OAuth2.0概念以及實現思路簡介

来源:https://www.cnblogs.com/anai/archive/2020/01/10/12175070.html

一、什麼是OAuth? OAuth是一個授權規範,可以使A應用在受限的情況下訪問B應用中用戶的資源(前提是經過了該用戶的授權,而A應用並不需要也無法知道用戶在B應用中的賬號和密碼),資源通常以REST API的方式暴露。 二、什麼是OAuth2.0? 有2.0自然有1.0,相比1.0,2.0有如下不 ...


一、什麼是OAuth?
OAuth是一個授權規範,可以使A應用在受限的情況下訪問B應用中用戶的資源(前提是經過了該用戶的授權,而A應用並不需要也無法知道用戶在B應用中的賬號和密碼),資源通常以REST API的方式暴露。
 
二、什麼是OAuth2.0?
有2.0自然有1.0,相比1.0,2.0有如下不同:
  • 授權過程比1.0更簡潔
  • 全程使用https,保證安全的同時,又省去了1.0中對每個token都要加密的要求
  • 2.0針對客戶端的各種類型,提出了多種獲取訪問令牌的途徑
三、為什麼要用OAuth?
傳統的client-server 認證模式下,客戶端一般通過資源所有者的賬號/密碼,來向服務端請求某個受保護的資源。那麼,為了能讓第三方應用訪問這些受保護的資源,資源所有者可能需要與第三方應用共用自己的賬號/密碼,但是這麼做存在一些問題:
  • 第三方應用需要存儲資源所有者的賬號/密碼,以便將來再次使用,並且通常會以明文的方式存儲。
  • 第三方應用能訪問資源所有者全部的受保護資源,資源所有者無法約束其訪問的期限以及能夠訪問的資源邊界。
  • 資源所有者無法單獨取消個別第三方應用的訪問許可權,要麼全部允許,要麼全部不允許。
OAuth 可以解決這些問題,方法是引入一個授權層,並且將客戶端與資源所有者的角色分離。OAuth下,客戶端可以訪問哪些資源受資源所有者控制,並且客戶端的訪問憑證與資源所有者是不同的。客戶端不再使用資源所有者的憑證訪問受保護的資源,而是通過獲取一個access token(一個字元串,能夠表 示訪問的邊界,訪問的期限等訪問屬性)。在經過用戶授權後,access token會由一個授權伺服器發佈給第三方客戶端。然後,第三方客戶端使用access token到資源伺服器訪問受保護的資源。
 
四、進一步理解OAuth2.0
1、OAuth中涉及的幾個角色:
  • resource owner:資源所有者,通常就是指終端用戶。
  • resource server:資源伺服器,持有受保護的資源,能夠捕獲請求中的access token。
  • client:第三方應用,需訪問資源所有者受保護資源的應用。“client”在auth中只是一個術語,統指第三方應用,與該應用的執行是在伺服器,桌面或其它設備上無關。
  • authorization server:授權伺服器,負責頒發access token 給client,前提是client已經獲取了資源所有者的授權。
       2、協議流示意圖
C:\Users\jiabao\AppData\Local\Temp\enhtmlclip\Image.png
  • (1)client請求用戶授權以訪問資源;
  • (2)如果用戶授權,client會接收到一個授權許可;
  • (3)client憑藉授權許可及客戶端身份標識,請求access token;
  • (4)如果client身份和授權許可都認證通過,授權伺服器會頒發令牌;
  • (5)client憑藉訪問令牌到資源伺服器請求資源;
  • (6)如果訪問令牌有效,資源伺服器會返回相應資源給client。
3、該協議流是總體概念,實際會根據使用的授權許可的類型不同而有所差異,OAuth2.0有4種授權許可類型:
  • Authorization Code:授權碼
授權碼從授權伺服器獲得,授權伺服器充當client和resource owner的中間者。client不會直接從Resource Owner請求授權,而是引導Resource Owner到授權伺服器,授權伺服器會反向引導Resource Owner至client,並帶上授權碼。返回授權碼之前,由授權伺服器驗證Resource Owner的身份以及授權情況,因為ResourceOwner只會在授權伺服器做認證,Resource Owner的憑證信息是不會讓client知曉的。授權碼在安全方面帶來了一些重要的好處,比如對客戶端認證的能力,以及避免了直接通過Resource Owner的user-agent(比如瀏覽器)來傳輸access token,使得access token對其他人不可見,包括Resource Owner自己,大大降低了access token泄露的風險。
  • Implicit:隱式
Implicit許可類型是針對clients簡化過的授權碼許可類型,在瀏覽器利用腳本語言來實現。使用Implicit類型,用戶授權後,client直接獲取一個access token,而不是獲取一個授權碼。由於沒有像授權碼一樣的中間憑證產生,所以授權許可是隱式的。由於這種特性,在某些使用瀏覽器進行URI重定向的場景下,access token可能會暴露。Implicit改善了一些clients的響應效率,但是也帶來了安全隱患,所以建議一般只在Mobile Apps等不那麼容易從URI中獲取信息的應用中並且授權碼類型不可用的場景下使用。
  • Resource Owner Password Credentials:
直接使用資源所有者的密碼憑證(比如:用戶名和密碼)作為授權許可來獲取access token。該類型下雖然client知曉了Resource Owner的憑證,但是可以通過換取一個長生命周期的access token或 refresh token 來避免長期存儲憑證以便將來再次使用的需要。但是除非client是被高度受信任的,並且授權碼類型不能使用的場景外不建議使用。
  • Client Credentials:
客戶端憑證(或其它的認證形式)可以直接用作授權許可。適用於授權邊界不需要Resource Owner控制或者能夠在授權伺服器預先配置的場景,比如在多個資源伺服器共用統一用戶中心的場景下,資源伺服器之間需要相互訪問,此時client可能也是resource owner 或者resource server。
 
五、如何實現OAuth2.0?
開源界有很多基於各種語言實現的OAuth2.0的框架,我們可以根據自身的需要選擇符合自己要求的框架,但是很有可能分析下來,我們會發現有些語言領域的OAuth2.0框架並不能滿足實際的需求。
比如我們只想實現類似“一處登錄,處處同行(單點登錄);或者一個帳號多處登錄(聯合登錄,比如使用QQ、微信帳號登錄)”的特性,使用類似Spring Security OAuth就有些太重了(除非你已經再用並且非常熟悉了),而Apache Oltu又過於粗糙,基本只提供了空架子,還要依賴它的各種包,Light OAuth2倒是很輕量,但又和undertow緊耦合,所以自研一套更輕量級的、可擴展的、適用自身業務場景的OAuth2.0框架會顯得更合適。
筆者曾花費一些時間自研了一套OAuth2.0的框架,目前只包含OAuth2.0的授權碼許可類型,支持聯合登錄和單點登錄,擁有完整的統一用戶中心體系,支持用戶登錄認證層和緩存層的自定義。其詳細的時序圖如下:
聯合登錄時序圖:
       
您的分享是我們最大的動力!

更多相關文章
  • 路由的緩存 路由緩存是 Vue組件優化的一個重要方法 為什麼實現路由緩存? 為了 組件間 相互切換不會重覆載入數據,影響用戶體驗,我們通常需要將組件的數組實現緩存,當我們點過來,在點的時候會再次發送 ajax,想讓它發送之後把數據存起來。 我們需要,當我點擊的時候直接出來 <keep-alive> ...
  • ©Copyright 蕃薯耀 2020-01-10 https://www.cnblogs.com/fanshuyao/ 一、官網地址: https://github.com/blueimp/jQuery-File-Upload 二、使用文檔(參數說明) https://github.com/blu ...
  • 各位朋友 因 最近工作繁忙,小編停更了一段時間,快過年了,小編祝願 大家 事業有成 學業有成 快樂健康 2020開心過好每一天。從今天開始 我會抽時間把 Vue 的知識點補充完整,以及後期會帶給大家更完善的知識體系!!! 路由的按需載入(懶載入) 我們都知道 vue的路由是我們必學的,也是不可分離的 ...
  • 基本介紹 1、一個對象應該對其他對象保持最少的瞭解 2、類與類關係越密切,耦合度越大 3、迪米特法則又叫 最少知道原則 ,即一個類對自己依賴的類知道的越少越好。也就是說,對於被依賴的類不管多麼複雜,都儘量將邏輯封裝在類的內部。對外除了提供public方法,不對外泄露任何信息 4、迪米特法則還有個更簡 ...
  • 基本介紹 1、開閉(ocp)原則時編程中最基礎、最重要的設計原則 2、一個軟體實體如類、木塊和函數應該對擴展開放,對修改關閉。用抽象構建框架,用實現擴展細節。 即對提供方開放,對使用方關閉 。 3、當軟體需要變化時,儘量 通過擴展軟體實體的行為類實現變化,而不是通過修改已有代碼來實現變化 4、編程中 ...
  • oo中的繼承性的思考和說明 1、繼承包含這樣一層含義:父類中凡是已經實現好的方法,實際上是在設定規範和契約,雖然它不強制要求所有的子類必須遵循這些七月,但是如果子類對這些已經實現的方法任意修改,就會對整個繼承體系造成破壞。 2、繼承在給程式設計帶來便利的同時,也帶來了弊端。比如使用繼承會給程式帶來侵 ...
  • 人生就像射箭,如果連箭靶都找不到,那每天的拉弓又有何意義呢?本文主要價值是分享老兵哥我個人真實的從業經歷經驗,希望讓你對架構和架構師有充分的瞭解,從而做好開發工作,並結合個人興趣愛好提前規劃未來。 ...
  • mvc spring.mvc.async.request-timeout=設定async請求的超時時間,以毫秒為單位,如果沒有設置的話,以具體實現的超時時間為準,比如tomcat的servlet3的話是10秒. spring.mvc.date-format=設定日期的格式,比如dd/MM/yyyy. ...
一周排行
  • 比如要拆分“呵呵呵90909086676喝喝999”,下麵當type=0返回的是中文字元串“呵呵呵,喝喝”,type=1返回的是數字字元串“90909086676,999”, private string GetStrings(string str,int type=0) { IList<strin ...
  • Swagger一個優秀的Api介面文檔生成工具。Swagger可以可以動態生成Api介面文檔,有效的降低前後端人員關於Api介面的溝通成本,促進項目高效開發。 1、使用NuGet安裝最新的包:Swashbuckle.AspNetCore。 2、編輯項目文件(NetCoreTemplate.Web.c ...
  • 2020 年 7 月 30 日, 由.NET基金會和微軟 將舉辦一個線上和為期一天的活動,包括 微軟 .NET 團隊的演講者以及社區的演講者。本次線上大會 專註.NET框架構建微服務,演講者分享構建和部署雲原生應用程式的最佳實踐、模式、提示和技巧。有關更多信息和隨時瞭解情況:https://focu... ...
  • #abp框架Excel導出——基於vue #1.技術棧 ##1.1 前端採用vue,官方提供 UI套件用的是iview ##1.2 後臺是abp——aspnetboilerplate 即abp v1,https://github.com/aspnetboilerplate/aspnetboilerp ...
  • 前言 本文的文字及圖片來源於網路,僅供學習、交流使用,不具有任何商業用途,版權歸原作者所有,如有問題請及時聯繫我們以作處理。 作者:碧茂大數據 PS:如有需要Python學習資料的小伙伴可以加下方的群去找免費管理員領取 input()輸入 Python提供了 input() 內置函數從標準輸入讀入一 ...
  • 從12年到20年,python以肉眼可見的趨勢超過了java,成為了當今It界人人皆知的編程語言。 python為什麼這麼火? 網路編程語言搜索指數 適合初學者 Python具有語法簡單、語句清晰的特點,這就讓初學者在學習階段可以把精力集中在編程對象和思維方法上。 大佬都在用 Google,YouT ...
  • 在社會上存在一種普遍的對培訓機構的學生一種歧視的現象,具體表現在,比如:當你去公司面試的時候,一旦你說了你是培訓機構出來的,那麼基本上你就涼了,那麼你瞞著不說,然後又通過了面試成功入職,但是以後一旦在公司被髮現有培訓經歷,可能會面臨被降薪,甚至被辭退,培訓機構出來的學生,在用人單位眼裡就是能力低下的 ...
  • from typing import List# 這道題看了大佬寫的代碼,經過自己的理解寫出來了。# 從最外圍的四周找有沒有為O的,如果有的話就進入深搜函數,然後深搜遍歷# 判斷上下左右的位置是否為Oclass Solution: def solve(self, board: List[List[s ...
  • import requests; import re; import os; # 1.請求網頁 header = { "user-agent":'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537.36 (KHTML, li ...
  • import requests; import re; import os; import parsel; 1.請求網頁 header = { "user-agent":'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_5) AppleWebKit/537. ...