Oauth2.0认证---授权码模式
目录:
1.功能描述
2.客户端的授权模式
3.授权模式认证流程
4.代码实现
1.功能描述
- OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。"客户端"不能直接登录"服务提供商",只能登录授权层,以此将用户与客户端区分开来。
- "客户端"登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。
2.客户端的授权模式
Oautho2.0为客户端定义了4种授权模式:
- 授权码模式
- 简化模式
- 密码模式
- 客户端模式
授权码模式是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。
3.授权模式认证流程
授权码模式的认证流程:
(A)用户访问客户端,后者将前者导向认证服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器首先生成一个授权码,并返回给用户,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。
注意:(C)和(D)中两个重定向URI是不一样的,(C)中的重定向URI是用来核对的,这个是服务器事先指定并保存在数据库里面。而(D)中的重定向URI指的是生成access_token的url。
4.代码实现
1)定义客户端信息,并保存在数据库中
例如:
id:“app”,secret: 'xffcncgmveu6slxg',redirectUri: 'http://127.0.0.1:3000/example/auth/callback'
以上字段是必须的,如果还需要其他描述,可以自行添加字段。
2)判断用户是否登录:
function ensureLogin(req,res,next){//判断用户是否登录//这里假设用户已经登录,且默认如下req.loginUserId = 'Along';next(); }
3)生成授权码代码:
http://127.0.0.1:3000/OAuth2/authorize?client_id=a10086&response_type=code&redirect_uri=http%3A%2F%2F127.0.0.1%3A3000%2Fexample%2Fauth%2Fcallback
- response_type:表示授权类型,必选项,此处的值固定为"code"
- client_id:表示客户端的ID,必选项
- redirect_uri:表示重定向URI,可选项
- scope:表示申请的权限范围,可选项
- state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。
生成授权码的代码如下:
授权码的信息包括:授权码、用户的id、客户端的id、重定向url
exports.generatorCode = function(req,res,next){ var code = randomString(20); //生成20长度字符串var cdinfo = { code:code,userId:userId,clientId:clientId,redirectUri:redirectUri }; //存入数据库 (new codeInfo(cdinfo)).save(function(err,doc){if(err){return callback(err);} }) callback(null, code); };
4)生成access_token:
服务器生成授权码后,将授权码添加到url后面,然后导向这个url如:
http://127.0.0.1:3000/example/auth/callback?code=Bu9C5OBmO2odzuWpVTpn
生成access_token的代码如下:
access_token的信息包括:token、用户id、客户端id
exports.generateToken = function (userId, clientId,expires,callback) {var code = utils.randomString(20) + '.' + (getTimestamp() + expires);var tkinfo = {token:code,userId:userId,clientId:clientId};(new tokenInfo(tkinfo)).save(function(err,doc){if(err) return callback(err);callback(null,code);}) };
可以看到生成code和token的方式是一样的,你也可以定义不一样的方式。
转载于:https://www.cnblogs.com/y-yxh/p/5903771.html
Oauth2.0认证---授权码模式相关推荐
- oauth password模式_SpringBoot OAuth2.0 认证授权(密码模式)
SpringBoot 整合 SpringSecurity,token 落地,前后端分离接口安全. SpringBoot 环境搭建和入门:Spring Boot 2.x 快速入门 导入 mysql 脚本 ...
- Spring Security OAuth2.0认证授权知识概括
Spring Security OAuth2.0认证授权知识概括 安全框架基本概念 基于Session的认证方式 Spring Security简介 SpringSecurity详解 分布式系统认证方 ...
- Spring Security OAuth2.0认证授权五:用户信息扩展到jwt
历史文章 [Spring Security OAuth2.0认证授权一:框架搭建和认证测试] [Spring Security OAuth2.0认证授权二:搭建资源服务] [Spring Securi ...
- Spring Security OAuth2.0认证授权三:使用JWT令牌
历史文章 [Spring Security OAuth2.0认证授权一:框架搭建和认证测试] [Spring Security OAuth2.0认证授权二:搭建资源服务] 前面两篇文章详细讲解了如何基 ...
- OAuth2.0_授权服务配置_授权码模式_Spring Security OAuth2.0认证授权---springcloud工作笔记144
技术交流QQ群[JAVA,C++,Python,.NET,BigData,AI]:170933152 前面咱们已经配置好了授权服务器, 包括客户端信息, 包括申请令牌和授权码的接口配置 包括对接口安全 ...
- OAuth2.0_授权服务配置_密码模式及其他模式_Spring Security OAuth2.0认证授权---springcloud工作笔记145
技术交流QQ群[JAVA,C++,Python,.NET,BigData,AI]:170933152 然后我们再去看看密码模式和其他的模式来获取令牌. 我们要知道授权码模式是最安全的一种方式.对吧.验 ...
- Spring Security OAuth2.0认证授权
文章目录 1.基本概念 1.1.什么是认证 1.2 什么是会话 1.3什么是授权 1.4授权的数据模型 1.4 RBAC 1.4.1 基于角色的访问控制 2.基于Session的认证方式 3.整合案例 ...
- SpringSecurity OAuth2.0认证授权-part2
此篇文章包含oauth2项目搭建.整合jwt.授权方式测试: 篇幅过长,拆分为: part1: 认证授权原理回顾及分布式系统认证方案: part2: oauth2项目搭建.授权方式测试: part3: ...
- andpods授权码订单号分享_不要再让你的接口裸奔了,Boot快速尝试OAuth2密码和授权码模式...
微服务火热,前后端分离,oauth2 是我们接口调用认证的首选.springboot 天然集成 oauth2,使用非常方便,简单记录下,尝尝鲜. 一.啥是OAuth2 OAuth(开放授权)是一个开放 ...
最新文章
- 网络工程师_要记录下来的一些题_3
- Leetcode 191. 位1的个数 解题思路及C++实现
- 使用Axure RP原型设计实践05,了解公式
- WSL安装Oracle,折腾记录:WSL(Windows Subsystem for Linux,Windows上的Linux子系统)安装后的环境配置-Go语言中文社区...
- MySql索引的原理
- Python:print用法大全
- cocos2d-X CCSprite设置贴图(图片)大小
- 【问答】总结|开放领域问答梳理系列(1)
- 电商API,获得淘宝商品类目
- 关于putty中的psftp、ftp上传下载的基本操作
- BI数据分析师入门项目
- AV1 解码器 dav1d
- 机器学习读书笔记:贝叶斯公式
- windows系统部署docker文档
- 计算机视觉论文-2021-09-06
- Windows实现微信双(多)开—微信分身
- html5 微网页 点餐_使用HTML5和微数据向网页添加电话号码
- (小甲鱼python)集合笔记合集一 集合(上)总结 集合的简单用法 集合的各种方法合集:子、交、并、补、差、对称差集、超集
- 学计算机要学word跟什么,大学计算机word学习心得体会.doc
- java ntlm解密_java – HttpClient 4.1.1在使用NTLM进行身份验证时返回401,浏览器工作正常...