OAuth2.0概念以及實現思路簡介

来源:https://www.cnblogs.com/anai/archive/2020/01/10/12175070.html

一、什麼是OAuth? OAuth是一個授權規範,可以使A應用在受限的情況下訪問B應用中用戶的資源(前提是經過了該用戶的授權,而A應用並不需要也無法知道用戶在B應用中的賬號和密碼),資源通常以REST API的方式暴露。 二、什麼是OAuth2.0? 有2.0自然有1.0,相比1.0,2.0有如下不 ...


一、什麼是OAuth?
OAuth是一個授權規範,可以使A應用在受限的情況下訪問B應用中用戶的資源(前提是經過了該用戶的授權,而A應用並不需要也無法知道用戶在B應用中的賬號和密碼),資源通常以REST API的方式暴露。
 
二、什麼是OAuth2.0?
有2.0自然有1.0,相比1.0,2.0有如下不同:
  • 授權過程比1.0更簡潔
  • 全程使用https,保證安全的同時,又省去了1.0中對每個token都要加密的要求
  • 2.0針對客戶端的各種類型,提出了多種獲取訪問令牌的途徑
三、為什麼要用OAuth?
傳統的client-server 認證模式下,客戶端一般通過資源所有者的賬號/密碼,來向服務端請求某個受保護的資源。那麼,為了能讓第三方應用訪問這些受保護的資源,資源所有者可能需要與第三方應用共用自己的賬號/密碼,但是這麼做存在一些問題:
  • 第三方應用需要存儲資源所有者的賬號/密碼,以便將來再次使用,並且通常會以明文的方式存儲。
  • 第三方應用能訪問資源所有者全部的受保護資源,資源所有者無法約束其訪問的期限以及能夠訪問的資源邊界。
  • 資源所有者無法單獨取消個別第三方應用的訪問許可權,要麼全部允許,要麼全部不允許。
OAuth 可以解決這些問題,方法是引入一個授權層,並且將客戶端與資源所有者的角色分離。OAuth下,客戶端可以訪問哪些資源受資源所有者控制,並且客戶端的訪問憑證與資源所有者是不同的。客戶端不再使用資源所有者的憑證訪問受保護的資源,而是通過獲取一個access token(一個字元串,能夠表 示訪問的邊界,訪問的期限等訪問屬性)。在經過用戶授權後,access token會由一個授權伺服器發佈給第三方客戶端。然後,第三方客戶端使用access token到資源伺服器訪問受保護的資源。
 
四、進一步理解OAuth2.0
1、OAuth中涉及的幾個角色:
  • resource owner:資源所有者,通常就是指終端用戶。
  • resource server:資源伺服器,持有受保護的資源,能夠捕獲請求中的access token。
  • client:第三方應用,需訪問資源所有者受保護資源的應用。“client”在auth中只是一個術語,統指第三方應用,與該應用的執行是在伺服器,桌面或其它設備上無關。
  • authorization server:授權伺服器,負責頒發access token 給client,前提是client已經獲取了資源所有者的授權。
       2、協議流示意圖
C:\Users\jiabao\AppData\Local\Temp\enhtmlclip\Image.png
  • (1)client請求用戶授權以訪問資源;
  • (2)如果用戶授權,client會接收到一個授權許可;
  • (3)client憑藉授權許可及客戶端身份標識,請求access token;
  • (4)如果client身份和授權許可都認證通過,授權伺服器會頒發令牌;
  • (5)client憑藉訪問令牌到資源伺服器請求資源;
  • (6)如果訪問令牌有效,資源伺服器會返回相應資源給client。
3、該協議流是總體概念,實際會根據使用的授權許可的類型不同而有所差異,OAuth2.0有4種授權許可類型:
  • Authorization Code:授權碼
授權碼從授權伺服器獲得,授權伺服器充當client和resource owner的中間者。client不會直接從Resource Owner請求授權,而是引導Resource Owner到授權伺服器,授權伺服器會反向引導Resource Owner至client,並帶上授權碼。返回授權碼之前,由授權伺服器驗證Resource Owner的身份以及授權情況,因為ResourceOwner只會在授權伺服器做認證,Resource Owner的憑證信息是不會讓client知曉的。授權碼在安全方面帶來了一些重要的好處,比如對客戶端認證的能力,以及避免了直接通過Resource Owner的user-agent(比如瀏覽器)來傳輸access token,使得access token對其他人不可見,包括Resource Owner自己,大大降低了access token泄露的風險。
  • Implicit:隱式
Implicit許可類型是針對clients簡化過的授權碼許可類型,在瀏覽器利用腳本語言來實現。使用Implicit類型,用戶授權後,client直接獲取一個access token,而不是獲取一個授權碼。由於沒有像授權碼一樣的中間憑證產生,所以授權許可是隱式的。由於這種特性,在某些使用瀏覽器進行URI重定向的場景下,access token可能會暴露。Implicit改善了一些clients的響應效率,但是也帶來了安全隱患,所以建議一般只在Mobile Apps等不那麼容易從URI中獲取信息的應用中並且授權碼類型不可用的場景下使用。
  • Resource Owner Password Credentials:
直接使用資源所有者的密碼憑證(比如:用戶名和密碼)作為授權許可來獲取access token。該類型下雖然client知曉了Resource Owner的憑證,但是可以通過換取一個長生命周期的access token或 refresh token 來避免長期存儲憑證以便將來再次使用的需要。但是除非client是被高度受信任的,並且授權碼類型不能使用的場景外不建議使用。
  • Client Credentials:
客戶端憑證(或其它的認證形式)可以直接用作授權許可。適用於授權邊界不需要Resource Owner控制或者能夠在授權伺服器預先配置的場景,比如在多個資源伺服器共用統一用戶中心的場景下,資源伺服器之間需要相互訪問,此時client可能也是resource owner 或者resource server。
 
五、如何實現OAuth2.0?
開源界有很多基於各種語言實現的OAuth2.0的框架,我們可以根據自身的需要選擇符合自己要求的框架,但是很有可能分析下來,我們會發現有些語言領域的OAuth2.0框架並不能滿足實際的需求。
比如我們只想實現類似“一處登錄,處處同行(單點登錄);或者一個帳號多處登錄(聯合登錄,比如使用QQ、微信帳號登錄)”的特性,使用類似Spring Security OAuth就有些太重了(除非你已經再用並且非常熟悉了),而Apache Oltu又過於粗糙,基本只提供了空架子,還要依賴它的各種包,Light OAuth2倒是很輕量,但又和undertow緊耦合,所以自研一套更輕量級的、可擴展的、適用自身業務場景的OAuth2.0框架會顯得更合適。
筆者曾花費一些時間自研了一套OAuth2.0的框架,目前只包含OAuth2.0的授權碼許可類型,支持聯合登錄和單點登錄,擁有完整的統一用戶中心體系,支持用戶登錄認證層和緩存層的自定義。其詳細的時序圖如下:
聯合登錄時序圖:
       
更多相關文章
  • 路由的緩存 路由緩存是 Vue組件優化的一個重要方法 為什麼實現路由緩存? 為了 組件間 相互切換不會重覆載入數據,影響用戶體驗,我們通常需要將組件的數組實現緩存,當我們點過來,在點的時候會再次發送 ajax,想讓它發送之後把數據存起來。 我們需要,當我點擊的時候直接出來 <keep-alive> ...
  • ©Copyright 蕃薯耀 2020-01-10 https://www.cnblogs.com/fanshuyao/ 一、官網地址: https://github.com/blueimp/jQuery-File-Upload 二、使用文檔(參數說明) https://github.com/blu ...
  • 各位朋友 因 最近工作繁忙,小編停更了一段時間,快過年了,小編祝願 大家 事業有成 學業有成 快樂健康 2020開心過好每一天。從今天開始 我會抽時間把 Vue 的知識點補充完整,以及後期會帶給大家更完善的知識體系!!! 路由的按需載入(懶載入) 我們都知道 vue的路由是我們必學的,也是不可分離的 ...
  • 基本介紹 1、一個對象應該對其他對象保持最少的瞭解 2、類與類關係越密切,耦合度越大 3、迪米特法則又叫 最少知道原則 ,即一個類對自己依賴的類知道的越少越好。也就是說,對於被依賴的類不管多麼複雜,都儘量將邏輯封裝在類的內部。對外除了提供public方法,不對外泄露任何信息 4、迪米特法則還有個更簡 ...
  • 基本介紹 1、開閉(ocp)原則時編程中最基礎、最重要的設計原則 2、一個軟體實體如類、木塊和函數應該對擴展開放,對修改關閉。用抽象構建框架,用實現擴展細節。 即對提供方開放,對使用方關閉 。 3、當軟體需要變化時,儘量 通過擴展軟體實體的行為類實現變化,而不是通過修改已有代碼來實現變化 4、編程中 ...
  • oo中的繼承性的思考和說明 1、繼承包含這樣一層含義:父類中凡是已經實現好的方法,實際上是在設定規範和契約,雖然它不強制要求所有的子類必須遵循這些七月,但是如果子類對這些已經實現的方法任意修改,就會對整個繼承體系造成破壞。 2、繼承在給程式設計帶來便利的同時,也帶來了弊端。比如使用繼承會給程式帶來侵 ...
  • 人生就像射箭,如果連箭靶都找不到,那每天的拉弓又有何意義呢?本文主要價值是分享老兵哥我個人真實的從業經歷經驗,希望讓你對架構和架構師有充分的瞭解,從而做好開發工作,並結合個人興趣愛好提前規劃未來。 ...
  • mvc spring.mvc.async.request-timeout=設定async請求的超時時間,以毫秒為單位,如果沒有設置的話,以具體實現的超時時間為準,比如tomcat的servlet3的話是10秒. spring.mvc.date-format=設定日期的格式,比如dd/MM/yyyy. ...
一周排行
  • 這是一個個人敘述自己建設博客的帖子,既然是第一篇那肯定是不牽扯代碼了,主要講一下大體的東西,微軟最新的web框架應該就數asp.net core 3.1了這是一個長期支持版,而且是跨平臺又開源版本,所以大家可以去GitHub上找源碼,也可以研究源碼是怎麼寫的。 大過年的偏偏出現這個疫情,所以只能窩屋 ...
  • 上一篇帖子講了用了哪些技術,這個帖子就先介紹介紹api項目吧,項目就是一個普通的webapi項目,賬戶系統用的identity ,什麼是identity呢? 其實就是官方封裝好的一系列的可以用來操作資料庫的類,對用戶信息進行增刪改查。主要牽扯的類有如下幾個: UserManager SignInMa ...
  • 1、添加php的yum軟體倉庫 sudo rpm -Uvh https://mirror.webtatic.com/yum/el6/latest.rpm 2、安裝php相關軟體,執行過程中全部選擇yes即可 sudo yum install php71w.x86_64 php71w-cli.x86_ ...
  • 預設情況下,CentOS6 64 bit 已經早已不支持php5.2.x ,但是某些php程式還需要zend optimizer支持,怎麼辦呢?目前大部分的yum repos 都已經不支持直接安裝php5.2了,怎麼在CentOS6.x/6.5/6.4/6.3/6.2/7.x 64位安裝php5.2 ...
  • Dart Bool類型和其他語言類似,比較簡單 其特點有: 1.使用 bool 表示布爾類型 2.布爾值只有 true 和 false 3.布爾類型bool預設值是null bool isTrue = true; bool isFalse = false; bool defaultBool ; pr ...
  • 今天在資料庫中生成數據表,生成遷移文件時報了一堆錯。 最重要的就是TypeError: __init__() missing 1 required positional argument: 'on_delete', 他說我缺少一個必要的參數。 代碼如下: 關聯外鍵 sgrade = models.F ...
  • —— 終端中的編輯器 01. 簡介 在工作中,要對 伺服器 上的文件進行 簡單 的修改,可以使用 遠程登錄到伺服器上,並且使用 進行快速的編輯即可 常見需要修改的文件包括: 源程式 配置文件 ,例如 的配置文件 在沒有圖形界面的環境下,要編輯文件, 是最佳選擇! 每一個要使用 Linux 的程式員, ...
  • 認識 Python 人生苦短,我用 Python —— Life is short, you need Python 01. Python 的起源 Python 的創始人為吉多·範羅蘇姆(Guido van Rossum) 1. 1989 年的聖誕節期間,吉多·範羅蘇姆為了在阿姆斯特丹打發時間,決心 ...
  • 01. 第一個 程式 1.1 Python 源程式的基本概念 1. Python 源程式就是 一個特殊格式的文本文件 ,可以 使用任意文本編輯軟體 做 的開發 2. Python 程式的 文件擴展名 通常都是 1.2 演練步驟 在桌面下,新建 目錄 在 目錄下新建 文件 使用 gedit 編輯 並且 ...
  • PyCharm 的官方網站地址是:https://www.jetbrains.com/pycharm/ 01. 恢復 PyCharm 的初始設置 的 配置信息 是保存在 用戶家目錄下 的 目錄下的, 表示當前使用的 的版本號 如果要恢復 的初始設置,可以按照以下步驟進行: 1. 關閉正在運行的 2. ...
x