OAuth2.0 授权的工作原理
作者:Barret李靖
链接:https://www.zhihu.com/question/19781476/answer/81020455
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
本文将以用户使用 github 登录网站留言为例,简述 OAuth 2.0 的运作流程。
假如我有一个网站,你是我网站上的访客,看了文章想留言表示「朕已阅」,留言时发现有这个网站的帐号才能够留言,此时给了你两个选择:一个是在我的网站上注册拥有一个新账户,然后用注册的用户名来留言;一个是使用 github 帐号登录,使用你的 github 用户名来留言。前者你觉得过于繁琐,于是惯性地点击了 github 登录按钮,此时 OAuth 认证流程就开始了。
需要明确的是,即使用户刚登录过 github,我的网站也不可能向 github 发一个什么请求便能够拿到访客信息,这显然是不安全的。就算用户允许你获取他在 github 上的信息,github 为了保障用户信息安全,也不会让你随意获取。所以操作之前,我的网站与 github 之间需要要有一个协商。
## 1. 网站和 Github 之间的协商
Github 会对用户的权限做分类,比如读取仓库信息的权限、写入仓库的权限、读取用户信息的权限、修改用户信息的权限等等。如果我想获取用户的信息,Github 会要求我,先在它的平台上注册一个应用,在申请的时候标明需要获取用户信息的哪些权限,用多少就申请多少,并且在申请的时候填写你的网站域名,Github 只允许在这个域名中获取用户信息。
此时我的网站已经和 Github 之间达成了共识,Github 也给我发了两张门票,一张门票叫做 Client Id,另一张门票叫做 Client Secret。
## 2. 用户和 Github 之间的协商
用户进入我的网站,点击 github 登录按钮的时候,我的网站会把上面拿到的 Client Id 交给用户,让他进入到 Github 的授权页面,Github 看到了用户手中的门票,就知道这是我的网站让他过来的,于是它就把我的网站想要获取的权限摆出来,并询问用户是否允许我获取这些权限。
// 用户登录 github,协商 GET https://github.com/login/oauth/authorize// 协商凭证 params = {client_id: "xxxx",redirect_uri: "http://my-website.com" }
如果用户觉得我的网站要的权限太多,或者压根就不想我知道他这些信息,选择了拒绝的话,整个 OAuth 2.0 的认证就结束了,认证也以失败告终。如果用户觉得 OK,在授权页面点击了确认授权后,页面会跳转到我预先设定的 `redirect_uri` 并附带一个盖了章的门票 code。
// 协商成功后带着盖了章的 code Location: http://my-website.com?code=xxx
这个时候,用户和 Github 之间的协商就已经完成,Github 也会在自己的系统中记录这次协商,表示该用户已经允许在我的网站访问上直接操作和使用他的部分资源。
## 3. 告诉 Github 我的网站要来拜访了
第二步中,我们已经拿到了盖过章的门票 code,但这个 code 只能表明,用户允许我的网站从 github 上获取该用户的数据,如果我直接拿这个 code 去 github 访问数据一定会被拒绝,因为任何人都可以持有 code,github 并不知道 code 持有方就是我本人。
还记得之前申请应用的时候 github 给我的两张门票么,Client Id 在上一步中已经用过了,接下来轮到另一张门票 Client Secret。
// 网站和 github 之间的协商 POST https://github.com/login/oauth/access_token// 协商凭证包括 github 给用户盖的章和 github 发给我的门票 params = {code: "xxx",client_id: "xxx",client_secret: "xxx",redirect_uri: "http://my-website.com" }
拿着用户盖过章的 code 和能够标识个人身份的 client_id、client_secret 去拜访 github,拿到最后的绿卡 access_token。
// 拿到最后的绿卡 response = {access_token: "e72e16c7e42f292c6912e7710c838347ae178b4a"scope: "user,gist"token_type: "bearer",refresh_token: "xxxx" }
## 4. 用户开始使用 github 帐号在我的页面上留言
// 访问用户数据 GET https://api.github.com/user ?access_token=e72e16c7e42f292c6912e7710c838347ae178b4a
上一步 github 已经把最后的绿卡 access_token 给我了,通过 github 提供的 API 加绿卡就能够访问用户的信息了,能获取用户的哪些权限在 response 中也给了明确的说明,scope 为 user 和 gist,也就是只能获取 user 组和 gist 组两个小组的权限,user 组中就包含了用户的名字和邮箱等信息了。
// 告诉我用户的名字和邮箱 response = {username: "barretlee",email: "barret.china@gmail.com" }
整个 OAuth2 流程在这里也基本完成了,文章中的表述很粗糙,比如 access_token 这个绿卡是有过期时间的,如果过期了需要使用 refresh_token 重新签证。重点是让读者理解整个流程,细节部分可以阅读 [RFC6749 文档](RFC Reader - An online reader for IETF RFCs)。
转载于:https://www.cnblogs.com/520playboy/p/7282673.html
OAuth2.0 授权的工作原理相关推荐
- OAuth2.0授权码模式原理与实战
OAuth2.0是目前比较流行的一种开源授权协议,可以用来授权第三方应用,允许在不将用户名和密码提供给第三方应用的情况下获取一定的用户资源,目前很多网站或APP基于微信或QQ的第三方登录方式都是基于O ...
- Java微信公众平台开发(十六)--微信网页授权(OAuth2.0授权)获取用户基本信息
转自:http://www.cuiyongzhi.com/post/78.html 好长时间没有写文章了,主要是最近的工作和生活上的事情比较多而且繁琐,其实到现在我依然还是感觉有些迷茫,最后还是决定静 ...
- SinaWeibo Oauth2.0授权问题
本文讲的是如何通过Oauth2.0对第三方APP授权,Oauth2.0的授权流程,原理的这里就不介绍了,百度搜就有了. 这里主要讲的是怎么在自己的APP中添加代码,获取access token. 第一 ...
- 新浪微博Oauth2.0授权认证及SDK、API的使用(Android)
---------------------------------------------------------------------------------------------- [版权申明 ...
- OAuth2.0授权登录
OAuth2.0授权登录 最近工作中遇到了多系统间的授权登录,对OAuth2.0进行了学习研究,并总结备忘. [场景] 我们登录一些论坛等网站的时候,如果不想单独注册该网站账号,可以选择用微信或QQ账 ...
- 微信公众平台OAuth2.0授权
2019独角兽企业重金招聘Python工程师标准>>> 微信公众平台OAuth2.0授权详细步骤如下: 1. 用户关注微信公众账号. 2. 微信公众账号提供用户请求授权页面URL. ...
- 微信企业号OAuth2.0授权-Java
为什么80%的码农都做不了架构师?>>> 我也是醉了,中午做个饭这么难吃!连自己都看不下去了!怀着沉重的心情把微信企业号OAuth2.0授权看了看,感觉与公众号差别没什么,相信 ...
- java 32位授权码_Java实现OAuth2.0授权码方式
Java实现OAuth2.0授权码方式 前面介绍了OAuth2.0和授权方式,可以参考以下文章: 今天就用Java来验证OAuth2.0授权方式的授权码式,我们Spring Cloud的OAuth来实 ...
- OAuth2.0授权码模式学习
OAuth2.0授权码模式学习 四种授权方式 1,授权码模式 2,简化模式 3,密码模式 4,客户端模式 授权码模式 四种授权模式中最完成,最严密的授权. (1)用户访问客户端,后者将前者导入认证服务 ...
最新文章
- 计算机书籍-机器学习导论(原书第2版)
- java condition详解_Java使用Condition控制线程通信的方法实例详解
- 【EventBus】发布-订阅模式 ( Android 中使用 发布-订阅模式 进行通信 )
- 信息系统项目管理师教材【下载PDF】
- 今天,我要用“数”,向你表白。
- lightroom 闪退_UP加速器闪退怎么办 UP加速器闪退解决方法
- ITK:多路输出相同类型的
- ThreadLocal介绍以及源码分析
- SAP CRM WebClient UI和CRM Fiori Account里显示Opportunity逻辑
- 取得程序运行的目录[360度]
- 生成base64二维码带logo
- 新萝卜家园GhostXp Sp3电脑城装机极致版2012.08
- RFID入门学习(三次更改)
- 微信小程序组件间传值
- 【自动升级后的错误】如何停止腾讯会议自动升级
- 第三方登录:QQ登录接入指南
- 洛谷 2184 贪婪大陆
- Vue3 + TS(一)- 邂逅Vue
- 《Three.js 开发指南》源码示例说明以及在线demo(原书第二版)附第三版的代码下载
- 【数据库与SQL】力扣刷题SQL篇(7)
热门文章
- CNN结构:Windows使用FasterRCNN-C++版本
- 设计模式(C++实现)--一句话总结
- python版本及ML库
- MySQL绿色版 官网下载+安装(win7)
- MVC Razor模板引擎 @RenderBody、@RenderPage、@RenderSection及Html.RenderPartial、Html.RenderAction...
- IBM挺进云计算 自家内采用私有云模式
- 为什么又要造一个叫 Latke 的轮子
- Lucene系列:(9)搜索结果排序
- javascript 比量str今天的日期是,参数diff
- PHP高性能输出UNICODE正则汉字列表 汉字转拼音多音字解决方案 搜索引擎分词细胞词库更新 搜狗词库提取TXT...