Oauth2.0基本流程

已于 2022-06-26 13:20:42 修改
阅读量2.6k 收藏 17
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 权限框架 文章标签: java jwt 安全 python linux
于 2020-12-03 07:33:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49343190/article/details/110516183
本文以用户用 Github 登录网站留言为例,简述 OAuth 2.0 运作流程,包括网站与 Github、用户与 Github 协商,获取访问用户信息的令牌,最终授权成功。还给出流程图解,并指出 access_token 有过期时间。此外,区分了 OAuth 与 JWT,前者是授权协议,后者是 token 形式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

Oauth2.0基本流程

本文将以用户使用 github 登录网站留言为例,简述 OAuth 2.0 的运作流程。

假如我有一个网站,你是我网站上的访客,看了文章想留言表示「朕已阅」,留言时发现有这个网站的帐号才能够留言,此时给了你两个选择:一个是在我的网站上注册拥有一个新账户,然后用注册的用户名来留言;一个是使用 github 帐号登录,使用你的 github 用户名来留言。前者你觉得不够安全,并不信任这个网站,于是惯性地点击了 github 登录按钮,此时 OAuth 认证流程就开始了。

需要明确的是,即使用户刚登录过 github,我的网站也不可能向 github 发一个什么请求便能够拿到访客信息,这显然是不安全的。就算用户允许你获取他在 github 上的信息,github 为了保障用户信息安全,也不会让你随意获取。所以操作之前,我的网站与 github 之间需要要有一个协商。

1. 网站和 Github 之间的协商

Github 会对用户的权限做分类,比如读取仓库信息的权限、写入仓库的权限、读取用户信息的权限、修改用户信息的权限等等。

如果我想获取用户的信息,Github 会要求我,先在它的平台上注册一个应用,在申请的时候标明需要获取用户信息的哪些权限,用多少就申请多少,并且在申请的时候填写你的网站域名,Github 只允许在这个域名中获取用户信息。(网站开发者自行去Github官网设置,具体过程不再赘述)

此时我的网站已经和 Github 之间达成了共识,Github 也给我发了两张门票,一张门票叫做 Client Id,另一张门票叫做 Client Secret

2. 用户和 Github 之间的协商

用户进入我的网站,点击 github 登录按钮的时候,我的网站会把上面拿到的 Client Id 交给用户,让他进入到 Github 的授权页面进行登录并授权

// 跳转到github授权页面
GET https://github.com/login/oauth/authorize?xxx

// 请求参数:协商凭证及授权之后要跳转的页面
params = {
  client_id: "xxxx",
  redirect_uri: "http://my-website.com"
  response_type : "code" 
  # code表示使用的Oauth授权模式是授权码模式
}

在这里插入图片描述

Github 看到了用户手中的门票,就知道这是我的网站让他过来的,于是它就把我的网站想要获取的权限摆出来,并询问用户是否允许我获取这些权限。

如果用户觉得我的网站要的权限太多,或者压根就不想我知道他这些信息,选择了拒绝的话,整个 OAuth 2.0 的认证就结束了,认证也以失败告终。如果用户觉得 OK,在授权页面点击了确认授权后,页面会跳转到我预先设定的 redirect_uri 并附带一个参数code

// 协商成功后带着盖了章的code跳转到指定的页面
Location: http://my-website.com?code=xxx

这个时候,用户和 Github 之间的协商就已经完成,Github 也会在自己的系统中记录这次协商,表示该用户已经允许在我的网站访问上直接操作和使用他的部分资源。

3. 获取访问 Github 中用户信息的令牌

第二步中,我们已经拿到了盖过章的门票 code,但这个 code 只能表明,用户允许我的网站从 github 上获取该用户的数据,如果我直接拿这个 code 去 github 访问数据一定会被拒绝,因为任何人都可以持有 code,github 并不知道 code 持有方就是我本人。(code只代表允许,但不是使用code去获取信息)

还记得之前申请应用的时候 github 给我的两张门票么,Client Id 在上一步中已经用过了,接下来轮到另一张门票 Client Secret:拿着用户盖过章的 code 和能够标识个人身份的 client_id、client_secret 去拜访 github,拿到最后的令牌 access_token (可以使用JWT)

// 网站和github之间的协商
POST https://github.com/login/oauth/access_token

// 请求参数:协商凭证包括github给用户盖的章和github发给我的门票
params = {
  code: "xxx",
  client_id: "xxx",
  client_secret: "xxx",
  redirect_uri: "http://my-website.com"
}

拿到令牌

// 拿到令牌access_token
response = {
  access_token: "e72e16c7e42f292c6912e7710c838347ae178b4a"
  scope: "user,gist"
  token_type: "jwt", 
  #JWT形式的令牌
  refresh_token: "xxxx"
}

4. 授权成功

上一步 github 已经把令牌 access_token 给我了,通过 github 提供的 API 加令牌就能够访问用户的信息了,能获取用户的哪些权限在 response 中也给了明确的说明,scope 为 user 和 gist,也就是只能获取 user 组和 gist 组两个小组的权限,user 组中包含了用户的名字和邮箱等信息

// 访问Github中用户数据,带着令牌去访问
GET https://api.github.com/user
?access_token=e72e16c7e42f292c6912e7710c838347ae178b4a

Github返回信息:

// 告诉我用户的名字和邮箱
response = {
  username: "barretlee",
  email: "barret.china@gmail.com"
}

用户看不到3、4步的运行过程,最终跳转到了指定的页面,且成功获取到了Github中用户的信息

5. 流程图解

首先明确四个角色:

  • 资源所有者:用户自己
  • Client:所要访问的网站
  • 资源服务器 (授权服务器):Github

按照字母顺序表示流程顺序

整个 OAuth2 流程在这里也基本完成了,文章中的表述很粗糙,比如 access_token 这个令牌是有过期时间的,如果过期了需要使用 refresh_token 重新签证。重点是让读者理解整个流程,细节部分可以阅读 [RFC6749 文档](RFC Reader - An online reader for IETF RFCs)。

希望对你理解 OAuth 2.0 有帮助。

6. Oauth与JWT的区分

oauth2是一个行业标准的授权协议, 包含一系列流程和标准

jwt只是指Json web token, 只是一种token的形式

你可以在使用oauth2流程的时候授权一个jwt形式的token, 也可以使用其它形式的token, bearer token, mac token等等

你也可以不用oauth2流程, 在自己的授权流程里使用jwt

深入理解OAuth 2.0:原理、流程与实践
八戒的博客
07-08 2755
OAuth 2.0 是一套关于授权的行业标准协议。OAuth 2.0 允许用户授权第三方应用访问他们在另一个服务提供方上的数据,而无需分享他们的凭据(如用户名、密码)。
什么是OAuth 2.0OAuth 2.0的工作流程是什么?与OAuth 1.0有哪些区别?
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
09-11 1344
OAuth是一种常用的授权框架,使网站和web应用程序能够请求对另一个应用程序上的用户账户的有限访问。OAuth允许用户在不向请求的应用程序公开其登录凭据的情况下授予此访问权限。这意味着用户可以调整他们想要共享的数据,而不必将其账户的完全控制权交给第三方。集成需要从用户账户访问某些数据的第三方功能(设计之初的场景)。例如,应用程序可能会使用OAuth请求访问你的电子邮件联系人列表,以便建议与之联系的人员。提供第三方身份验证服务(广泛使用的场景),允许用户使用他们在不同网站上的账户登录。
简述 OAuth 2.0 的运作流程
weixin_33690963的博客
01-12 118
本文将以用户使用 github 登录网站留言为例,简述 OAuth 2.0 的运作流程。 假如我有一个网站,你是我网站上的访客,看了文章想留言表示「朕已阅」,留言时发现有这个网站的帐号才能够留言,此时给了你两个选择:一个是在我的网站上注册拥有一个新账户,然后用注册的用户名来留言;一个是使用 github 帐号登录,使用你的 github 用户名来留言。前者你觉得过于繁琐,于是惯性地点击了 git...
OAuth 2.0 协议实现方案
最新发布
weixin_49199313的博客
07-05 931
​​安全授权​分离认证与授权避免密码共享细粒度权限控制​​标准化协议​RFC 6749 标准定义多种授权模式广泛生态系统支持​​可扩展性​PKCE 增强安全性OpenID Connect 身份层设备流支持​​最佳实践​JWT 自包含令牌令牌轮转与撤销安全头防护​​实施建议​优先使用授权码模式 + PKCE实现令牌自省和撤销端点使用非对称加密签名令牌定期轮换签名密钥监控异常令牌使用。
OAuth2.0协议入门
Daniel462038751的专栏
10-20 2454
OAuth2.0 协议原理 OAuth 2.0 协议是一种三方授权协议,目前大部分的第三方登录与授权都是基于该协议的标准或改进实现。OAuth 1.0 的标准在 2007 年发布,2.0 的标准则在 2011 年发布,其中 2.0 的标准取消所有 Token 的加密过程,并简化了授权流程,但因强制使用 HTTPS 协议,被认为安全性高于 1.0 的标准。 一. 基础应用:第三方登录 ​ 对于 OAuth2.0 协议(以下简称 OAuth 协议)的第一次接触,我相信大部分开发者都是通过对接第三方登录
OAuth2.0 流程
Leon_Jinhai_Sun的博客
12-17 283
OAuth2.0 流程
OAuth2.0流程
01-06 443
(A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获取资源。 (F)资源服务器...
Jwt.zip_jwt_oauth2.0_oauth2.0 加解密_php解密工具
09-14
在使用这个工具之前,需要理解 JWTOAuth 2.0基本原理,并按照库的文档或说明进行配置和调用。 总的来说,JWTOAuth 2.0 是现代Web应用中身份验证和授权的关键技术。了解它们的工作原理和使用方法对于构建...
OAuth2.0协议原理与实现
03-08
#### 三、OAuth2.0协议的基本定义与授权流程 **1. 基本定义** OAuth2.0协议定义了五种角色: - **客户端(Client)**:请求受保护资源的一方,可以是移动应用、网页应用等多种类型的应用。 - **用户代理(User Agent)...
转-OAuth2.0 原理流程及其单点登录和权限控制
booleandev
07-09 1506
传统的多点登录系统中,每个站点都实现了本站专用的帐号数据库和登录模块。各站点的登录状态相互不认可,各站点需要逐一手工登录。认证(authentication): 验证用户的身份;授权(authorization): 验证用户的访问权限。
OAuth2认证流程
qq_41860765的博客
03-05 3671
Spring Security支持OAuth2认证,OAuth2提供授权码模式、密码模式、简化模式、客户端模式等四种授权模式,前边举的微信扫码登录的例子就是基于授权码模式,这四种模式中授权码模式和密码模式应用较多,本实例使用Spring Security演示授权码模式、密码模式,其余两种请自行查阅相关资料。答案是否定的,服务提供商会给批准接入的客户端一个身份,用于接入时的凭据,有客户端标识和客户端秘钥,在这里配置批准接入的客户端的详细信息。
Oauth2.0的交互流程
06-27
使用图形化的交互描述了OAUTH的工作原理,比较直观
OAuth2 授权流程
07-23
Oauth2 授权流程,包括流程图,JWT授权流程,等等。发起授权请求
【鉴权】深入理解 OAuth 2.0 授权流程
人生苦短,睡觉要紧,睡醒再说
11-05 3043
OAuth 2.0 提供了一种高效、安全的授权机制,允许用户在不暴露用户名和密码的情况下,授权第三方应用访问其受保护的资源。通过将身份验证与授权过程分离,OAuth 2.0 提供了更高的灵活性和安全性,尤其适用于大型应用和多方集成场景。在其授权流程中,核心步骤包括用户授权、客户端请求令牌、令牌交换以及资源访问等,确保了数据的安全传输和访问控制。然而,在实现 OAuth 2.0 时,必须特别关注安全性问题,如使用 HTTPS 协议保障数据传输安全、实现 CSRF 防护以及合理管理令牌的有效期。
OAuth 2.0 概念及授权流程梳理
HuaZi_Myth的博客
12-03 499
本文可以转载,但请注明出处https://www.cnblogs.com/hellxz/p/oauth2_process.html OAuth2 的概念 OAuth是一个关于授权的开放网络标准,OAuth2是其2.0版本。 它规定了四种操作流程(授权模式)来确保安全 应用场景有第三方应用的接入、微服务鉴权互信、接入第三方平台、第一方密码登录等 Java王国中Spring Secur...
oauth2.0原理流程
qq_41956014的博客
09-22 9373
oauth2.0 简介 oauth2.0 是行业的一套标准协议,命名方式采用下划线方法,所以无论使用任何语言进行开发授权,都要遵循 oauth2.0 的规范。 原理流程解读: OAuth 2.0 的四种方式 - 阮一峰的网络日志 access_token 和 refresh_token 的使用场景 接口进行真正的授权是通过 access_token,一般有效时间比较短,如果过期之后,就需要用户进行重新的授权输入账号密码,所以就有了 ...
【转】理解OAuth 2.0
sinolover的专栏
09-16 264
作者:阮一峰 日期:2014年5月12OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 更新:我后来又写了一组三篇的《OAuth 2.0 教程》,更加通俗,并带有代码实例,欢迎阅读。 一、应用场景 为了理解OAuth的适用场合,让我举一个假设的例子。 有一个"云冲印"的网站,可以将用户储存在Google的照片,...
236. OAuth2.0 授权流程
weixin_43484713的博客
06-07 1251
OAuth2.0(Open Authorization 2.0)是一种开放授权协议,允许用户在不暴露其凭证(如用户名和密码)的情况下,授权第三方应用访问其存储在另一服务提供商的资源。它通过**令牌(Token)**机制实现安全的授权流程,广泛应用于现代互联网服务。通常是终端用户,拥有被保护资源的访问权限(如Google账户中的个人数据)。请求访问资源的第三方应用(如一个博客网站想访问用户的Google相册)。负责验证用户身份并颁发访问令牌(如Google的OAuth2.0服务)。存储受保护资源的服务,接收并
OAuth2.0协议流程
西蒙博士
03-15 218
1、客户端向从资源所有者请求授权。授权请求可以直接向资源所有者发起,或者更可取的是通过作为中介的授权服务器间接发起。 2、客户端收到授权许可,这是一个代表资源所有者的授权的凭据,使用本规范中定义的四种许可类型之一或 者使用扩展许可类型表示。授权许可类型取决于客户端请求授权所使用的方式以及授权服务器支持的类型。 3、客户端与授权服务器进行身份认证并出示授权许可请求访问令牌。 4、授权服务器验证...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Nice2cu_Code

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值