孤尽训练营打卡日记day19--OAuth2基础
前言
我们现在的系统架构都是微服务的架构,也就是说,一个完整的功能,是由后台多个工程一起完成的。那么就会有一个问题,明明是多个工程,但是我们只需要登录一次,这是怎么实现的呢?今天我们跟着刘雪松老师一起学习一下OAuth2第三方登录授权协议
OAuth2 是什么?
OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。比如在微信上打开京东的小程序,这个时候就会提示是否授权。
使用场景
第三方应用授权登录:在APP或者网页接入一些第三方应用时,时长会需要用户登录另一个合作平台,比如QQ,微博,微信的授权登录。
示例:QQ授权登录京东
- 客户端:京东
- 资源服务器和授权服务器:QQ
- OAuth2:授权协议;因为客户端和认证服务器双方的不信任产生的一个授权协议。
OAuth2 角色
- Resource Owner:资源所有者,本文中又称"用户"(user),即登录用户。
- Client(Third-party application):客户端,第三方应用程序,比如打开京东,使用第三方登录,选择qq登录,这时候京东就是客户端。
- Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。
- Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。
- User Agent:用户代理,本文中就是指浏览器。
OAuth2 授权模式
授权码模式:最完整和严谨的授权模式,第三方平台登录的都是此模式
安全性:最高
使用场景:
流程:
- 用户访问客户端,后者将前者导向认证服务器,假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
- 客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌:GET /oauth/token?response_type=code&client_id=test&redirect_uri=重定向页面链接。请求成功返回code授权码,一般有效时间是10分钟。
- 认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。POST /oauth/token?response_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=重定向页面链接。
简化模式:省略授权码阶段,客户端是纯静态页面采用次模式
安全性:高
- 客户端将用户导向认证服务器。
- 用户决定是否给于客户端授权。
- 假设用户给予授权,认证服务器将用户导向客户端指定的"重定向URI",并在URI的Hash部分包含了访问令牌。
- 浏览器向资源服务器发出请求,其中不包括上一步收到的Hash值。
- 资源服务器返回一个网页,其中包含的代码可以获取Hash值中的令牌。
- 浏览器执行上一步获得的脚本,提取出令牌。
- 浏览器将令牌发给客户端。
密码模式:把用户名密码告诉客户端,对客户端高度信任,比如客户单和认证服务器是同一家公司
安全性:一般
流程:
- 用户向客户端提供用户名和密码。
- 客户端将用户名和密码发给认证服务器,向后者请求令牌。
- 认证服务器确认无误后,向客户端提供访问令牌。
客户端模式:直接以客户端名义申请令牌,很少用
安全性:差
流程:
- 客户端向认证服务器进行身份认证,并要求一个访问令牌。
- 认证服务器确认无误后,向客户端提供访问令牌。
OAuth 2.0 和 1.0 的区别
OAuth 1.0 的缺点:
- 用的是http协议,申请RequestToken 过程中,容易被攻击者调包
- 攻击者调包后的目的就是伪造回调地址,拿到用户的accessToken
OAuth 2.0 改进
- 去掉签名,改用SSL(HTTPS)确保安全性
- 所有的token不在有对应的secret存在,签名过程简洁,这也直接导致OAuth2.0不兼容老版本
- 能更好的支持不是基于浏览器的应用
- OAuth2.0 的访问令牌是短命的,且有刷新令牌
为什么要用 oauth2?
单体架构:cookie session机制
cookie session 和 token 的区别
- cookie 是不能跨域的,前后端分离分布式架构实现多系统SSO非常困难
- 移动端没有cookie,所以对移动端支持不好
- token 基于header 传递,部分解决了CSRF攻击
- token 要比sessionId大,客户端存储在Local Storage 中,可以直接被JS读取
莫等闲,白了少年头,空悲切。 --《满江红·写怀》岳飞
参考文档:
刘雪松老师的ppt
Oauth2详解-介绍(一) - 简书
孤尽训练营打卡日记day19--OAuth2基础相关推荐
- 孤尽训练营打卡日记day28--第四周总结
前言 光阴似箭,日月如梭.转眼已经过去了一个月,孤尽训练营第四周也已经结束,今天我们一起来对这一周的内容做个简单回顾. 第一次课 单元测试和系统安全规约 什么是单元测试? 对软件组成单元进行的测试,其 ...
- 孤尽训练营打卡日记day14--第二周总结
前言 光阴似箭,日月如梭!跟着孤尽老师学习的第二周也即将结束,训练营的日子也已经过去了一半.古人云,学而不思则罔,思而不学则殆.今天我们来对第二周的学习做个总结. 内容回顾 day08 首先,孤尽老师 ...
- 孤尽训练营打卡日记day24--系统安全规约
前言 现在是大数据的时代,数据是非常重要的,一张照片就有可能泄漏了你的位置信息.在我们的系统中,安全一直是老生常谈的话题,怎么维护我们的系统安全,在我们日常开发中,怎么避免出现安全问题,我们跟着Joe ...
- 孤尽训练营打卡日记day04--MySQL优化
前言 数据库在系统中是非常重要的一环,当数据量大的时候,数据库就会有瓶颈,也就是查询变慢,我们需要对数据库进行优化 建表时优化 Schema 和数据类型优化 整数 TinyInt,SmallInt,M ...
- 利用油猴脚本显示扇贝网真实打卡日记
本文首发在我的个人博客:https://jlice.top/p/7kmxm/.欢迎大家前去参观,么么哒~ 前一段时间发现扇贝网页版显示的打卡日记和手机上看到的不一致,感觉应该是网页版开发滞后的原因.这 ...
- 训练营打卡Day57
训练营打卡Day57 文章目录 训练营打卡Day57 题121:[1143. 最长公共子序列](https://leetcode.cn/problems/longest-common-subseque ...
- 训练营打卡Day45
训练营打卡Day45 文章目录 训练营打卡Day45 题105:[70. 爬楼梯](https://leetcode.cn/problems/climbing-stairs/) 思路 代码 题106: ...
- 无基础学c语言的打卡日记总论
背景知识:笨人浙江考生,选课是政史地.目前在读大一,知道自己的专业学c并且还学数学分析和高等代数,一开始不以为意. 学校用的教材是谭浩强老师的c语言程序设计.推荐的,小白友好. 上课之前有很认真的自习 ...
- 阿里天池龙珠训练营打卡2
阿里天池龙珠训练营打卡2 文章目录 列表添加元素 删除列表中的元素 获取列表的元素 列表的一些其他方法 字符串常用内置方法 字符串格式化 列表配合集合去重 列表添加元素 list.append(obj ...
最新文章
- iPhone开源系列:iDev Recipes
- Android最佳的开源库(四)
- 让fieldset在td的顶端 解决fieldset在td中间的问题
- [设计模式] 15.Command 命令模式
- Django创建图书管理项目(完整版
- 填涂颜色(洛谷-P1162)
- swift4 label显示html,Swift:在标签或textView中显示HTML数据
- RK3568开发笔记-buildroot移远EC20模块调试记录
- Nexus下载安装及对接
- FishC笔记—29 讲 文件:一个任务
- DJ设备市场现状及未来发展趋势
- redis指定配置文件启动不生效_Windows Redis默认配置文件,Redis配置不生效解决方案...
- python 通达信选股_大智慧公式转python,使用python在通达信里面选股
- MPEG-2中的ProfileLevel
- AVL-Cruise纯电动汽车仿真建模教程-能量回收策略的实现
- 专升本管理学知识点总结——组织
- 铁电存储器这样应对充电桩存储痛点
- opencv颜色识别python_opencv使用HSV颜色空间实现颜色识别
- 攻防世界_Crypto_告诉你个秘密
- 苏职大计算机工程学院在哪,【图片】进入苏职大,需要了解的!!!【苏州职业大学吧】_百度贴吧...