OAuth基礎知識

原創 plumblum 2020-06-08 09:17

OAuth基礎知識

基礎說明:

  • Third-party application:第三方應用程序,既需要認證的客戶端
  • HTTP service:HTTP服務提供商,既用戶信息源
  • Resource Owner:資源所有者
  • User Agent:用戶代理
  • Authorization server:認證服務器,即服務提供商專門用來處理認證的服務器。
  • Resource server:資源服務器,即服務提供商存放用戶生成的資源的服務器。

認證流程

在這裏插入圖片描述

  1. 用戶打開客戶端以後,客戶端要求用戶給予授權。
  2. 用戶同意給予客戶端授權。
  3. 客戶端使用上一步獲得的授權,向認證服務器申請令牌。
  4. 認證服務器對客戶端進行認證以後,確認無誤,同意發放令牌。
  5. 客戶端使用令牌,向資源服務器申請獲取資源。客戶端使用令牌,
  6. 資源服務器確認令牌無誤,同意向客戶端開放資源。

授權模式

  1. 授權碼模式(authorization code):通過客戶端的後臺服務器,與"服務提供商"的認證服務器進行互動。
  2. 簡化模式(implicit):不通過第三方應用程序的服務器,直接在瀏覽器中向認證服務器申請令牌,跳過了"授權碼"這個步驟。
  3. 密碼模式(resource owner password credentials):用戶向客戶端提供自己的用戶名和密碼。客戶端使用這些信息,向"服務商提供商"索要授權。
  4. 客戶端模式(client credentials):客戶端以自己的名義,而不是以用戶的名義,向"服務提供商"進行認證
  1.授權碼模式

在這裏插入圖片描述

  1. 用戶訪問客戶端,後者將前者導向認證服務器。
  2. 用戶選擇是否給予客戶端授權。
  3. 假設用戶給予授權,認證服務器將用戶導向客戶端事先指定的"重定向URI"(redirection URI),同時附上一個授權碼。
  4. 客戶端收到授權碼,附上早先的"重定向URI",向認證服務器申請令牌。這一步是在客戶端的後臺的服務器上完成的,對用戶不可見。
  5. 認證服務器覈對了授權碼和重定向URI,確認無誤後,向客戶端發送訪問令牌(access token)和更新令牌(refresh token)。
    這些步驟所需要的參數。

步驟1.客戶端申請認證的URI,包含以下參數:

response_type:表示授權類型,必選項,此處的值固定爲"code"
client_id:表示客戶端的ID,必選項
redirect_uri:表示重定向URI,可選項
scope:表示申請的權限範圍,可選項
state:表示客戶端的當前狀態,可以指定任意值,認證服務器會原封不動地返回這個值。
例子:
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

步驟3.服務器迴應客戶端的URI,包含以下參數:

code:表示授權碼,必選項。該碼的有效期應該很短,通常設爲10分鐘,客戶端只能使用該碼一次,否則會被授權服務器拒絕。該碼與客戶端ID和重定向URI,是一一對應關係。
state:如果客戶端的請求中包含這個參數,認證服務器的迴應也必須一模一樣包含這個參數。
例子:
HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

步驟4.客戶端向認證服務器申請令牌的HTTP請求,包含以下參數:

grant_type:表示使用的授權模式,必選項,此處的值固定爲"authorization_code"。
code:表示上一步獲得的授權碼,必選項。
redirect_uri:表示重定向URI,必選項,且必須與A步驟中的該參數值保持一致。
client_id:表示客戶端ID,必選項。
例子:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

步驟5,認證服務器發送的HTTP回覆,包含以下參數:

access_token:表示訪問令牌,必選項。
token_type:表示令牌類型,該值大小寫不敏感,必選項,可以是bearer類型或mac類型。
expires_in:表示過期時間,單位爲秒。如果省略該參數,必須其他方式設置過期時間。
refresh_token:表示更新令牌,用來獲取下一次的訪問令牌,可選項。
scope:表示權限範圍,如果與客戶端申請的範圍一致,此項可省略。
例子:
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
  "access_token":"2YotnFZFEjr1zCsicMWpAA",
  "token_type":"example",
  "expires_in":3600,
  "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
  "example_parameter":"example_value"
}

2.簡化模式

在這裏插入圖片描述

  1. 客戶端將用戶導向認證服務器。
  2. 用戶決定是否給於客戶端授權。
  3. 假設用戶給予授權,認證服務器將用戶導向客戶端指定的"重定向URI",並在URI的Hash部分包含了訪問令牌。
  4. 瀏覽器向資源服務器發出請求,其中不包括上一步收到的Hash值。
  5. 資源服務器返回一個網頁,其中包含的代碼可以獲取Hash值中的令牌。
  6. 瀏覽器執行上一步獲得的腳本,提取出令牌。
  7. 瀏覽器將令牌發給客戶端。

步驟1.中,客戶端發出的HTTP請求,包含以下參數:

response_type:表示授權類型,此處的值固定爲"token",必選項。
client_id:表示客戶端的ID,必選項。
redirect_uri:表示重定向的URI,可選項。
scope:表示權限範圍,可選項。
state:表示客戶端的當前狀態,可以指定任意值,認證服務器會原封不動地返回這個值。
例子:
GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

步驟3,認證服務器迴應客戶端的URI,包含以下參數:

access_token:表示訪問令牌,必選項。
token_type:表示令牌類型,該值大小寫不敏感,必選項。
expires_in:表示過期時間,單位爲秒。如果省略該參數,必須其他方式設置過期時間。
scope:表示權限範圍,如果與客戶端申請的範圍一致,此項可省略。
state:如果客戶端的請求中包含這個參數,認證服務器的迴應也必須一模一樣包含這個參數。
例子:
HTTP/1.1 302 Found
Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA&state=xyz&token_type=example&expires_in=3600

3.密碼模式

在這裏插入圖片描述

  1. 用戶向客戶端提供用戶名和密碼。
  2. 客戶端將用戶名和密碼發給認證服務器,向後者請求令牌。
  3. 認證服務器確認無誤後,向客戶端提供訪問令牌。

步驟2,客戶端發出的HTTP請求,包含以下參數:

grant_type:表示授權類型,此處的值固定爲"password",必選項。
username:表示用戶名,必選項。
password:表示用戶的密碼,必選項。
scope:表示權限範圍,可選項。
例子:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=password&username=johndoe&password=A3ddj3w

步驟3,認證服務器向客戶端發送訪問令牌,

例子:
 HTTP/1.1 200 OK
 Content-Type: application/json;charset=UTF-8
 Cache-Control: no-store
 Pragma: no-cache
 {
   "access_token":"2YotnFZFEjr1zCsicMWpAA",
   "token_type":"example",
   "expires_in":3600,
   "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
   "example_parameter":"example_value"
 }

4.客戶端模式

在這裏插入圖片描述

  1. 客戶端向認證服務器進行身份認證,並要求一個訪問令牌。
  2. 認證服務器確認無誤後,向客戶端提供訪問令牌。

步驟1,客戶端發出的HTTP請求,包含以下參數:

granttype:表示授權類型,此處的值固定爲"clientcredentials",必選項。
scope:表示權限範圍,可選項。
例子:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials
認證服務器必須以某種方式,驗證客戶端身份

步驟3,認證服務器向客戶端發送訪問令牌

例子:
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
  "access_token":"2YotnFZFEjr1zCsicMWpAA",
  "token_type":"example",
  "expires_in":3600,
  "example_parameter":"example_value"
}

更新令牌

     如果用戶訪問的時候,客戶端的"訪問令牌"已經過期,則需要使用"更新令牌"申請一個新的訪問令牌。

客戶端發出更新令牌的HTTP請求,包含以下參數:


granttype:表示使用的授權模式,此處的值固定爲"refreshtoken",必選項。
refresh_token:表示早前收到的更新令牌,必選項。
scope:表示申請的授權範圍,不可以超出上一次申請的範圍,如果省略該參數,則表示與上一次一致。
例子:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

https://login.docker.com/oauth/token block是幾個意思?

https://login.docker.com/oauth/token block是幾個意思? Resolving login.docker.com (login.docker.com)... 104.244.43.57, 2a03:28

原創 2024-06-06 22:43:29

如何使用Plotly和Dash進行數據可視化

本文分享自華爲雲社區《從數據到部署使用Plotly和Dash實現數據可視化與生產環境部署》,作者: 檸檬味擁抱。 數據可視化是數據分析中至關重要的一環,它能夠幫助我們更直觀地理解數據並發現隱藏的模式和趨勢。在Python中,有許多強大的工具

原創 2024-04-15 22:34:35

Higress 全新 Wasm 運行時,性能大幅提升

本文作者: 澄潭,阿里雲 API 網關軟件工程師,Higress 開源項目主要貢獻者 何良,Intel Web Platform Engineering 軟件工程師,WAMR 開源項目主要貢獻者 本文介紹 Higress 將 Wasm 插件

原創 2024-04-15 21:12:23

函數性能探測:更簡單高效的 Serverless 規格選型方案

2019 年 Berkeley 預測 Serverless 將取代 Serverful 計算成爲雲計算新範式。Serverless 爲應用開發提供了一種全新系統架構。藉助 2023 年由 OpenAI 所帶來的 AIGC 風潮,以阿里雲函數

原創 2023-08-16 12:22:44

應對突發流量,如何快速爲自建 K8s 添加雲上彈性能力

以 Kubernetes 爲代表的容器技術帶來的是一種應用交付模式的變革,其正迅速成爲全世界數據中心的統一 API。 爲了保證業務持續穩定、用戶訪問不中斷,高可用、高彈性等能力是應用架構設計不變的追求,多集羣架構天然具備這樣的能力。而只有在

原創 2023-07-12 00:28:14

如何結合實際業務進行 ECS 規格選型與容量驗證

隨着雲原生技術的蓬勃發展以及雲產品價格愈發低廉,越來越多 Geek 開發者、技術愛好者選擇 OSS 對象存儲、ECS 雲服務器等基礎產品構建自己的網站、網盤等應用。但對於企業而言,面對種類與規格的豐富的 ECS 雲服務器,如何瞭解實例規格的

原創 2023-07-06 13:15:30

如何用 Serverless 一鍵部署 Stable Diffusion?

本篇章是阿里雲函數計算部署 Stable Diffusion 系列的第三篇,如果說第一篇是嘗試使用雲服務來解決用戶本地部署 Stable Diffusion 的問題(顯卡成本,部署技術複雜),第二篇是面向技術同學解決雲服務 Stable D

原創 2023-05-17 12:21:36

【Power Apps】含淚總結,暴露 Dataverse 查詢接口,通過 token 認證查詢數據

我與 Power Apps 的孽緣 我與 Power Apps 的緣分,大概始於團隊內部培訓的需求,當時負責人找到我,想讓我推薦一個能夠上傳內部培訓視頻及其他資料的平臺。能夠讓編程小白也能夠上手管理使用的平臺,大概也就微軟這種以 Visua

原創 2023-01-27 10:55:19

pig開源項目解讀

項目的深入解讀是一個很好的項目經驗積累的過程,項目解讀需要帶着以下幾個點去進行: 想學什麼 主要功能是什麼 技術棧有哪些 項目結構如何 哪些設計亮點值得學習 需要解決自身目前遇到哪些問題 項目結論 本篇文章主要是對 pig 微服務項目進

原創 2022-04-30 11:03:45

springboot 動態註冊Filter

    @Bean     FilterRegistrationBean<Filter> auth(){         FilterRegistrationBean<Filter> filter=new FilterRegistratio

原創 2022-04-30 10:56:39

React & Firebase 計賬軟件 Serverless 項目實戰視頻教程(14 個視頻)

React & Firebase 計賬軟件 Serverless 項目實戰視頻教程(14 個視頻) 使用 React 加上 Firebase Authentication, Firestore 實時數據庫還有文件存儲(storage) 實現

原創 2021-12-25 21:48:15

GitLab和Rainbond整合實現一體化開發環境

GitLab擅長源代碼管理,Rainbond擅長應用自動化管理,整合Gitlab和Rainbond就能各取所長,本文詳細講述如何整合Gitlab和Rainbond,並通過整合實現一體化開發環境。 一.通過Rainbond一鍵安裝 Gitla

原創 2021-12-25 21:41:11

Spring Cloud微服務安全實戰_5-8_基於Cookie的SSO

前幾篇說的都是基於session的SSO(客戶端應用的session、認證服務器的session),客戶端應用拿到認證服務器返回的token後,將其存在自己的session, 用戶登錄狀態是存在服務器端的。 本篇要說的是,要實現一個基於瀏覽

osc_y8w65yuq 2021-12-25 21:40:21

Google PHP服務端校驗授權登錄

客戶端進行google登錄授權,然後需要在服務端進行身份有效認證校驗場景。 請求地址:https://oauth2.googleapis.com/tokeninfo?id_token={$token} {$token}爲前端通過授權登錄獲取

原創 2021-10-25 21:18:46

JWT安全驗證常見疑問解答

最近做基於BFF架構的分佈式移動端API接口的系統設計。工作過程中發現有些工程師對JWT安全驗證的認識存在一些偏差,重複講解實在太麻煩了,在這裏把關於JWT常見的一些疑問統一回答下吧。 什麼是JWT? JSON Web Token

onedotdot 2021-10-07 21:34:05