identity 復制 字符串 返回 OAuth 2.0 簡介 OAuth有一些定義: OAuth 2.0是一個委托協議, 它可以讓那些控制資源的人允許某個應用以代表他們來訪問他們控制的資源, 註意是代表這些人, 而不是假冒或模仿這些人

(轉阮一峰)深入理解OAuth 2.0

MF refresh 告訴 agent example 運行流程 可見 緩存 但是 OAuth是一個關於授權(authorization)的開放網絡標準,在全世界得到廣泛應用,目前的版本是2.0版。 本文對OAuth 2.0的設計思路和運行流程,做一個簡明通俗的解釋,主要參

OAuth 2.0之授權碼模式

sse 解釋 wiki value 選擇 可見 blank rect www. 轉載自:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html OAuth 2.0授權碼模式 授權碼模式(authorization code

Web驗證方式--OAuth 2.0協議(1)

store all 微信 cache 裏的 spa 瀏覽器 圖像 cal 介紹 OAuth協議是用來解決第三方應用程序訪問Http Service的時候的認證問題。舉個例子:某視頻網站支持用戶通過微信登陸,然後獲取用戶在微信上的圖像信息。 在這個場景裏   微信充當的

OAuth 2.0 筆記 (6) Bearer Token 的使用方法

文章目錄 場景 原文地址 摘選片段 場景 最近在研究oauth2認證, 剛好這篇文章很優秀, MARK一下 原文地址 原文地址 https://blog.yo

IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架學習保護API

IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架學習之保護API。 使用IdentityServer4 來實現使用客戶端憑據保護ASP.NET Core Web API 訪問。 IdentityServer4 GitHub: https://g

OAuth 2.0介紹

不難 acc itl strong ces cli 專用 缺點 網絡 簡介 OAuth是一個關於授權(authorization)的開放網絡標準,在全世界得到廣泛應用,目前的版本是2.0版。 一、應用場景 為了理解OAuth的適用場合,讓我舉一個假設的例子。 有一個"雲沖印

OAuth 2.0

用戶授權 輸入 網站 視頻 nbsp targe 存儲 聯系人 登錄 OAuth(開放授權)是一個開放標準,允許用戶讓第三方應用訪問該用戶在某一網站上存儲的私密的資源(如照片,視頻,聯系人列表),而無需將用戶名和密碼提供給第三方應用。 現在百度開放平臺,騰訊開放平臺等大部分

理解OAuth 2.0[轉]

OAuth是一個關於授權(authorization)的開放網路標準,在全世界得到廣泛應用,目前的版本是2.0版。 本文對OAuth 2.0的設計思路和執行流程,做一個簡明通俗的解釋,主要參考材料為RFC 6749。 一、應用場景 為了理解OAuth的適用場合,讓我舉一個假設的例子。 有一個"雲沖