OAuth2.0最简向导(多图预警)

举报
JAVA日知录 发表于 2022/04/16 01:33:26 2022/04/16
【摘要】 OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 这个标准比较抽象,使用了很多术语,初学者不容易理解。本文从最小数据单元开始一步一步揭开OAuth 2.0的神秘面纱,希望大家...

OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 这个标准比较抽象,使用了很多术语,初学者不容易理解。本文从最小数据单元开始一步一步揭开OAuth 2.0的神秘面纱,希望大家看完本文都能知道OAuth 2.0到底是什么?

原文:https://medium.com/@darutk/the-simplest-guide-to-oauth-2-0-8c71bd9a15bb
作者:Takahiko Kawasaki(川崎高彦)

首先,得有一些用户的数据。
file

然后,我们需要一个服务器来管理这些用户的数据,我们称之为“资源服务器”
file

这时候有个第三方应用想要访问用户的数据,我们把这第三方应用称之为“客户应用”
file

这时候我们给资源服务器按个门暴露用户数据,这个门我们称之为“API”
file

客户应用可以通过API访问用户的数据,资源服务器负责返回用户数据。
file

这时候来了个恶意的客户应用,它也想要获取用户数据拿去获利。由于我们没给API加上权限校验,所以恶意的客户应用也可以获取用户数据。
file

我们迫切需要一种机制来保护用户数据,业界实践是提前给客户应用颁发一个Access Token,它表示客户应用被授权可以访问用户数据。
file

客户应用请求资源服务器获取用户数据时,在请求里带上Access Token 参数,资源服务器取出请求中的Access Token并校验Access Token确认客户应用有访问用户数据的权限 。
file

校验通过后资源服务器返回用户数据
file

由于该机制工作的前提是:必须提前给客户应用颁发Access Token,所以这时候我们又需要一个颁发Access Token的角色,我们把这个负责颁发Access Token的角色称之为授权服务器
file

暂停一下,我们来看看黑板

  • 授权服务器负责生成Access Token, 并将Access Token 颁发给客户应用
  • 客户应用带上Access Token 去访问用户数据
  • 资源服务器负责从请求里取出AccessToken,校验Access Token是否具有访问用户的权限,如果有则返回客户数据。

客户应用、授权服务器、资源服务器之间的关系如下
file

上面流程中第一步是授权服务器生成Access Token ,在真实流程中,在颁发Token给客户应用之前需要先征询用户的同意,必须要用户同意授权才会给客户应用颁发Access Token。
客户应用、授权服务、用户三者之间的交互流程如下:

  1. 客户应用请求授权服务器获取Access Token
  2. 授权服务器咨询用户意见
  3. 用户同意授权
  4. 授权服务器颁发Access Token 给 客户应用

file

OAuth 2.0标准化了Access Token的请求和响应部分,OAuth2.0的细节在RFC 6749(OAuth 2.0授权框架)中描述。参考网站
file

欢迎扫码关注微信公众号或 个人博客

文章来源: jianzh5.blog.csdn.net,作者:飘渺Jam,版权归原作者所有,如需转载,请联系作者。

原文链接:jianzh5.blog.csdn.net/article/details/103832063

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。