java token认证机制,OAuth认证协议原理分析及使用方法
twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到twitter登录,之后转回原网络
twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到 twitter登录,之后转回原网站,你会发现你已经登录此网站了, 这种网站就是这个效果。其实这都是拜 OAuth所赐。
OAuth是什么?
OAuth是一个开放的认证协议,让你可以在Web或桌面程序中使用简单而标准的,安全的API认证。
OAuth有什么用?为什么要使用OAuth?
网络开放是一个不变的趋势,那么不可避免的会有各种网络服务间分享内容的需要。
举个我们身边国内的例子吧:比如人人网想要调用QQ邮箱的联系人列表,现在的方法是你需要在人人网输入你的QQ号,QQ密码才能调用,虽然网站上可能都自谓“不保留QQ用户名密码”,但是大家信吗?
OAuth就是为了解决这个问题而诞生的,用户访问第三方资源,不再需要网站提交你的用户名,密码。这样好处自己是安全,而且不会泄露你的隐私给不信任的一方。
OAuth原理
OAuth中有三方:一,用户;二,Consumer(中间商,类似上面的 twitterfeed 角色);三,服务提供商(如上例的twitter角色)。
一,Consumer 向 服务提供商 申请接入权限
可得到:Consumer Key,Consumer Secret。twitter申请oauth的话,在 setting - connection - developer 里面申请。 同时给出三个访问网址:
request_token_url = 'http://twitter.com/oauth/request_token'
access_token_url = 'http://twitter.com/oauth/access_token'
authorize_url = 'http://twitter.com/oauth/authorize'
二,当Consumer接到用户请求想要访问第三方资源(如twitter)的时候
Consumer需要先取得 请求另牌(Request Token)。网址为上面的 request_token_url,参数为:
oauth_consumer_key:Consumer Key
oauth_signature_method:签名加密方法
oauth_signature:加密的签名 (这个下面细说)
oauth_timestamp:UNIX时间戳
oauth_nonce:一个随机的混淆字符串,随机生成一个。
oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.0
oauth_callback:返回网址链接。
及其它服务提供商定义的参数
这样 Consumer就取得了 请求另牌(包括另牌名 oauth_token,另牌密钥 oauth_token_secret。
三,浏览器自动转向服务提供商的网站:
网址为 authorize_url?oauth_token=请求另牌名
四,用户同意 Consumer访问 服务提供商资源
那么会自动转回上面的 oauth_callback 里定义的网址。同时加上 oauth_token (就是请求另牌),及 oauth_verifier(验证码)。
五,现在总可以开始请求资源了吧?
NO。现在还需要再向 服务提供商 请求 访问另牌(Access Token)。网址为上面的 access_token_url,参数为:
oauth_consumer_key:Consumer Key
oauth_token:上面取得的 请求另牌的名
oauth_signature_method:签名加密方法
oauth_signature:加密的签名 (这个下面细说)
oauth_timestamp:UNIX时间戳
oauth_nonce:一个随机的混淆字符串,随机生成一个。
oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.0
oauth_verifier:上面返回的验证码。
请求 访问另牌的时候,不能加其它参数。
这样就可以取得 访问另牌(包括Access Token 及 Access Token Secret)。这个就是需要保存在 Consumer上面的信息(没有你的真实用户名,密码,安全吧!)
六,取得 访问另牌 后,
Consumer就可以作为用户的身份访问 服务提供商上被保护的资源了。提交的参数如下:
oauth_consumer_key:Consumer Key
oauth_token:访问另牌
oauth_signature_method:签名加密方法
oauth_signature:加密的签名 (这个下面细说)
oauth_timestamp:UNIX时间戳
oauth_nonce:一个随机的混淆字符串,随机生成一个。
oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.0
及其它服务提供商定义的参数
OAuth安全机制是如何实现的?
OAuth 使用的签名加密方法有 HMAC-SHA1,RSA-SHA1 (可以自定义)。拿 HMAC-SHA1 来说吧,HMAC-SHA1这种加密码方法,可以使用 私钥 来加密 要在网络上传输的数据,而这个私钥只有 Consumer及服务提供商知道,试图攻击的人即使得到传输在网络上的字符串,没有 私钥 也是白搭。
私钥是:consumer secret&token secret (哈两个密码加一起)
要加密的字符串是:除 oauth_signature 外的其它要传输的数据。按参数名字符排列,如果一样,则按 内容排。如:domain=kejibo.com&oauth_consumer_key=XYZ&word=welcome......................
前面提的加密里面都是固定的字符串,那么攻击者岂不是直接可以偷取使用吗?
不,oauth_timestamp,oauth_nonce。这两个是变化的。而且服务器会验证一个 nonce(混淆码)是否已经被使用。
那么这样攻击者就无法自已生成 签名,或者偷你的签名来使用了。
本文由来源 21aspnet,由 javajgs_com 整理编辑,其版权均为 21aspnet 所有,文章内容系作者个人观点,不代表 Java架构师必看 对观点赞同或支持。如需转载,请注明文章来源。
java token认证机制,OAuth认证协议原理分析及使用方法相关推荐
- OAuth认证协议原理分析及使用方法
twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到 twitter登录,之后转回原网站,你会发现你已经登录此网站了, 这种网站就是这个效果.其实这都是拜 OAuth所赐. OAuth ...
- 转载 OAuth认证协议原理分析及使用方法
本文系转载 原文地址http://kejibo.com/oauth/ 感谢原作者 新:oauth第二代 oauth2开放认证协议原理及案例分析 写于 2011-8-4 twitter或豆瓣用户一定会 ...
- HTTPS协议原理分析
HTTPS协议原理分析 HTTPS协议需要解决的问题 HTTPS作为安全协议而诞生,那么就不得不面对以下两大安全问题: 身份验证 确保通信双方身份的真实性.直白一些,A希望与B通信,A如何确认B的身份 ...
- java进阶Kafka集群实战之原理分析及优化教程全在这里
我不去想是否能够成功 既然选择了Java 便只顾风雨兼程 我不去想能否征服Kafka集群 既然钟情于Java 就勇敢地追随千锋 我不去想Kafka集群有多么晦涩难懂 既然目标是远方 留给世界的只能是努 ...
- Java阻塞队列ArrayBlockingQueue和LinkedBlockingQueue实现原理分析
转载自 Java阻塞队列ArrayBlockingQueue和LinkedBlockingQueue实现原理分析 Java中的阻塞队列接口BlockingQueue继承自Queue接口. Block ...
- 计算机故障的分析原理,蓝屏含义、原理分析、处理方法 电脑计算机故障系统安全...
目录 1含义2原理分析3处理方法4代码含义和解决 5原因分析6预防电脑蓝屏的 含义 引蓝屏解释 1.故障检查信息 ***STOP 0x0000001E(0xC0000005,0xFDE38AF9,0x ...
- Windows认证机制之Kerberos协议
Windows认证机制 首先,我们简短介绍下Windows的认证机制.主要有以下三种, 本地认证 网络认证 域内认证 如图所示: Kerberos协议 Kerberos 是一种由 MIT(麻省理工大学 ...
- 科普:QUIC协议原理分析
作者介绍:lancelot,腾讯资深研发工程师.目前主要负责腾讯 stgw(腾讯安全云网关)的相关工作,整体推进腾讯内部及腾讯公有云,混合云的七层负载均衡及全站 HTTPS 接入.对 HTTPS,SP ...
- QUIC协议原理分析
C/C++Linux服务器开发/后台架构师知识体系 本文主要介绍 QUIC 协议产生的背景和核心特性. QUIC 概述 Quic 全称 quick udp internet connection [1 ...
最新文章
- pandas使用idxmax函数获取dataframe每个数据行中最大值对应的列名称(column label of max value in each row in dataframe)
- Oculus Connect 4 演讲——留住用户和建立联系(视频) | 【翻译】
- 自由存储区和堆的区别_区块链发展阶段:IPFS和Filecoin赋能分布式存储
- Java Collections list()方法与示例
- C#利用NOPI处理Excel的代码
- 自学python要看哪些书-想学习Python做数据分析,应该看哪些书?
- Vue学习笔记之16-tarbar地开发思路
- MATLAB —— polyfit()多项式曲线拟合(线性拟合/线性回归)
- 如何应用计算机键盘截图,键盘怎么截图
- 下载Docker Compose超时的问题(Fail connect to github-production-release-asset-2e65be.s3.amazonaws.com:443)
- Python实现socket简单一对一聊天
- BAT小米奇虎美团迅雷携程等等各大企业校招,笔试面试题。
- 老衲躺地上都中枪的“ = + ”
- Sublime text 3 汉化 破解版
- 计算机语言之Pascal语言
- 车辆票务管理系统c语言,火车票务管理系统(C语言)(23页)-原创力文档
- AWS的ssl证书申请及使用
- 政务大厅计算机管理,政务服务窗口管理制度
- 计算机毕业设计 基于web的网上招标系统的设计与实现-可定制
- 微服务---统一网关Gateway
热门文章
- [导入][转]跨越域的Cookie
- HyperLedger Fabric区块链技术形成(1.2)
- 多任务版udp聊天器
- android闪退日志收集
- WebGL 浏览器函数
- Floating Window 详解
- system.gc会立即执行垃圾回收吗_JVM垃圾回收系列之 垃圾回收器
- matlab 删除路径_MATLAB自动管理文件
- 每列大于0的个数_二进制中1的个数(剑指offer第十四天)
- 山东计算机考研909,山东大学考研大纲909数据结构.pdf