2. 程式人生 > >白話OAuth2使用者認證及鑑權標準流程

白話OAuth2使用者認證及鑑權標準流程

阿新 發佈:2019-12-09

一、OAuth2需求場景

在說明OAuth2需求及使用場景之前,需要先介紹一下OAuth2授權流程中的各種角色:

  • 資源擁有者(User) - 指應用的使用者
  • 認證伺服器 (Authorization Server) - 提供登入認證介面的伺服器,比如:github等
  • 資源伺服器 (Resources Server) - 提供資源介面及服務的伺服器,通常和認證伺服器是同一個應用。
  • 第三方客戶端(Client) - 第三方應用,希望使用資源伺服器提供的資源
  • 服務提供商(Provider): 認證服務和資源服務歸屬於一個機構,該機構就是服務提供商

如果您對這些角色承擔的作用還不清晰,也請先記住這些角色,繼續往下看:

  • 從資源擁有者,即使用者的角度:舉個例子,使用者在B應用上,想使用自己在A應用中的儲存的圖片等資源。所以使用者希望A應用開放介面給B應用,從而使用自己的這些圖片資源。
  • 從資源提供者的角度:我想讓其他廠商的應用都使用我提供的資源,以增強使用者對我的的粘性。越多的第三方應用依賴於我開放的介面,就表示會有越多的使用者依賴於我。參考:某某平臺開放掃碼登入介面。
  • 從第三方客戶端,即資源申請者的角度:A應用是一個大廠開發的,它那裡使用者量大。A應用既然提供了基於OAuth2的介面,我可以獲取一些基本使用者資料資訊,我幹嘛不用呢。特別是掃碼登入功能介面,給我自己的使用者也帶來了極大的方便,增強了我的應用的使用者體驗。

二、OAuth2授權的流程

OAuth2授權的流程的授權流程還是有點複雜的,用專業的術語很容易把大家弄糊塗,所以我希望給大家舉一個生活中的例子,來幫助理解。

背景:我經營著一個考研自習室,向考研學生出租提供自習室資源。李小明是一位考研學生,自習室資源擁有者,我的使用者。

  • 資源擁有者 - 考研同學李小明
  • 資源伺服器 - 考研自習室及自習室內的資源(書包)
  • 認證伺服器 - 我(考研自習室管理員)
  • 第三方客戶端 - 考研同學李小明家長,第三方申請者

下面我們來結合這張圖理解OAuth2授權的流程:

  • 第一步(第三方申請資源):一個自稱是考研學生家長的人給我打電話:“李小明是在你這裡自習吧?他的書包放在自習室了,我要幫他取一下。”
  • 第二步(驗證資源擁有者): 我此時將信將疑,於是讓家長等一下,同時撥通了李小明視訊,李小明向我確認,的確有這回事。
  • 第三步(認證通過發授權碼):我一看這情況,就和小明家長說:李小明的自習室是“XXXX”地址,但是我不在那,你來我這取一下鑰匙吧。
  • 第四部(申請token令牌):小明家長來到我的地址,告訴我說:來取“XXXX”地址自習室的鑰匙。哦,我一聽就明白了。
  • 第五步(頒發token令牌):於是我找出自習室的鑰匙交給了小明的家長。

從上面的例子中我們看到,小明(使用者)是明顯受益方,他不用跑腿了。我作為自習室經營者(認證伺服器),對外提供這種服務的目的是為了增加使用者粘性,增強使用者體驗。小明的家長作為第三方,他獲取了資源(自習室書包),是為了增強自己的兒子小明的使用者體驗。
以上的授權模式,就是OAuth2最典型的最常被使用的授權碼模式。“XXXX”地址是授權碼,鑰匙是Access Token。用相對專業的說法再說明一次,大家可以對比學習:

  1. 第三方應用,向認證伺服器請求授權。
  2. 使用者告知認證伺服器同意授權(通常是通過使用者掃碼或輸入使用者名稱密碼的方式)
  3. 認證伺服器向第三方應用告知授權碼(code)
  4. 第三方應用使用授權碼(code)申請Access Token
  5. 認證伺服器驗證授權碼,頒發Access Token

這樣第三方應用就可以使用Access Token,訪問服務提供商的介面資源了。(小明家長用鑰匙去自習室取書包)

三、OAuth2四種授權模式

  • 授權碼模式(authorization code)
  • 簡化模式(implicit)
  • 密碼模式(resource owner password credentials)
  • 客戶端模式(client credentials)

在第二節中為大家講述的是授權碼模式。密碼模式也很簡單:

  • 使用者將使用者名稱密碼交給第三方客戶端應用
  • 客戶端將使用者名稱密碼傳送給認證伺服器,認證伺服器驗證後頒發AccessToken
  • 客戶端請求資源介面攜帶AccessToken,服務端對AccessToken進行校驗。
  • 校驗通過,才能獲得介面正確的資料結果響應。

密碼模式與授權碼模式最大的區別在於:授權碼模式申請授權碼的過程是使用者直接與認證伺服器進行互動,然後授權結果由認證伺服器告知第三方客戶端,也就是不會向第三方客戶端暴露服務提供商的使用者密碼資訊。而密碼模式,是使用者將使用者密碼資訊交給第三方,然後由第三方向服務提供商進行認證和資源請求。絕大多數的服務提供商都會選擇使用授權碼模式,避免自己的使用者密碼暴漏給第三方。所以密碼模式只適用於服務提供商對第三方廠商高度信任的情況下才能使用。

其他兩種模式的應用很少,所以不做過多的介紹。想深入瞭解的,自行學習!

期待您的關注

  • 向您推薦博主的系列文件:《手摸手教您學習SpringBoot系列-16章97節》
  • 本文轉載註明出處(必須帶連線,不能只轉文字):字母哥部落格。

    • 相關推薦

    白話OAuth2使用者認證標準流程

    一、OAuth2需求場景 在說明OAuth2需求及使用場景之前,需要先介紹一下OAuth2授權流程中的各種角色: 資源擁有者(User) - 指應用的使用者 認證伺服器 (Authorization Server) - 提供登入認證介面的伺服器,比如:github等 資源伺服器 (Resources S

    shiro,基於springboot,基於前後端分離,從登入認證,從入門到放棄

    這個demo是基於springboot專案的。 名詞介紹: ShiroShiro 主要分為 安全認證 和 介面授權 兩個部分,其中的核心元件為 Subject、 SecurityManager、 Realms,公共部分 Shiro 都已經為我們封裝好了,我們只需要按照一定的規則去編寫響應的程式碼即可…

    SpringBoot整合Shiro、JWT 進行請求認證

    什麼是JWT? JSON Web Token(JWT)是一個開放標準(RFC 7519),它定義了一種緊湊且獨立的方式,可以在各方之間作為JSON物件安全地傳輸資訊。此資訊可以通過數字簽名進行驗證和信任。JWT可以使用祕密(使用HMAC演算法)或使用RSA或ECDSA的公鑰/私鑰對進

    LTE學習筆記 ——UE附著身份認證、NAS安全

    AUTN:Authentication Token,鑑權令牌,MME提供給UE,UE使用它對網路進行鑑權。 RAND:一個隨機數,用於生成xRES、AK、CK、IK。 XRes:expected Response,期望響應,用於網路對UE鑑權。 ASME:Access Security Ma

    基於LDAP和Sentry的大資料認證解決方案--Part One:LDAP整合

    1,背景 專案中需要對大資料平臺進行資料許可權管理,涉及到資料訪問的認證和鑑權。大資料平臺中有三個資料訪問的入口:HUE,impala-shell和beeline(for hive)。每種入口都必須提供使用者名稱和密碼,並且,根據使用者所在的角色,能訪問的資料庫和表是各不

    VUE ssr cookie

    這篇文章基於vue ssr官方教程,如果您沒看過,可能覺得內容有點莫名其妙,如果您看過的話,應當知道我在說什麼。 由於文件裡沒有cookie相關的內容,也沒有更進一步的講鑑權,所以我結合網上的一些文章,以及自己的專案中的總結,有了這篇文章。 一、首先看如何將COOKIE獲

    Tomcat 容器的安全認證

    大量的 Web 應用都有安全相關的需求,正因如此,Servlet 規範建議容器要有滿足這些需求的機制和基礎設施,所以容器要對以下安全特性予以支援: 身份驗證:驗證授權使用者的使用者名稱和密碼 資源訪問控制:限制某些資源只允許部分使用者訪問 資料完整性:能夠證明資料在傳輸過程中未被第三方修改 機密性或資料隱私

    SpringSecurity動態載入使用者角色許可權實現登入

    很多人覺得Spring Security實現登入驗證很難,我最開始學習的時候也這樣覺得。因為我好久都沒看懂我該怎麼樣將自己寫的用於接收使用者名稱密碼的Controller與Spring Security結合使用,這是一個先入為主的誤區。後來我搞懂了:根本不用你自己去寫Controller。你只需要告訴Sp

    深入理解k8s中的訪問控制(認證、審計)流程

    Kubernetes自身並沒有使用者管理能力,無法像操作Pod一樣,通過API的方式建立/刪除一個使用者例項,也無法在etcd中找到使用者對應的儲存物件。 在Kubernetes的訪問控制流程中,使用者模型是通過請求方的訪問控制憑證(如kubectl使用的kube-config中的證書、Pod中引入的Se

    Restful安全認證限的解決方案

    解決 三方登錄 cati rest oiv 保存 無限 some 一次 一、Restful安全認證常用方式 1.Session+Cookie 傳統的Web認證方式。需要解決會話共享及跨域請求的問題。 2.JWT JSON Web Token。 3.OAuth 支持兩方和三方

    認證與API許可權控制在微服務架構中的設計與實現

    引言: 本文系《認證鑑權與API許可權控制在微服務架構中的設計與實現》系列的第一篇,本系列預計四篇文章講解微服務下的認證鑑權與API許可權控制的實現。 1. 背景 最近在做許可權相關服務的開發,在系統微服務化後,原有的單體應用是基於session的安全許可權方式,不能滿足現有的微服務架構的認

    認證與API許可權控制在微服務架構中的設計與實現(四)

    引言: 本文系《認證鑑權與API許可權控制在微服務架構中的設計與實現》系列的完結篇,前面三篇已經將認證鑑權與API許可權控制的流程和主要細節講解完。本文比較長,對這個系列進行收尾,主要內容包括對授權和鑑權流程之外的endpoint以及Spring Security過濾器部分踩坑的經歷。歡迎閱讀本系列

    認證與API許可權控制在微服務架構中的設計與實現(三)

    引言: 本文系《認證鑑權與API許可權控制在微服務架構中的設計與實現》系列的第三篇,本文重點講解token以及API級別的鑑權。本文對涉及到的大部分程式碼進行了分析,歡迎訂閱本系列文章。 1. 前文回顧 在開始講解這一篇文章之前,先對之前兩篇文章進行回憶下。在第一篇 認證鑑權與AP

    jwt對spring cloud進行系統認證和服務

    什麼是jwt (json web token)jwt是一生中用來在網路上宣告某種身份的令牌(TOKEN),它的特點是緊湊且自包含並且基於JSON,通過一些常用的演算法對包含的主體令牌進行加密,安全性高。它通常有三個部分組成:頭令牌(Header)、訊息體(Payload)、簽名(Signatur

    【小家思想】通俗易懂版講解JWT和OAuth2,以及他倆的區別和聯絡(Token解決方案)

    相關閱讀 【小家java】java5新特性(簡述十大新特性) 重要一躍 【小家java】java6新特性(簡述十大新特性) 雞肋升級 【小家java】java7新特性(簡述八大新特性) 不溫不火 【小家java】java8新特性(簡述十大新特性) 飽受讚譽 【小家java】java9

    開放平臺以及OAuth2.0介紹

    OAuth 2.0 協議 OAuth是一個開發標準,允許使用者授權第三方網站或應用訪問他們儲存在另外的服務提供者上的資訊,而不需要將使用者名稱和密碼提供給第三方網站或分享他們資料的內容。 OAuth 2.0不相容1.0。 協議的參與者 RO

    SaaS開放平臺安全方式: Oauth機制接入說明

    SaaS開放平臺鑑權,通常使用Oauth鑑權方式,微信開放平臺、淘寶開放平臺等都採用了這種鑑權方式。下面介紹一下Oauth鑑權的原理以及如何接入。 1. Oauth是什麼 Oauth(開放授權,Open Authorization)是一個開放標準。 允許第三方應用在使用

    銀聯渠道實名認證介面

    為消費信貸及小微貸款提供風控服務,為使用者提供從身份驗證、反欺詐到信用評分的(貸前)全流程風控服務。 典型用例:使用者輸入被查詢人姓名、身份證、手機號、銀行卡號四要素,產品返回風險評估報告和決策建議。 客戶群體:      信貸機構、助貸機構、資料公司等企業使用者 目標

    Restful介面認證OAuth

    OAuth是一個關於授權(authorization)的開放網路標準,在全世界得到廣泛應用,目前的版本是2.0版。 本文對OAuth 2.0的設計思路和執行流程,做一個簡明通俗的解釋,主要參考材料為RFC 6749。 一、應用場景 為了理解OAuth的適用場合,

    onvif http digest 認證報文流程分析

    ------------------------------------------------------------------------------------------------------------------------------------------