`

理解OAuth 2.0

 
阅读更多
什么是OAuth授权?

一、什么是OAuth协议
OAuth(开放授权)是一个开放标准。
允许第三方网站在用户授权的前提下访问在用户在服务商那里存储的各种信息。
而这种授权无需将用户提供用户名和密码提供给该第三方网站。
OAuth允许用户提供一个令牌给第三方网站,一个令牌对应一个特定的第三方网站,同时该令牌只能在特定的时间内访问特定的资源。

二、OAuth的原理和授权流程
OAuth的认证和授权的过程中涉及的三方包括:
服务商:用户使用服务的提供方,一般用来存消息、储照片、视频、联系人、文件等(比如Twitter、Sina微波等)。
用  户:服务商的用户
第三方:通常是网站,该网站想要访问用户存储在服务商那里的信息。
比如某个提供照片打印服务的网站,用户想在那里打印自己存在服务商那里的网络相册。
在认证过程之前,第三方需要先向服务商申请第三方服务的唯一标识。
OAuth认证和授权的过程如下:
1、用户访问第三方网站网站,想对用户存放在服务商的某些资源进行操作。
2、第三方网站向服务商请求一个临时令牌。
3、服务商验证第三方网站的身份后,授予一个临时令牌。
4、第三方网站获得临时令牌后,将用户导向至服务商的授权页面请求用户授权,然后这个过程中将临时令牌和第三方网站的返回地址发送给服务商。
5、用户在服务商的授权页面上输入自己的用户名和密码,授权第三方网站访问所相应的资源。
6、授权成功后,服务商将用户导向第三方网站的返回地址。
7、第三方网站根据临时令牌从服务商那里获取访问令牌。
8、服务商根据令牌和用户的授权情况授予第三方网站访问令牌。
9、第三方网站使用获取到的访问令牌访问存放在服务商的对应的用户资源。

三、目前支持OAuth的网站有哪些?
t.sina.com.cn
t.qq.com
t.sohu.com
t.163.com
www.douban.com
www.twitter.com
www.facebook.com
Google Buzz

文件来源于:http://www.6zou.net/tech/what_is_oauth.html



所谓OAuth(即Open Authorization,开放授权),它是为用户资源授权提供了一种安全简单的标准,也就是说用户在访问第三方web或应用的时候,第三方不会知道用户的信息(登录密码等),现在基本都支持OAuth2.0版本了。

首先来看看我们在第三方使用oauth流程如下:

第一步:用户登录第三方网站,使用qq登录。


第二步:点击登录后,会跳到qq平台提示输入用户名和密码。


第三步:如果用户名和密码正确,会提示是否接受授权,如果授权成功,第三方网站就能访问你的资源了,qq头像、用户名等



认证和授权过程(包括三方)


  1、服务提供方,用户使用服务提供方来存储受保护的资源,如照片,视频,联系人列表。

  2、用户,存放在服务提供方的受保护的资源的拥有者。

  3、客户端,要访问服务提供方资源的第三方应用,通常是网站。在认证过程之前,客户端要向服务提供者申请客户端标识。



用户访问客户端的网站,想操作用户存放在服务提供方的资源。

  客户端向服务提供方请求一个临时令牌。

  服务提供方验证客户端的身份后,授予一个临时令牌。

  客户端获得临时令牌后,将用户引导至服务提供方的授权页面请求用户授权。在这个过程中将临时令牌和客户端的回调连接发送给服务提供方。

  用户在服务提供方的网页上输入用户名和密码,然后授权该客户端访问所请求的资源。

  授权成功后,服务提供方引导用户返回客户端的网页,并返回已授权的临时凭证。

  客户端根据已授权的临时令牌从服务提供方那里获取访问令牌。

  服务提供方根据临时令牌和用户的授权情况授予客户端访问令牌。

  客户端使用获取的访问令牌访问该用户存放在服务提供方上的受保护的资源。(客户端只能访问给予它授权的用户的资源信息)


来源: http://www.phpddt.com/%E4%BA%8C%E6%AC%A1%E5%BC%80%E5%8F%91/oauth-2.html

http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
分享到:
评论

相关推荐

    webapi基于Owin中间件的oauth2.0身份认证

    **OAuth2.0简介** OAuth2.0是一种授权框架,广泛应用于Web API的身份验证和授权。...OAuth2.0的核心是将认证和...在实践中,理解OAuth2.0的工作流程和Owin中间件的用法是至关重要的,这有助于构建健壮、安全的Web服务。

    oauth2.0服务端客户端代码jar包

    在深入理解OAuth2.0原理的基础上,你可以对服务端和客户端代码进行定制,比如增强安全性、优化性能、增加额外的功能,如支持更多的授权模式或实现自定义的令牌策略。同时,参与社区交流和讨论,可以借鉴其他开发者的...

    java实现oauth2.0服务端+客户端(含JWT)

    OAuth 2.0 是一个授权框架,用于安全地允许第三方应用访问用户存储在另一服务上的资源,而无需共享用户凭证。...通过这个项目,开发者可以深入理解OAuth 2.0的工作原理,并掌握如何在Java环境中安全地实现这一标准。

    完整Oauth 2.0实现实例

    在本文中,我们将深入探讨 OAuth 2.0 的核心概念,并结合 Java 实现来理解其工作原理。 OAuth 2.0 主要分为四个角色:资源所有者(Resource Owner)、客户端(Client)、授权服务器(Authorization Server)和资源...

    OAuth2.0协议中文版

    OAuth 2.0 protocol 在国内还没有很靠谱的技术资料,作者特意将 OAuth 2.0 协议翻译成中文,以弘扬“开放精神”,让业内的人更容易理解“开放平台”相关技术,进而长远地促进国内开放平台领域的发展。 术语中英对照...

    Java的oauth2.0 服务端与客户端的实现(源码)

    通过理解OAuth 2.0的授权流程和关键概念,以及掌握Spring Security OAuth2的配置方法,开发者可以创建安全且易于扩展的API访问控制系统。在`oauthserver`和`oauthclient01`这两个Maven项目中,你可以看到实际的代码...

    springboot OAuth2.0-demo

    通过分析和运行这个项目,你可以深入理解OAuth2.0的工作原理及其在Spring Boot中的实现。同时,也可以作为模板,为自己的项目添加OAuth2.0认证功能。在实际开发中,还可以考虑添加刷新令牌功能,以及更复杂的权限...

    cas3.5.0集成oauth2.0协议

    **OAuth2.0协议概述** OAuth2.0是一种授权框架,允许第三方应用在用户许可的情况下,访问特定资源。...然后,通过运行示例应用,你可以观察到OAuth2.0授权和令牌交换的整个过程,加深对OAuth2.0集成的理解。

    Oauth2.0 协议 服务端 客户端 thinkphp5.0

    OAuth2.0是一种广泛使用的开放授权...理解并掌握OAuth2.0的核心原理和流程,对于开发安全、可扩展的Web应用至关重要。在这个小demo中,我们可以学习到如何在实际项目中应用OAuth2.0,提高应用程序的健壮性和安全性。

    基于Django2.1.2的OAuth2.0授权登录

    通过学习和实践这个项目,开发者不仅可以掌握OAuth2.0的原理,还能深入理解Django框架的使用,以及如何扩展其功能来满足特定需求。在"OAuth2.0_Django2.1.2-master"这个压缩包中,可能包含了项目的所有源代码和相关...

    微信oauth2.0授权

    微信OAuth2.0授权是一种广泛应用于移动应用和网站的第三方登录解决方案,主要目的是为了安全地获取用户的微信身份标识——openid,以便提供个性化...理解并正确使用OAuth2.0授权机制,对于开发微信相关的应用至关重要。

    oauth2.0.zip_oauth2.0

    这个压缩包文件"oauth2.0.zip_oauth2.0"包含了深入理解OAuth 2.0的基础知识,特别是针对初学者的入门介绍。其中的"oauth2.0.pdf"文档很可能是详细阐述OAuth 2.0概念、工作流程和实际应用的教程。 OAuth 2.0的核心...

    OAuth2.0新浪微博简单示例

    这个“OAuth2.0新浪微博简单示例”是为初学者设计的,旨在帮助理解OAuth2.0的工作原理及其在实际应用中的实现方式,特别是与新浪微博的集成。 首先,我们来深入了解一下OAuth2.0的核心概念: 1. **客户端(Client...

    oauth2.0第三方 qq、sina、baidu、renren、osc、豆瓣 等,登陆的简易封装!

    在Web应用开发中,OAuth2.0常被用来实现社交网络平台(如QQ、新浪、百度、人人网、OSC开源中国、豆瓣等)的第三方登录功能...通过理解OAuth2.0的工作原理,开发者可以轻松地整合各大社交平台的登录系统,提升用户体验。

    阮一峰_理解OAuth 2.01

    在本文中,作者阮一峰详细解释了OAuth 2.0 的设计思路和工作流程,以便读者能够更好地理解和应用这一授权框架。 首先,OAuth 2.0 应用于第三方应用程序(客户端)需要访问用户在服务提供商(如Google)上的数据但又...

    oauth2.0apache服务端源码

    通过深入研究 Apache Amber 的源码,开发者不仅可以理解 OAuth 2.0 协议的工作原理,还能学习到如何在实际项目中实现和定制 OAuth 2.0 服务端。这将有助于提升应用的安全性和用户体验,因为用户可以在不泄露用户名和...

    OAuth2.0代码模拟实现

    OAuth2.0是一种广泛使用的授权框架,用于在第三方应用与用户资源之间建立安全的数据共享机制。这个框架允许用户授权第三方应用访问他们存储在特定服务提供商(如Google或Facebook)上的数据,而无需分享他们的登录...

    API接口设计 OAuth2.0认证

    API接口设计OAuth2.0认证是一种广泛应用于现代Web服务的安全授权框架,用于保护资源服务器上的敏感数据。...对于开发者而言,深入理解OAuth2.0的授权流程、授权类型和安全考量,是提升自身技能的关键步骤。

    Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具

    在使用这个工具之前,需要理解 JWT 和 OAuth 2.0 的基本原理,并按照库的文档或说明进行配置和调用。 总的来说,JWT 和 OAuth 2.0 是现代Web应用中身份验证和授权的关键技术。了解它们的工作原理和使用方法对于构建...

    OAuth2.0最简向导.pdf

    OAuth 2.0的最简向导将帮助开发者理解这一授权流程,从而能够使应用程序安全地与资源服务器进行通信。 在OAuth 2.0的授权过程中,存在几个核心概念: 1. **资源所有者**:通常指的是用户,拥有对受保护资源的控制...

Global site tag (gtag.js) - Google Analytics