- 综合排序
- 最热优先
- 最新优先
- 来自专栏coder
OAuth 详解 什么是 OAuth?
什么是 OAuth? 从高层次开始,OAuth 不是API或服务:它是授权的开放标准,任何人都可以实施它。 更具体地说,OAuth 是应用程序可以用来为客户端应用程序提供“安全委托访问”的标准。 OAuth 通过 HTTPS 工作,并使用访问令牌而不是凭据对设备、API、服务器和应用程序进行授权。 OAuth 有两个版本:OAuth 1.0a和OAuth 2.0。 如今,OAuth 2.0 是使用最广泛的 OAuth 形式。所以从现在开始,每当我说“OAuth”时,我都是在谈论 OAuth 2.0——因为它很可能是您将要使用的。 为什么选择 OAuth? 简单来说,OAuth 是: 应用请求用户授权 用户授权App并提交证明 应用程序向服务器提供授权证明以获取令牌 令牌仅限于访问用户为特定应用程序授权的内容 OAuth 中心组件 OAuth 建立在以下核心组件之上 OAuth 具有非常大的安全表面积。确保使用安全工具包并验证所有输入! OAuth 不是身份验证协议。
7.3K20编辑于 2023-04-11 【OAuth】
OAuth OAuth 代表开放授权协议。这允许通过在 HTTP 服务上启用客户端应用(例如第三方提供商 Facebook,GitHub等)来访问资源所有者的资源。 OAuth是一种开放标准的授权协议,用于保护用户资源,允许用户与第三方应用程序共享他们的受保护资源,而无需将其用户名和密码提供给第三方。 以下是一个使用OAuth 2.0进行验证和访问受保护资源的Java代码示例: import org.apache.http.HttpEntity; import org.apache.http.HttpResponse clientId) { // 构建授权码请求URL,根据实际情况进行替换 String authorizationUrl = "https://example.com/oauth 此代码示例仅提供了一种基本的OAuth流程和使用访问令牌访问受保护资源的示例。
25810编辑于 2025-08-29- 来自专栏陶士涵的菜地
OAuth 2.1整合简化OAuth 2.0
OAuth 2.1是整合和简化OAuth 2.0的一项正在进行中的工作。 自2012年OAuth 2.0(RFC 6749)首次发布以来,已经发布了一些新的RFC,它们在核心规范中添加或删除了功能 包括用于原生APP的OAuth 2.0(RFC 8252) 用于代码交换的证明密钥 ), 用于基于浏览器的应用程序的OAuth OAuth 2.0安全性最佳实践。 OAuth 2.1合并了这些规范的更改,以简化核心文档 与OAuth 2.0的主要区别如下: 授权代码授予使用PKCE中的功能进行了扩展,因此,根据本规范使用授权代码授予的唯一方法需要添加PKCE机制。
1.3K10发布于 2020-04-24 - 来自专栏互联网大杂烩
OAuth协议
介绍 OAUTH 协议旨在为用户资源的授权访问提供一个安全,开放的标准。平台商通过OAUTH协议,提示用户对第三方软件厂商(ISV)进进行授权。 与以往的授权形式不同,OAUTH协议并不需要触及用户的账户信息和密码,变可以完成第三方对用户信息访问的授权。
50410发布于 2018-08-22 - 来自专栏Mysql -- 21世纪最放肆的人
Oauth之舞
Oauth2解决的问题 【目的】 1 Oauth2 可以解决两个系统间用户信息不关联的情况下的访问授权【互相访问时不需要将用户的账户和密码告知给对方】 什么时Oauth2 OAuth 2.0 框架能让第三方应用以有限的权限访问 2Fcallback&state=Lwt50DDQKUB8U7jtfLQCVGDL9cnmwHH1 HTTP/1.1 1 OAuth 客户端是代表资源拥有者访问受保护资源的软件,它使用 OAuth 得 益于 OAuth 的设计,客户端通常是 OAuth 系统中最简单的组件,它的职责主要是从授权服务器 获取令牌以及在受保护资源上使用令牌。客户端不需要理解令牌,也不需要查看令牌的内容。 在云打印例 子中,打印服务就属于 OAuth 客户端。 2 受保护资源能够通过 HTTP 服务器进行访问,在访问时需要 OAuth 访问令牌。 4 OAuth 授权服务器是一个 HTTP 服务器,它在 OAuth 系统中充当中央组件。授权服务器对资 源拥有者和客户端进行身份认证,让资源拥有者向客户端授权、为客户端颁发令牌。
1K30发布于 2020-12-08 - 来自专栏服务端技术杂谈
OAuth认证
之前写过一个基于签名的公网API访问安全控制,另一种方式是基于OAuth认证协议做安全控制。 说明 用户访问A客户端,使用B的服务及资源。 OAuth在客户端与服务提供商之间,设置一个授权层。 客户端不直接登陆服务提供商,只登陆授权层,以此将用户与客户端区分开。 客户端登陆授权层所用的令牌,与用户的密码不同。
1.1K80发布于 2018-04-17 - 来自专栏yeedomliu
OAuth 2实战
思维导图 前言 OAuth 2.0定义了4种许可类型,分别适用于不同的应用类型,而不是单单定义一种复杂的方法来适应不同的部署模型 OAuth 2.0已经是互联网上首选的授权协议。 为实现这一点,OAuth在系统中引入了另外一个组件:授权服务器 图 1-7 OAuth授权服务器自动发送服务专用的密码 受保护资源依赖授权服务器向客户端颁发专用的安全凭据——OAuth访问令牌 客户端首先将资源拥有者引导至授权服务器 1.4 OAuth 2.0:优点、缺点和丑陋的方面 OAuth 2.0的设计中有一个重要的假设,就是不受控的客户端总是比授权服务器或者受保护资源多出好几个数量级 OAuth令牌提供了一种比密码略复杂的机制 图 1-10 OAuth生态系统中各组件的相对数量 1.5 OAuth 2.0不能做什么 由于OAuth被定义为一个框架 核心规范详述了一系列获取访问令牌的方法;还包括其伴随规范中定义的bearer令牌 获取令牌和使用令牌这两个环节是OAuth的基本要素 OAuth没有定义HTTP协议之外的情 OAuth没有定义用户对用户的授权机制 要使资源拥有者向另一个用户授权,仅使用OAuth是不行的。
1.6K30编辑于 2022-12-03 - 来自专栏梦溪博客
OAuth 2 简介
介绍 OAuth 2是一个授权框架,它使应用程序(例如 Facebook、GitHub 和 DigitalOcean)能够获得对 HTTP 服务上用户帐户的有限访问权限。 OAuth 2 为 Web 和桌面应用程序以及移动设备提供授权流程。 本信息指南面向应用程序开发人员,概述了 OAuth 2 角色、授权授予类型、用例和流程。 OAuth 角色 OAuth 定义了四个角色: 资源所有者 :资源所有者是用户 谁授权的应用程序 来访问他们的帐户。 抽象协议流程 现在您已经了解了 OAuth 角色是什么,让我们看一下它们通常如何相互交互的图表: image.png 梦溪 以下是对图中步骤的更详细说明: 该应用程序 请求授权接入服务资源从用户 如果用户
91220发布于 2021-08-05 - 来自专栏火丁笔记
OAuth的改变
去年我写过一篇《OAuth那些事儿》,对OAuth做了一些简单扼要的介绍,今天我打算写一些细节,以阐明OAuth如何从1.0改变成1.0a,继而改变成2.0的。 oauth_timestamp oauth_nonce oauth_version Service Provider返回Request Token: oauth_token oauth_token_secret oauth_signature_method oauth_signature oauth_timestamp oauth_nonce oauth_version Service Provider返回Access oauth_timestamp oauth_nonce oauth_version oauth_callback Service Provider返回Request Token: oauth_token (/oauth/1.0a/access_token): oauth_consumer_key oauth_token oauth_signature_method oauth_signature oauth_timestamp
1.1K20编辑于 2021-12-14 - 来自专栏Linyb极客之路
OAuth 2.0入门
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 ? 一、应用场景 为了理解OAuth的适用场合,让我举一个假设的例子。 OAuth就是为了解决上面这些问题而诞生的。 二、名词定义 在详细讲解OAuth 2.0之前,需要了解几个专用名词。它们对读懂后面的讲解,尤其是几张图,至关重要。 三、OAuth的思路 OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。" OAuth 2.0定义了四种授权方式。
86230发布于 2018-07-26 - 来自专栏软件开发-青出于蓝
Springsecurity-oauth2之OAuth2AuthenticationProcessingFilter
Spring-security-oauth2的版本是2.0 如下图1所示,继承了Filter,还继承了InitializingBean,这个与SpringIOC有关,在创建Bean的时候 图1 我们重点来看下doFilter方法,如下List-1 List-1 OAuth2AuthenticationProcessingFilter的doFilter方法 public void authResult); SecurityContextHolder.getContext().setAuthentication(authResult); } } catch (OAuth2Exception 图2 图2中的步骤2~5,从头部取出token,调用OAuth2AuthenticationManager,用token去进行一系列的处理,如果token有效,那么将OAuth2Autentication 取出放到SecurityContext中,有OAuth2Authentication在SecurityContext中表明用户处于登录状态。
2.6K10发布于 2019-04-15 - 来自专栏张善友的专栏
SimpleMembershipProvider 和 OAuth
and the new ASP.NET 4.5 Web Forms and ASP.NET MVC 4 templates》,这个虽然叫做SimpleMembership,可扩展性却非常的好,而且还支持OAuth 比如修改密码等,其中也集成了OAuth的功能,已经集成了2个 OpenID providers (Google and Yahoo) 和三个 OAuth providers (Microsoft, Facebook
1.1K100发布于 2018-01-29 - 来自专栏Czy‘s Blog
OAUTH开放授权
OAUTH开放授权 OAUTH开放授权为用户资源的授权提供了一个安全的、开放而又简易的标准。 OAUTH的授权不会使第三方触及到用户的帐号信息例如用户名与密码等,即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH授权是安全的,目前OAUTH的版本为2.0。 简单来说OAuth就是一种授权机制,数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据,系统从而产生一个短期的进入令牌token,用来代替密码,供第三方应用获取资源使用。 客户端授权模式 在基本流程的第二步应用程序需要获取用户的授权信息,进而才能获取令牌,OAuth 2.0定义了四种授权方式。 _2_0.html http://www.ruanyifeng.com/blog/2019/04/oauth_design.html
1.5K10发布于 2020-08-27 - 来自专栏云短信服务
理解 OAuth 2.0
前言 OAuth 2.0 是一个用于授权的标准协议。OAuth 2.0 聚焦于客户端开发者提供简化的授权流程,包括 Web 应用、桌面应用、智能手机应用以及物联生活设备(例如电视)。 上面一段话是 OAuth 2.0 官网的一段描述。其中有些关键字:授权、标准、简化以及各种场景。 所以 OAuth 2.0 是授权不是鉴权。 首先明确 OpenID Connect 基于 OAuth 2.0,是简单的身份认证层,允许客户端校验终端用户身份信息。 另外 OAuth 2.0 解决的虽然是授权,但是应用的场景众多,而且会与时俱进,如 OAuth 2.1 已经提出,尝试对 OAuth 2.0 进行简化。
1.3K40发布于 2021-08-28 - 来自专栏JAVA乐园
Oauth 2.0 详解
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以 使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。 业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的 时间,因而OAUTH是简易的。 介绍 推荐大神博客:OAuth2.0 说明 https://ruanyifeng.com/ 基本介绍 根据我们之前的学习, OAuth是一个开放的授权标准,而Spring Security Oauth2 是对OAuth2协议的一种实现框架。 OAuth最头疼的地方。
2.8K50编辑于 2023-02-24 - 来自专栏PHP在线
理解OAuth 2.0
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAuth的适用场合,让我举一个假设的例子。 OAuth就是为了解决上面这些问题而诞生的。 二、名词定义 在详细讲解OAuth 2.0之前,需要了解几个专用名词。它们对读懂后面的讲解,尤其是几张图,至关重要。 三、OAuth的思路 OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。" OAuth 2.0定义了四种授权方式。
95860发布于 2018-03-07 - 来自专栏Lambda
理解OAuth 2.0
一、什么是Oauth2 Oauth是一个关于授权(authentication)的开发网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用。 Oauth2.0是Oauth协议的延续版本,但不向后兼容Oauth1.0,即完全废止了Oauth1.0。 前后端分离单页面应用(spa):前后端分离框架,前端请求后台数据,需要进行Oauth2安全认证,比如使用vue、react后台h5开发的app。 严格的说,客户端模式并不属于 OAuth框架所要解决的问题。这种模式中,用户直接向客户端注册,客户端已自己的名义要求"服务提供商"提供服务,其实不存在授权问题。 有个一个初步的认知,并且对它提供的授权模式有了一定的了解,接下来我们将使用 SprintSecurity提供的OAuth的具体实现做进一步讲解。
1.1K30编辑于 2022-05-11 - 来自专栏coder
OAuth 详解 什么是 OAuth 2.0 授权码授权类型?
什么是 OAuth 2.0 授权码授权类型? demo007x/oauth2-client: Oauth2 Client package for Golang (github.com) 欢迎star 授权代码授权类型可能是您将遇到的最常见的 OAuth 这篇文章是我们探索常用的 OAuth 2.0 授权类型系列文章的第一部分。如果您想在深入了解 OAuth 2.0 之前稍微回顾一下并了解更多信息,请查看OAuth 到底是什么? 什么是 OAuth 2.0 授权类型?在 OAuth 2.0 中,术语“授权类型”是指应用程序获取访问令牌的方式。OAuth 2.0 定义了几种授权类型,包括授权代码流。 Golang Oauth2.0 Clientdemo007x/oauth2-client: Oauth2 Client package for Golang (github.com) 欢迎star
2.8K30编辑于 2023-04-11 - 来自专栏开源心路
OAuth2.0
OAuth2.0原理: OAuth2.0流程: OAuth2.0授权方式: 授权码模式 简化模式 密码模式
23110编辑于 2023-06-27 - 来自专栏Java学习网
理解OAuth 2.0
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 ? 一、应用场景 为了理解OAuth的适用场合,让我举一个假设的例子。 OAuth就是为了解决上面这些问题而诞生的。 二、名词定义 在详细讲解OAuth 2.0之前,需要了解几个专用名词。它们对读懂后面的讲解,尤其是几张图,至关重要。 三、OAuth的思路 OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。" OAuth 2.0定义了四种授权方式。
1.4K40发布于 2018-02-28
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号