OAuth2.0最简向导(多图预警)
OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 这个标准比较抽象,使用了很多术语,初学者不容易理解。本文从最小数据单元开始一步一步揭开OAuth 2.0的神秘面纱,希望大家看完本文都能知道OAuth 2.0到底是什么?
原文:https://medium.com/@darutk/the-simplest-guide-to-oauth-2-0-8c71bd9a15bb
作者:Takahiko Kawasaki(川崎高彦)
首先,得有一些用户的数据。
然后,我们需要一个服务器来管理这些用户的数据,我们称之为“资源服务器”
这时候有个第三方应用想要访问用户的数据,我们把这第三方应用称之为“客户应用”
这时候我们给资源服务器按个门暴露用户数据,这个门我们称之为“API”
客户应用可以通过API访问用户的数据,资源服务器负责返回用户数据。
这时候来了个恶意的客户应用,它也想要获取用户数据拿去获利。由于我们没给API加上权限校验,所以恶意的客户应用也可以获取用户数据。
我们迫切需要一种机制来保护用户数据,业界实践是提前给客户应用颁发一个Access Token,它表示客户应用被授权可以访问用户数据。
客户应用请求资源服务器获取用户数据时,在请求里带上Access Token 参数,资源服务器取出请求中的Access Token并校验Access Token确认客户应用有访问用户数据的权限 。
校验通过后资源服务器返回用户数据
由于该机制工作的前提是:必须提前给客户应用颁发Access Token,所以这时候我们又需要一个颁发Access Token的角色,我们把这个负责颁发Access Token的角色称之为授权服务器。
暂停一下,我们来看看黑板
- 授权服务器负责生成Access Token, 并将Access Token 颁发给客户应用
- 客户应用带上Access Token 去访问用户数据
- 资源服务器负责从请求里取出AccessToken,校验Access Token是否具有访问用户的权限,如果有则返回客户数据。
客户应用、授权服务器、资源服务器之间的关系如下
上面流程中第一步是授权服务器生成Access Token ,在真实流程中,在颁发Token给客户应用之前需要先征询用户的同意,必须要用户同意授权才会给客户应用颁发Access Token。
客户应用、授权服务、用户三者之间的交互流程如下:
- 客户应用请求授权服务器获取Access Token
- 授权服务器咨询用户意见
- 用户同意授权
- 授权服务器颁发Access Token 给 客户应用
OAuth 2.0标准化了Access Token的请求和响应部分,OAuth2.0的细节在RFC 6749(OAuth 2.0授权框架)中描述。参考网站
欢迎扫码关注微信公众号或 个人博客
OAuth2.0最简向导(多图预警)相关推荐
- oauth2 增加token 返回参数_一张图搞定OAuth2.0
公众号:低并发编程(dibingfa) 目录 1.引言 2.OAuth2.0是什么 3.OAuth2.0怎么写 1.引言 本篇文章是介绍OAuth2.0中最经典最常用的一种授权模式:授权码模式 非常简 ...
- 一张图搞定OAuth2.0
1.引言 本篇文章是介绍OAuth2.0中最经典最常用的一种授权模式:授权码模式 非常简单的一件事情,网上一堆神乎其神的讲解,让我不得不写一篇文章来终结它们. 一项新的技术,无非就是了解它是什么,为什 ...
- sso和oauth2.0的简单了解学习
sso,单点登录,single sign on 缩写.sso多用于多个应用之间的切换,例如百度论坛.百度知道.百度云.百度文库等,在其中一个系统中登录,(登录有效期内)切换到另一个系统的时候,不必再次 ...
- OAuth2.0 知多少
OAuth2.0 知多少 原文:OAuth2.0 知多少 1. 引言 周末逛简书,看了一篇写的极好的文章,点击大红心点赞,就直接给我跳转到登录界面了,原来点赞是需要登录的. 可是没有我并没有简书账号, ...
- 接口测试工具-Jmeter使用笔记(八:模拟OAuth2.0协议简化模式的请求)
背景 博主的主要工作是测试API,目前已经用Jmeter+Jenkins实现了项目中的接口自动化测试流程.但是马上要接手的项目,API应用的是OAuth2.0协议授权,并且采用的是简化模式(impli ...
- OAuth2.0实战
微信开发三大坑: 1.微信OAuth2.0授权 2.微信jssdk签名 3.微信支付签名 本篇先搞定微信OAuth2.0授权吧! 实际一旦了解微信的OAuth2.0,其他的也掌握了. 以简书的登陆页面 ...
- 从0到1 手把手搭建spring cloud alibaba 微服务大型应用框架(三) (mini-cloud) 搭建认证服务(认证/资源分离版) oauth2.0 (中)
本文承接上文<从0到1 手把手搭建spring cloud alibaba 微服务大型应用框架(三) (mini-cloud) 搭建认证服务(认证/资源分离版) oauth2.0 (上)> ...
- php对接AliGenie天猫精灵服务器控制智能硬件esp8266② 全面认识第三方授权机制 oauth2.0 协议,如何在 php 上搭建 oauth2.0服务端!(附带demo)
本系列博客学习由非官方人员 半颗心脏 潜心所力所写,仅仅做个人技术交流分享,不做任何商业用途.如有不对之处,请留言,本人及时更改. 1. php对接AliGenie天猫精灵服务器控制智能硬件esp82 ...
- 淘宝店铺商品管理解决方案-商品SKU信息获取和修改oAuth2.0接口接入解决方案
商品管理对接方案: 从店铺宝贝管理场景出发,提供涵盖了宝贝主图.标题.属性信息.详情页海报等各个模块高效处理/优化的功能.并通过提供批量修改.自动补库存.定时上架.库存预警等功能帮助商家提高店铺经营效 ...
最新文章
- 使用 Chrome DevTools 调试 JavaScript
- mysql插入ㄖ_原生JavaScript代码100个实例
- linux加密框架 crypto 算法管理 - 动态和静态算法管理
- ArrayList的使用
- J-LINK烧录bin文件
- win10电脑360调用不到JAVA,win7/win10系统360浏览器打不开原因及解决方法
- 6步解决win7局域网内传输慢的问题
- bzoj 1260涂色 题解
- 刻录服务器系统光盘,系统光盘制作
- 肝了一宿才收集的48个超炫酷的 CSS 文字特效,绝对值得收藏!!!
- 怎么使用百度更精准搜索?我来教你6个搜索引擎小技巧
- 机器学习之PQ量化算法
- java对接支付宝(四)-即时到账无秘退款
- 《程序员的自我修养》读书总结
- java环境安装及java编译
- 魔力宝贝 - 窗口分辨率修改
- Windows 11操作系统微软正式宣布推出
- 1162. 地图分析 BFS Dijkstra算法
- 二次开发QTYX量化系统—“飞龙在天”选股报告(20230201)
- 广州地区《程序员》杂志购买渠道告知