OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 这个标准比较抽象,使用了很多术语,初学者不容易理解。本文从最小数据单元开始一步一步揭开OAuth 2.0的神秘面纱,希望大家看完本文都能知道OAuth 2.0到底是什么?

原文:https://medium.com/@darutk/the-simplest-guide-to-oauth-2-0-8c71bd9a15bb
作者:Takahiko Kawasaki(川崎高彦)

首先,得有一些用户的数据。

然后,我们需要一个服务器来管理这些用户的数据,我们称之为“资源服务器”

这时候有个第三方应用想要访问用户的数据,我们把这第三方应用称之为“客户应用”

这时候我们给资源服务器按个门暴露用户数据,这个门我们称之为“API”

客户应用可以通过API访问用户的数据,资源服务器负责返回用户数据。

这时候来了个恶意的客户应用,它也想要获取用户数据拿去获利。由于我们没给API加上权限校验,所以恶意的客户应用也可以获取用户数据。

我们迫切需要一种机制来保护用户数据,业界实践是提前给客户应用颁发一个Access Token,它表示客户应用被授权可以访问用户数据。

客户应用请求资源服务器获取用户数据时,在请求里带上Access Token 参数,资源服务器取出请求中的Access Token并校验Access Token确认客户应用有访问用户数据的权限 。

校验通过后资源服务器返回用户数据

由于该机制工作的前提是:必须提前给客户应用颁发Access Token,所以这时候我们又需要一个颁发Access Token的角色,我们把这个负责颁发Access Token的角色称之为授权服务器。

暂停一下,我们来看看黑板

  • 授权服务器负责生成Access Token, 并将Access Token 颁发给客户应用
  • 客户应用带上Access Token 去访问用户数据
  • 资源服务器负责从请求里取出AccessToken,校验Access Token是否具有访问用户的权限,如果有则返回客户数据。

客户应用、授权服务器、资源服务器之间的关系如下

上面流程中第一步是授权服务器生成Access Token ,在真实流程中,在颁发Token给客户应用之前需要先征询用户的同意,必须要用户同意授权才会给客户应用颁发Access Token。
客户应用、授权服务、用户三者之间的交互流程如下:

  1. 客户应用请求授权服务器获取Access Token
  2. 授权服务器咨询用户意见
  3. 用户同意授权
  4. 授权服务器颁发Access Token 给 客户应用

OAuth 2.0标准化了Access Token的请求和响应部分,OAuth2.0的细节在RFC 6749(OAuth 2.0授权框架)中描述。参考网站

欢迎扫码关注微信公众号或 个人博客

OAuth2.0最简向导(多图预警)相关推荐

  1. oauth2 增加token 返回参数_一张图搞定OAuth2.0

    公众号:低并发编程(dibingfa) 目录 1.引言 2.OAuth2.0是什么 3.OAuth2.0怎么写 1.引言 本篇文章是介绍OAuth2.0中最经典最常用的一种授权模式:授权码模式 非常简 ...

  2. 一张图搞定OAuth2.0

    1.引言 本篇文章是介绍OAuth2.0中最经典最常用的一种授权模式:授权码模式 非常简单的一件事情,网上一堆神乎其神的讲解,让我不得不写一篇文章来终结它们. 一项新的技术,无非就是了解它是什么,为什 ...

  3. sso和oauth2.0的简单了解学习

    sso,单点登录,single sign on 缩写.sso多用于多个应用之间的切换,例如百度论坛.百度知道.百度云.百度文库等,在其中一个系统中登录,(登录有效期内)切换到另一个系统的时候,不必再次 ...

  4. OAuth2.0 知多少

    OAuth2.0 知多少 原文:OAuth2.0 知多少 1. 引言 周末逛简书,看了一篇写的极好的文章,点击大红心点赞,就直接给我跳转到登录界面了,原来点赞是需要登录的. 可是没有我并没有简书账号, ...

  5. 接口测试工具-Jmeter使用笔记(八:模拟OAuth2.0协议简化模式的请求)

    背景 博主的主要工作是测试API,目前已经用Jmeter+Jenkins实现了项目中的接口自动化测试流程.但是马上要接手的项目,API应用的是OAuth2.0协议授权,并且采用的是简化模式(impli ...

  6. OAuth2.0实战

    微信开发三大坑: 1.微信OAuth2.0授权 2.微信jssdk签名 3.微信支付签名 本篇先搞定微信OAuth2.0授权吧! 实际一旦了解微信的OAuth2.0,其他的也掌握了. 以简书的登陆页面 ...

  7. 从0到1 手把手搭建spring cloud alibaba 微服务大型应用框架(三) (mini-cloud) 搭建认证服务(认证/资源分离版) oauth2.0 (中)

    本文承接上文<从0到1 手把手搭建spring cloud alibaba 微服务大型应用框架(三) (mini-cloud) 搭建认证服务(认证/资源分离版) oauth2.0 (上)> ...

  8. php对接AliGenie天猫精灵服务器控制智能硬件esp8266② 全面认识第三方授权机制 oauth2.0 协议,如何在 php 上搭建 oauth2.0服务端!(附带demo)

    本系列博客学习由非官方人员 半颗心脏 潜心所力所写,仅仅做个人技术交流分享,不做任何商业用途.如有不对之处,请留言,本人及时更改. 1. php对接AliGenie天猫精灵服务器控制智能硬件esp82 ...

  9. 淘宝店铺商品管理解决方案-商品SKU信息获取和修改oAuth2.0接口接入解决方案

    商品管理对接方案: 从店铺宝贝管理场景出发,提供涵盖了宝贝主图.标题.属性信息.详情页海报等各个模块高效处理/优化的功能.并通过提供批量修改.自动补库存.定时上架.库存预警等功能帮助商家提高店铺经营效 ...

最新文章

  1. 使用 Chrome DevTools 调试 JavaScript
  2. mysql插入ㄖ_原生JavaScript代码100个实例
  3. linux加密框架 crypto 算法管理 - 动态和静态算法管理
  4. ArrayList的使用
  5. J-LINK烧录bin文件
  6. win10电脑360调用不到JAVA,win7/win10系统360浏览器打不开原因及解决方法
  7. 6步解决win7局域网内传输慢的问题
  8. bzoj 1260涂色 题解
  9. 刻录服务器系统光盘,系统光盘制作
  10. 肝了一宿才收集的48个超炫酷的 CSS 文字特效,绝对值得收藏!!!
  11. 怎么使用百度更精准搜索?我来教你6个搜索引擎小技巧
  12. 机器学习之PQ量化算法
  13. java对接支付宝(四)-即时到账无秘退款
  14. 《程序员的自我修养》读书总结
  15. java环境安装及java编译
  16. 魔力宝贝 - 窗口分辨率修改
  17. Windows 11操作系统微软正式宣布推出
  18. 1162. 地图分析 BFS Dijkstra算法
  19. 二次开发QTYX量化系统—“飞龙在天”选股报告(20230201)
  20. 广州地区《程序员》杂志购买渠道告知

热门文章

  1. JAVASE基础(十)
  2. cocos2dx android obb,cocos2dx 实现obb包读取 quick2.2.6
  3. sld样式文件demo
  4. 思维模型 5W2H分析法
  5. 数学高中三角函数的温习
  6. 【网站】国内最火的10款Java开源项目,都是国人开发,CMS居多
  7. flex布局设置宽度不生效,高度生效
  8. Pythone(学习笔记) Request 豆瓣网页排行榜
  9. Pandas 面板Panel
  10. 关于c语言学习的建议