OAuth2的学习,我也是从阮一峰老师的博客中开始的:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
下文中以“该博客”指代阮老师的博客。
但,阮一峰老师的博客似乎忽略了很多细节。
OAuth2的实际应用中,最常见的就是“授权码模式”了。
微博是这种模式,微信也是这种模式。
总结来说,就是简单的二步:
- 1.获取code
- 2.根据code,去获取access_token
以微博为例(http://open.weibo.com/wiki/%E6%8E%88%E6%9D%83%E6%9C%BA%E5%88%B6%E8%AF%B4%E6%98%8E):
假设我们开发一个网站(称为client;相对应的,微博就是server了),网站允许用户以微博账号登录,且需要读取用户的微博信息(账号、评论等等)。
显然,这过程中需要用户授权。
第一步:
- https://api.weibo.com/oauth2/authorize?client_id=YOUR_CLIENT_ID&response_type=code&redirect_uri=YOUR_REGISTERED_REDIRECT_URI
第二步:
- https://api.weibo.com/oauth2/access_token?client_id=YOUR_CLIENT_ID&client_secret=YOUR_CLIENT_SECRET&grant_type=authorization_code&redirect_uri=YOUR_REGISTERED_REDIRECT_URI&code=CODE
这其中有几个问题:
1.获取code时,传递的二个变量(clent_id,redirect_url),没有一个是跟用户有关的,那微博怎么知道我们请求的是哪个用户的授权呢?
这个问题现在看来很可笑,但刚开始确实是蒙圈了。
其实,在第一步的URI发出后,是要求用户跳转到server端登录的。这很好理解,如果用户不登录,那你怎么知道是哪个用户呢,他又怎么给你授权呢?
此外,可以看到,第一步的URI,放在我们网站页面的任何位置都可以;它也不要求传递跟session相关的任何信息。
这个URI对应的页面是微博开发的,跟我们网站没关系。
事实上,这个URI可以直接拷贝到浏览器里发起请求;这个时候,是浏览器跟微博的一个交互,我们的网站是一无所知的。
那什么时候我们得知用户给我们授权了呢?
第一步URI的请求,浏览器得到的是一个http的重定向响应,这个重定向指向的就是我们的网站;此时浏览器向我们的网站发起请求:
类似于:
https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz
站在我们网站后台程序的角度来看,我们是“忽然”(在此这前,它一无所知)收到一个code了,而这个code,是跟微博的一个用户一一对应的,我们拿这个code向微博发起请求,就能获得用户的授权,获得access_token,再发起另一请求,就可以获取用户信息了。
2.为什么在第一个URI请求发出后,微博的302重定向响应中,没有直接返回access_token,而是只返回一个code呢?
其实最初我的疑问更可笑:我想,为什么微博不直接返回access_token给我们网站呢?
这个问题的答案是,发起第一步的URI请求的,是浏览器!还记得前面我说的“我们的网站是一无所知”吗?此时微博是与浏览器在通信,而不是我们的网站,当然不能把参数传返回到我们网站了。
微博只能通过返回一个302响应,让浏览器重新向我们网站发起请求,把code传到我们网站来。
回到第二个问题。
该博客下有人是这样回答的:
- 为什么授权码模式需要这个授权码 当然是为了安全性 首先在OAuth体系中access_token是作为访问获取资源的唯一凭据 如果在AS授权完成之后 直接通过重定向传回access_token 那么HTTP 302不是安全的 Attacker有可能会获取到access_token 但是如果只返回Authorization code 就算别人获得了也没什么卵用 因为Authorization code不能获取到资源 在client向AS请求access_token的过程中 是通过HTTPS来保证安全的 而且获得access_token是需要client secret与Authorization code一起的 Attacker知道了Authorization code但并不知道client secret 同样也不能获得到access_token 所以client与AS是有责任保护好client secret的
- 获得了access_token之后 向RS发起请求 RS其实会与AS交互 来校验access_token 所以你想直接伪造一个access_token 那也是不ok的
- 突然想到漏说了一块 关于为什么不直接用HTTPS重定向回client
- 是因为不是所有client server都支持HTTPS~所以为了通用性 和安全性 才衍生出来这么一个Auth code
- 但是AS肯定是实现HTTPS的 所以在client向AS提起request 是木有问题的~
我自己的理解,是这样的:
直接返回access_token有可能被黑客拦截到,而拿到access_token就可以获得用户信息了,非常不安全。
那最容易想到的是,微博通过https返回access_token啊,https会对access_token加密,那不就可以了吗?
为什么这个方法不可行呢?
因为有可能我们的网站不支持https!站在微博的角度来看,千千万万的第三方网站,你要求每个网站都支持https,是不太现实的。
stackoverflow上的一个回答(http://stackoverflow.com/questions/13387698/why-is-there-an-authorization-code-flow-in-oauth2-when-implicit-flow-works-s)说这是“一个巨大的痛苦”:“a huge pain”。
那为什么返回code再去获取access_token就安全了呢?
因为这时候再去获取access_token,就是https请求了,发起方为我们的网站,接收方为微博,而微博作为OAuth server,肯定提供https。
但是,另一个问题来了,黑客拿到了code,它也向微博发起请求去获取access_token是不是就可以了呢?
也是不可以的。
因为向微博请求access_token时,还要带上我们网站的“密码”(client secret)。
这个密码,是我们网站在微博开放平台上注册时获得的(同时会得到一个client_id,这个值在第一步的URI里用到了)。
这一点在该博客没有提出来,最容易让人困惑。
3.为什么简化模式(implicit grant type)是可行的?
这个在stackoverflow有回答,前面也提到过:
http://stackoverflow.com/questions/13387698/why-is-there-an-authorization-code-flow-in-oauth2-when-implicit-flow-works-s
这就涉及到一个知识点:
浏览器不会把URL当中的“hash fragment”发给服务器。hash fragment是只留在浏览器的地址栏的,它可以被网页的js读取到:window.location.hash。
既然hash fragment没有发给服务器,那即使黑客拦截到请求,也获取不到它。
什么是hash fragment?就是URL当中#号后面的那一部分。
博客中的示例:
- HTTP/1.1 302 Found
- Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA&state=xyz&token_type=example&expires_in=3600
可以得知,“#access_token=2YotnFZFEjr1zCsicMWpAA”这一部分是留在浏览器这边的。
当浏览器接收到到该响应时,向http://example.com/cb发起请求,而后者的响应页面当中,应当有读取hash fragment的代码。
这样,client就拿到了access_token了。
解决了这三个问题,我本想到实际场景中抓包看看的,但遗憾的是,不管是蘑菇街还是聚美优品,这些允许以微博账号登录的网站,都只看到获取code那一步,没有看到获取access_token那一步。
或许改天有空可以自己在微博开放平台上注册一个应用来验证一下。
不过网上有人验证过微博的:
https://segmentfault.com/a/1190000000666685
此外还有一些关于微信OAuth2的实际例子:
http://www.cnblogs.com/txw1958/p/weixin71-oauth20.html
http://zeusjava.com/2015/04/22/wechat-get-userinfo/
都讲得比较详细。
zz:https://bylijinnan.iteye.com/blog/2277548
相关推荐
认证服务器将授权码返回给客户端,然后客户端可以将其交换为 access_token。 获取授权码 在授权码模式中,客户端需要首先获取授权码。客户端可以通过浏览器访问认证服务器的认证接口,以获取授权码。例如: ...
接着,客户端收到授权码后,会向授权服务器发送一个包含授权码、客户端ID和客户端密钥的请求,以换取access_token。这个过程需要进行HTTPS加密,确保数据安全。授权服务器验证信息无误后,会生成一个access_token,...
4. 服务器验证授权码有效后,生成并返回访问令牌(access token)和刷新令牌(refresh token)。 5. 客户端使用访问令牌访问受保护的API资源。 6. 当访问令牌过期时,客户端可使用刷新令牌获取新的访问令牌。 二、...
本主题将深入探讨如何在ASP(Active Server Pages)环境中利用OAuth2.0接口实现微信登录,并获取用户的OpenId、Access_Token以及个人资料如头像、昵称和性别等信息。 首先,OAuth2.0是授权框架,它允许第三方应用在...
Spring Cloud OAuth2是一种基于OAuth2协议的授权框架,它为微服务架构提供了安全的认证和授权服务。在“Spring Cloud Oauth2的密码模式数据库方式实现登录授权验证”这个主题中,我们将深入探讨如何利用OAuth2的密码...
2. **获取 Access Token**:通过 OAuth2.0 流程获取 `access_token`。 3. **API 调用**:使用 `access_token` 发送 API 请求,例如获取用户信息、发布推文等。 以上概述了 Facebook OAuth2.0 API 的调用方法及常用...
授权码模式是OAuth2的四种授权类型之一,适用于服务器端应用,因为它可以保护用户的密码不被第三方应用获取。 在Spring Boot环境中,我们可以利用Spring Security OAuth2模块来实现这个功能。以下是一些关键步骤: ...
微信OAuth2.0接口是微信官方提供的一种身份验证机制,允许第三方应用在用户授权的情况下获取其微信账号的相关信息,如OpenId、Access_Token、头像、昵称和性别等。这种接口通常用于实现微信登录功能,使得用户可以...
Spring Security OAuth2 授权码模式是 OAuth 2.0 授权流程中的一种常见模式,该模式要求用户登录并对第三方应用(客户端)进行授权,出示授权码交给客户端,客户端凭授权码换取 access_token(访问凭证)。...
在整合springcloud gateway、eureka、security、OAuth2的时候,采用授权码模式,用授权码去访问/oauth/token获取token时,遇到invalid stream header异常。 解决方法: 检查需要创建的OAuth2的几张表:oauth_access_...
Access Token是OAuth授权机制中的关键组件,它允许应用代表用户访问特定的资源或执行操作。以下将详细阐述Access Token的概念、获取流程以及在Android开发中的应用。 一、Access Token的概念 Access Token是一个...
2. **授权响应处理模块**:接收用户授权后的回调,解析返回的access_token和refresh_token。 3. **API调用模块**:使用access_token访问QQ开放平台的API,获取用户信息。 4. **会话管理模块**:存储和管理用户的...
QQ服务器验证这些信息无误后,会返回一个JSON响应,其中包含`access_token`和`refresh_token`。 4. **获取用户信息**:有了`access_token`,你可以向QQ的OpenAPI接口发送请求,获取用户的公开信息,如昵称、头像等...
客户端随后使用这个授权码向授权服务器验证并换取访问令牌(Access Token)。 2. **单点登录(SSO)**:SSO允许用户在一个系统登录后,无须再次登录就能访问其他相互信任的系统。Spring Security OAuth2.0可以实现...
2. 获取Access Token:客户端收到授权码后,将code发送到服务器端。服务器端使用这个code向微信开放平台请求access_token。请求的URL格式为:`...
客户端引导用户到授权服务器,用户同意后,服务器返回一个授权码。然后,客户端使用这个码和基础认证信息向授权服务器请求访问令牌。 4. **请求令牌(Token Request)**:使用HttpClient,构造一个POST请求到授权...
5. **交换令牌**:利用`Secret Key`,将授权码、`client_id`、`client_secret`和`redirect_uri`发送到Shopify的`/oauth/access_token`端点,以换取`access_token`和`refresh_token`。`access_token`用于访问用户数据...
接下来,客户端使用授权码、appid、appkey以及预先设定的回调URL向新浪的授权服务器请求access_token。这个请求通常是一个POST请求,包含了必要的认证信息。一旦请求成功,服务器会返回access_token,以及其他可能的...
OAuth 2.0 的授权码模式提供了一种相对安全的授权方式,因为授权码只在客户端和授权服务器之间传输,不直接暴露给用户。同时,通过使用HTTPS可以防止中间人攻击,确保敏感信息的安全。 **应用场景** OAuth 2.0 授权...
这个文件可能是所有OAuth2.0相关表结构的综合,除了上述的`OAUTH_CLIENT_DETAILS`,`OAUTH_ACCESS_TOKEN`和`OAUTH_REFRESH_TOKEN`之外,可能还包括其他相关表,如`OAUTH_AUTHORIZATION_CODE`(用于存储授权码模式的...