1. 为了理解OAuth的适用场合,让我举一个假设的例子。
有一个"云冲印"的网站,可以将用户储存在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"能够读取用户自己储存在Google上的照片。
如何让云冲印能够访问位于Google上的照片呢?传统方法是,用户将自己的Google用户名和密码,告诉"云冲印",后者就可以读取用户的照片了。这样的做法有很多的缺点,比如:
a) 云冲印有了访问Google全部照片的权限,而实际情况是我们可能仅仅想打印Google中的某一张照片
b) 如果云冲印的网站被黑了,那么保存在云冲印网站上的能够访问Google照片的用户名和密码也就不安全了,但实际上Google网站一直是安全的.
以上只是这种做法众多缺点中的两个缺点,显然这种做法不安全.
2. 为此有了OAuth2.0协议.OAuth2.0协议的全程为Open Standard for Authentication.他的思路是在云冲印和Google之间添加一个授权层,授权层为云冲印颁发一个可以访问Google的AccessToken,而这个行为的授权需要Google照片的拥有者来完成.OAuth2.0有4种授权模式,我们以最复杂的授权码模式为例,来说明OAuth2.0的工作流程.
3. 在讲解OAutn2.0的工作流程之前,先来看几个专用名词.
a)Client:第三方应用程序,本文中又称"客户端"(client),在本文中是"云冲印"应用。
b)Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。
c)User Agent:用户代理,本文中就是指浏览器。
d)Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。
e)Resource Owner:资源所有者,本文中又称"用户"(user)。
4. 下图是用户通过浏览器为客户端授权的过程.
1)用户点击授权按钮
2)Client服务器重定向请求到权限服务器,同时将Client相关信息以及请求授权的相关信息以及重定向服务器的地址(这里是指Client地址)作为参数发送给权限服务器.
3)权限服务器返回授权页面,此页面需要用户点击确定
4)用户确定授权
5)权限服务器重定向到Client服务器并将授权码作为参数传递给Client服务器.
6)Client服务器拿着授权码向权限服务器请求AccessToken
7)权限服务器进行验证后返回AccessToken
8]Client服务器返回授权成功页面.
5. 用户为Client服务器授予访问某个Resource Server的临时权限后,就可以直接使用Client了.即可以直接使用云冲印打印位于Google上的招聘了,这个过程,用户不需要感知了.因为他已经授予Client服务器服务Google服务器的权限了.过程如下图:
1)用户访问Client服务器提供的需要访问Resource Server的应用.
2)Client进行相关服务操作,这个过程需要访问Resource Server
3)返回结果给Client服务器
4)返回结果
- 大小: 1.7 MB
- 大小: 1.5 MB
分享到:
相关推荐
**OAuth2.0简介** OAuth2.0是一种授权框架,广泛应用于Web API的身份验证和授权。...OAuth2.0的核心是将认证和...在实践中,理解OAuth2.0的工作流程和Owin中间件的用法是至关重要的,这有助于构建健壮、安全的Web服务。
在深入理解OAuth2.0原理的基础上,你可以对服务端和客户端代码进行定制,比如增强安全性、优化性能、增加额外的功能,如支持更多的授权模式或实现自定义的令牌策略。同时,参与社区交流和讨论,可以借鉴其他开发者的...
OAuth 2.0 是一个授权框架,用于安全地允许第三方应用访问用户存储在另一服务上的资源,而无需共享用户凭证。...通过这个项目,开发者可以深入理解OAuth 2.0的工作原理,并掌握如何在Java环境中安全地实现这一标准。
在本文中,我们将深入探讨 OAuth 2.0 的核心概念,并结合 Java 实现来理解其工作原理。 OAuth 2.0 主要分为四个角色:资源所有者(Resource Owner)、客户端(Client)、授权服务器(Authorization Server)和资源...
OAuth 2.0 protocol 在国内还没有很靠谱的技术资料,作者特意将 OAuth 2.0 协议翻译成中文,以弘扬“开放精神”,让业内的人更容易理解“开放平台”相关技术,进而长远地促进国内开放平台领域的发展。 术语中英对照...
通过理解OAuth 2.0的授权流程和关键概念,以及掌握Spring Security OAuth2的配置方法,开发者可以创建安全且易于扩展的API访问控制系统。在`oauthserver`和`oauthclient01`这两个Maven项目中,你可以看到实际的代码...
通过分析和运行这个项目,你可以深入理解OAuth2.0的工作原理及其在Spring Boot中的实现。同时,也可以作为模板,为自己的项目添加OAuth2.0认证功能。在实际开发中,还可以考虑添加刷新令牌功能,以及更复杂的权限...
**OAuth2.0协议概述** OAuth2.0是一种授权框架,允许第三方应用在用户许可的情况下,访问特定资源。...然后,通过运行示例应用,你可以观察到OAuth2.0授权和令牌交换的整个过程,加深对OAuth2.0集成的理解。
通过学习和实践这个项目,开发者不仅可以掌握OAuth2.0的原理,还能深入理解Django框架的使用,以及如何扩展其功能来满足特定需求。在"OAuth2.0_Django2.1.2-master"这个压缩包中,可能包含了项目的所有源代码和相关...
OAuth2.0是一种广泛使用的开放授权...理解并掌握OAuth2.0的核心原理和流程,对于开发安全、可扩展的Web应用至关重要。在这个小demo中,我们可以学习到如何在实际项目中应用OAuth2.0,提高应用程序的健壮性和安全性。
微信OAuth2.0授权是一种广泛应用于移动应用和网站的第三方登录解决方案,主要目的是为了安全地获取用户的微信身份标识——openid,以便提供个性化...理解并正确使用OAuth2.0授权机制,对于开发微信相关的应用至关重要。
这个压缩包文件"oauth2.0.zip_oauth2.0"包含了深入理解OAuth 2.0的基础知识,特别是针对初学者的入门介绍。其中的"oauth2.0.pdf"文档很可能是详细阐述OAuth 2.0概念、工作流程和实际应用的教程。 OAuth 2.0的核心...
这个“OAuth2.0新浪微博简单示例”是为初学者设计的,旨在帮助理解OAuth2.0的工作原理及其在实际应用中的实现方式,特别是与新浪微博的集成。 首先,我们来深入了解一下OAuth2.0的核心概念: 1. **客户端(Client...
在Web应用开发中,OAuth2.0常被用来实现社交网络平台(如QQ、新浪、百度、人人网、OSC开源中国、豆瓣等)的第三方登录功能...通过理解OAuth2.0的工作原理,开发者可以轻松地整合各大社交平台的登录系统,提升用户体验。
在本文中,作者阮一峰详细解释了OAuth 2.0 的设计思路和工作流程,以便读者能够更好地理解和应用这一授权框架。 首先,OAuth 2.0 应用于第三方应用程序(客户端)需要访问用户在服务提供商(如Google)上的数据但又...
通过深入研究 Apache Amber 的源码,开发者不仅可以理解 OAuth 2.0 协议的工作原理,还能学习到如何在实际项目中实现和定制 OAuth 2.0 服务端。这将有助于提升应用的安全性和用户体验,因为用户可以在不泄露用户名和...
OAuth2.0是一种广泛使用的授权框架,用于在第三方应用与用户资源之间建立安全的数据共享机制。这个框架允许用户授权第三方应用访问他们存储在特定服务提供商(如Google或Facebook)上的数据,而无需分享他们的登录...
API接口设计OAuth2.0认证是一种广泛应用于现代Web服务的安全授权框架,用于保护资源服务器上的敏感数据。...对于开发者而言,深入理解OAuth2.0的授权流程、授权类型和安全考量,是提升自身技能的关键步骤。
在使用这个工具之前,需要理解 JWT 和 OAuth 2.0 的基本原理,并按照库的文档或说明进行配置和调用。 总的来说,JWT 和 OAuth 2.0 是现代Web应用中身份验证和授权的关键技术。了解它们的工作原理和使用方法对于构建...
OAuth 2.0的最简向导将帮助开发者理解这一授权流程,从而能够使应用程序安全地与资源服务器进行通信。 在OAuth 2.0的授权过程中,存在几个核心概念: 1. **资源所有者**:通常指的是用户,拥有对受保护资源的控制...