惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

有赞技术团队
有赞技术团队
量子位
B
Blog RSS Feed
Schneier on Security
Schneier on Security
L
LINUX DO - 最新话题
博客园 - 三生石上(FineUI控件)
Recent Announcements
Recent Announcements
Hacker News: Ask HN
Hacker News: Ask HN
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Google DeepMind News
Google DeepMind News
N
News | PayPal Newsroom
阮一峰的网络日志
阮一峰的网络日志
Microsoft Security Blog
Microsoft Security Blog
Application and Cybersecurity Blog
Application and Cybersecurity Blog
T
Tailwind CSS Blog
MongoDB | Blog
MongoDB | Blog
大猫的无限游戏
大猫的无限游戏
PCI Perspectives
PCI Perspectives
aimingoo的专栏
aimingoo的专栏
D
Docker
T
The Exploit Database - CXSecurity.com
Last Week in AI
Last Week in AI
W
WeLiveSecurity
Stack Overflow Blog
Stack Overflow Blog
月光博客
月光博客
Vercel News
Vercel News
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
J
Java Code Geeks
O
OpenAI News
C
Cisco Blogs
Hacker News - Newest:
Hacker News - Newest: "LLM"
爱范儿
爱范儿
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
T
Threat Research - Cisco Blogs
Cisco Talos Blog
Cisco Talos Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
Help Net Security
Help Net Security
Scott Helme
Scott Helme
The Hacker News
The Hacker News
Y
Y Combinator Blog
A
Arctic Wolf
V
V2EX
P
Proofpoint News Feed
Simon Willison's Weblog
Simon Willison's Weblog
A
About on SuperTechFans
S
Securelist
G
Google Developers Blog
Cyberwarzone
Cyberwarzone
The GitHub Blog
The GitHub Blog

Jiajun的技术笔记

你好,2026! TiDB 源码阅读(六):TiDB Coprocessor 源码解析 性能优化的核心思想 TiDB 源码阅读(五):索引 TiDB 源码阅读(四):AST、逻辑计划、物理计划 CockroachDB Serverless Architecture podman 无故退出 Cursor Control-L (CTRL-L) Keyboard Shortcuts in Terminal Replace docker with podman Using xmonad with xfce4 A RC script for freebsd frpc 自己动手写一个k8s controller AI 会取代你的(编程)岗位吗? 自建DERP服务器提升Tailscale连接速度(使用Nginx转发) 自动升级Docker容器 再读《程序员修炼之道-从小工到专家》 让浏览器下载文件 再读《软件随想录》/《黑客与画家》/《软技能》 HTTP 压力测试中的 Coordinated Omission 2的补码 编程语言中的 context 是什么? flutter macOS 构建出错 Flatpak 使用小记 Golang CAS 操作是怎么实现的 PostgreSQL 当MQ来使用 Clash 结合 工作VPN 的网络设计 使用 PostgreSQL 搭建 JuiceFS PostgreSQL 配置优化和日志分析 有GitHub Copilot?那就可以搭建你的ChatGPT4服务 窗口函数的使用(以PG为例) 读《为什么学生不喜欢上学》 OpenAI Prompt Engineering 摘录和总结 读《打造真正的新产品》 VueJS 总结 Linux 自动挂载 alist 提供的webdav FreeBSD 使用 vm-bhyve 安装Debian虚拟机 FreeBSD 和 Linux 网卡聚合实现提速 GPT 帮我搞定了时区转换问题 长任务系统如何处理? macOS/Linux 编译 InputLeap 使用开源软KVM - synergy-core 解决 macOS 终端hostname一直变化问题 KVM 共享 Intel 集成显卡 PromQL 备忘 读《格鲁夫给经理人的第一课》 读《打开心智》 为什么要把复杂的联表操作拆成多个单表查询? 红包系统的设计 MySQL Index Condition Pushdown Optimization Go mod 简明教程 OpenWRT 使用 Android/iOS USB 网络 搭建旁路由 Golang gRPC 错误处理 编写可维护的单元测试代码 OAuth 2 详解(六):Authorization Code Flow with PKCE OAuth 2 详解(五):Device Authorization Flow OAuth 2 详解(三):Resource Owner Password Credentials Grant OAuth 2 详解(四):Client Credentials Flow OAuth 2 详解(二):Implict Grant Flow OAuth 2 详解(一):简介及 Authorization Code 模式 ElasticSearch 学习笔记 三种git流程以及发版模型 错误处理实践 权限模型(RBAC/ABAC) OIDC(OpenID Connect) 简介 任务队列简介 PostgreSQL 操作笔记 使用Drone CI构建CI/CD系统 Golang migrate 做数据库变更管理 使用PostgreSQL做搜索引擎 Nginx 源码阅读(三): 连接池、内存池 Nginx 源码阅读(二): 请求处理 Nginx 源码阅读(一): 启动流程 Go 泛型简明教程 KVM 显卡穿透给 Windows 使用 HTTP Router 处理 Telegram Bot 按钮回调 使用反射(reflect)对结构体赋值 GIN 是如何绑定参数的 你好 2022(2021 年终总结) 用Go导入大型CSV到PostgreSQL 使用 OpenWRT 搭建软路由 使用软KVM切换器 barrier 共享键鼠 SQL 防注入及原理 使用 gomock 测试 Go 代码 gevent不是黑魔法(二): gevent 实现 gevent不是黑魔法(一): greenlet 实现 用 entgo 替代 gorm 应用内使用crontab不是那么方便 单测时要不要 mock 数据库? Sentry 自建指南 用selenium完成自动化任务 用闲置的安卓手机做垃圾电话短信过滤 推荐三个时间管理工具 一次事故反思 当JS遇到uint64:JS整数溢出问题 SQLite3 存储以及ACID原理 Redis源码阅读:pub/sub实现 Redis源码阅读:zset实现 Redis源码阅读:bitmap 位图的运算 Redis源码阅读:set是怎么做交并集运算的?
OAuth2 为什么需要 Authorization Code?
Jiajun Huang · 2017-09-21 · via Jiajun的技术笔记

emm。。。今天我搜了一下OAuth2的流程,发现无论是中文还是英文,一上来都是跟你讲,一共是五个步骤blablabla。。。

我就在想,为啥不能不要五步,OAuth2为什么中间需要一个 Authorization Code 呢?为什么不能直接:

  • 向指定的OAuth服务器发起请求,并且带上回调地址
  • 用户同意授权
  • OAuth服务器重定向到给定的回调地址并且把生成的 access_tokenrefresh_token 带上

    +--------+                               +---------------+
    |        |--(A)- Authorization Request ->|   Resource    |
    |        |                               |     Owner     |
    |        |<-(B)-- Authorization Grant ---|               |
    |        |                               +---------------+
    |        |
    |        |                               +---------------+
    |        |--(C)-- Authorization Grant -->| Authorization |
    | Client |                               |     Server    |
    |        |<-(D)----- Access Token -------|               |
    |        |                               +---------------+
    |        |
    |        |                               +---------------+
    |        |--(E)----- Access Token ------>|    Resource   |
    |        |                               |     Server    |
    |        |<-(F)--- Protected Resource ---|               |
    +--------+                               +---------------+
    

结果没有哪个教程直接了当的告诉我可以。其实想到这一步是很自然的,为什么三步能做完的事情要 五步来做呢?例如,我做了一个应用,使用微博登录。第一步,到微博的OAuth2服务器,第二步, 我点击允许使用微博登录,第三步,微博的OAuth2服务器回调我给定的地址并且附带上 access_tokenrefresh_token

然后我去翻了 RFC6749, 才发现这是可以的。OAuth2一共有四种模式:

  • 第一种:

    • 首先用户在客户端上点击要用哪个系统的OAuth2来认证,此时客户端附上回调地址
    • 用户在OAuth2服务器上选择是否授权
    • 用户给予授权,OAuth2服务器重定向到第一步给定的回调地址,同时附上 Authorization Code
    • 回调地址所在服务器带上 Authorization Code向OAuth2服务器申请 access_tokenrefresh_token
    • OAuth2服务器返回 access_tokenrefresh_token
  • 第二种:

    • 用户在客户端上点击要哪个系统的OAuth2来认证,此时客户端附上回调地址
    • 用户在OAuth2服务器上选择是否授权
    • 用户给于授权,OAuth2服务器重定向到第一步给定的回调地址,并且附上 access_tokenrefresh_token
  • 第三种:

    • 用户直接输入用户名和密码,这种情况针对自家的APP或者100%信任的APP可以这么干
  • 第四种:

    • 客户端自带认证,用户向客户端认证就可以

后来看完RFC发现这样一个特点,一般第二种是用于浏览器的,第一种是用于APP的。其实我觉得没差。因为HTTP 请求里的所有字段都可以伪造呀,服务器很难分清楚到底是来自APP还是浏览器的吧。唯一一个想得到的说的通的 原因就是:第一种方式OAuth2服务器具有更强的控制权 。为什么呢?第一种方式里,可以要求客户端预先 在OAuth2服务器上注册,获得 client_id 或者是 app_secret。然后:

  • 首先用户在客户端上点击要用哪个系统的OAuth2来认证,此时客户端附上回调地址
  • 用户在OAuth2服务器上选择是否授权
  • 用户给予授权,OAuth2服务器重定向到第一步给定的回调地址,同时附上 Authorization Code
  • 回调地址所在服务器带上 Authorization Code和回调地址,app_secret 向OAuth2服务器申请 access_tokenrefresh_token
  • OAuth2服务器返回 access_tokenrefresh_token

这样OAuth2服务器可以知道用户到底在谁家(哪个客户端提供商)上授权。而第二种模式就不能这么做,因为 OAuth2服务器返回了 access_tokenrefresh_token 之后,谁都可以拿着这两个东西去访问资源。

第一种模式为什么知道?因为在第三步的时候,OAuth2服务器只是返回一个Authorization Code,然后客户端 拿着这个Code和自己的 app_secret 去申请 access_tokenrefresh_token。这也就意味着,服务器 可以在这个时候记录下 app_secretaccess_token 的关联关系。

不过,这只是我的猜想,我也不知道设计者咋想的,是不是这样的。