惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

C
CXSECURITY Database RSS Feed - CXSecurity.com
P
Privacy International News Feed
V
Vulnerabilities – Threatpost
The Last Watchdog
The Last Watchdog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
O
OpenAI News
T
Threat Research - Cisco Blogs
WordPress大学
WordPress大学
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
P
Palo Alto Networks Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
H
Help Net Security
P
Proofpoint News Feed
MyScale Blog
MyScale Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
T
The Blog of Author Tim Ferriss
H
Hackread – Cybersecurity News, Data Breaches, AI and More
S
Securelist
Vercel News
Vercel News
S
Security Affairs
D
Darknet – Hacking Tools, Hacker News & Cyber Security
B
Blog RSS Feed
云风的 BLOG
云风的 BLOG
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
Blog — PlanetScale
Blog — PlanetScale
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Last Week in AI
Last Week in AI
博客园_首页
Attack and Defense Labs
Attack and Defense Labs
G
Google Developers Blog
T
Tor Project blog
Project Zero
Project Zero
腾讯CDC
Schneier on Security
Schneier on Security
月光博客
月光博客
N
Netflix TechBlog - Medium
AWS News Blog
AWS News Blog
L
LINUX DO - 最新话题
P
Proofpoint News Feed
博客园 - 司徒正美
A
About on SuperTechFans
Latest news
Latest news
Scott Helme
Scott Helme
Hacker News: Ask HN
Hacker News: Ask HN
T
Threatpost
Hacker News - Newest:
Hacker News - Newest: "LLM"
C
CERT Recently Published Vulnerability Notes
Google DeepMind News
Google DeepMind News
博客园 - 聂微东

Liu Zijian's Blog | 一个技术博客

使用Certbot自动续签HTTPS证书 使用Filebeat采集Nginx日志到ES Python的协程 Python中的异常 Python中的类和对象 Python的函数 Python的数据结构,推导式、迭代器和生成器 Spring AI集成多模态模型 LangChain4j多模态 LangChain Tools工具使用 Python中的模块和包 Python全局环境和虚拟环境(venv) LangChain Prompt提示词工程 LangChain4j Tools工具使用 基于Dify搭建AI智能体应用 LangChain4j RAG检索增强生成 Spring AI实现MCP Server Spring AI集成MCP Client LangChain4j Prompt提示词工程 Spring AI使用知识库增强对话功能 Spring AI实现一个智能客服 Spring AI实现一个简单的对话机器人 实现MinIO数据的每日备份 自己实现一个DNS服务 简单理解AI智能体 大模型和大模型应用 LangChain开篇 LangChain4j开篇 一个解析Excel2007的POI工具类 DataPermissionInterceptor源码解读 TenantLineInnerInterceptor源码解读 BaseMultiTableInnerInterceptor源码解读 Spring AI开篇 SQL解析工具JSQLParser 芋道源码解读之多租户 芋道源码解读之数据权限 芋道源码解读开篇 Java实现将数据导出为Word文档 OA系统的天数该怎样计算 安装MySQL8 安装MySQL5.7 RockyLinux9环境下编译MySQL8 MySQL字符集及底层原理 Java实现LDAP登录 Docker Compose IPv4和IPv6 使用虚拟机安装一个K8s集群 使用GraalVM原生编译打包SpringBoot工程 Nginx防止目录穿越 Java线程的状态 Nginx防盗链设置 使用python将excel表格转换为SQL INSERT Redis的公共操作命令 Redis数据结构之Bitfleid Redis数据结构之Bitmap Redis数据结构之GEO Redis数据结构之Hash Redis数据结构之HyperLogLog Redis数据结构之List Redis数据结构之Set Redis数据结构之Stream Redis数据结构之String Redis数据结构之ZSet 使用python压缩图片 利用Python实现Hexo站点的持续集成 Nginx设置HTTPS监听 firewalld防火墙工具的使用 Linux信号(signal)机制 MySQL5.7x 主从复制 用IP自签发一个HTTPS证书 基于Hexo实现一个静态的个人博客 RockyLinux9环境下编译MySQL5.7 Docker离线安装 MySQL数据定义语言 Docker与联合文件系统 Docker的网络 Docker的镜像操作 MySQL存储过程 MyBatis-Plus开篇 MySQL变量 MySQL视图 MySQL事务 MySQL插入修改和删除 MySQL查询 MySQL系统命令 Docker的容器操作 Docker的安装和配置 Docker容器数据卷 JVM开篇 浅谈Linux(Unix)的I/O模型 一个通用的CloseableHttpClient工厂类 JUC可重入锁ReentrantLock JUC读写锁ReadWriteLock Java的单例 Java泛型 Java8的新特性 最近最少使用算法(LRU) MySQL函数 SpringBoot配置和启动 volatile作用分析
浅谈OAuth2.0授权原理
Liu Zijian · 2023-08-15 · via Liu Zijian's Blog | 一个技术博客

一、引言

OAuth(Open Authorization)是一种开放授权协议,允许用户授权第三方应用访问其在其他服务中的资源(如个人信息、照片等)目前的版本是2.0版(OAuth 2.0),其标准是:RFC 6749

OAuth在客户端与服务提供商之间,设置了一个授权层(authorization layer)客户端不能直接登录服务提供商,只能登录授权层获取令牌,以此将用户与客户端区分开来。客户端登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期,客户端登录授权层以后,服务提供商根据令牌的权限范围和有效期,向客户端开放用户储存的资料。

很多场景都有采用OAuth2登录,例如登录ProcessOn或知识星球时可以使用微信登陆,登陆时会先跳转到微信的二维码页面,扫码登录后会再跳转到ProcessOn或知识星球,此时显示的是用户微信的昵称和头像,再比如使用GitHub登录Vercel时,也是先跳到GitHub的登录页面,输入用户名密码登陆后,跳转到Vercel,Vercel里面除了能展示用户GitHub的头像用户名等信息之外,还能获取用户GitHub中的仓库信息,甚至可以获取仓库中各分支下的源代码。这样就实现了脱离第三方系统进行认证,避免了用户直接将自己在微信等服务商的账户密码告诉ProcessOn等第三方平台进行获取数据所导致的安全问题。在这些场景下,上述的的客户端指的就是Vercel/知识星球/ProcessOn等第三方系统,服务提供商就是微信/GitHub。

OAuth2.0规定了四种获得令牌的流程和授权方式:

  • 授权码(authorization code)
  • 隐藏式(implicit),又叫简化模式
  • 密码式(password)
  • 客户端凭证(client credentials)

二、名词定义

在详细讲解OAuth 2.0之前,需要了解几个专用名词

  • Resource Owner 资源所有者,本文中又称用户(user)

  • User Agent 用户代理,本文中就是指浏览器。

  • Third-party application 第三方应用程序,又称客户端

  • HTTP service HTTP服务提供商,本文中简称服务提供商

  • Authorization server 认证服务器,即服务提供商专门用来处理认证的服务器。

  • Resource server 资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。

三、授权方式和原理

授权码模式(authorization code)是功能最完整、流程最严密的一种模式。它的特点就是通过客户端的后台服务器,与服务提供商的认证服务器进行互动,而且这种场景很常见,是toc场景下使用最多的OAuth授权模式,下面以微信扫码登陆知识星球为例具体说明:

  1. 知识星球要求用户给予授权可以理解为点击微信登陆,浏览器弹出微信的二维码登录页面,扫码后微信APP上会得到一个授权许可页面
  2. 知识星球用户在微信APP的授权许可页面点击了同意用微信登录知识星球,随即微信授权服务器生成授权码并使得浏览器上的扫码登陆页面跳转到知识星球的微信登录链接(这个链接在开发者在微信开放平台注册应用时就要提前填写好)并通过在这个链接上追加URL参数的方式传把授权码给到了知识星球平台
  3. 知识星球平台将接收到的微信登录授权码作为参数,后台调用微信认证服务器的获取令牌接口
  4. 微信认证服务器验证授权码通过,返回令牌给知识星球平台
  5. 知识星球平台紧接着使用令牌访问微信的资源服务器,获取微信登录用户的微信数据(昵称,ID,甚至步数等)
  6. 微信资源服务器验证令牌通过,返回用户的微信数据(昵称,ID,甚至步数等)给知识星球平台,知识星球平台根据用户的微信ID建立会话,到此就微信登录成功了,知识星球平台一般就会跳转到首页,还会在首页上展示用户的微信昵称头像等个人标识。

3.2 隐藏式(implicit)

隐藏式,又称简化模式(implicit grant type),不通过第三方应用程序的服务器,而是直接在浏览器中向认证服务器申请令牌,跳过了授权码这个步骤,因此得名。所有步骤可以在浏览器中完成,令牌对访问者是可见的。

和授权码模式不一样的是,客户端引导用户打开服务提供商认证页面,通过扫码或用户名密码认证后,跳转到指定的客户端系统页面,并直接在URL参数上传递访问令牌,省去了通过授权码再去获取令牌的过程。

3.3 密码式(password)

密码模式中,用户向客户端提供自己的用户名和密码。客户端使用这些信息,向服务商提供商索要授权。

在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,比如客户端是操作系统的一部分,或者由一个著名公司出品。而认证服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式。

3.4 客户端凭证(client credentials)

客户端模式指客户端以自己的名义,而不是以用户的名义,向服务提供商进行认证。严格地说,客户端模式并不属于OAuth框架所要解决的问题。在这种模式中,用户直接向客户端注册,客户端以自己的名义要求服务提供商提供服务,其实不存在授权问题。

四、参考

  1. 理解OAuth 2.0, 阮一峰, 2014.5
  2. OAuth 2.0 的一个简单解释, 阮一峰, 2019.04