oauth2基本概念

1.什么是oauth2

  1. OAuth2.0介绍 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。
  2. OAuth协议:https://tools.ietf.org/html/rfc6749 协议特点:简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及到用户密钥等信息,更安全更灵活; 开放:任何服务提供商都可以实现OAuth,任何软件开发商都可以使用OAuth;

2.为什么用oauth2

业务系统 需要实现几种登录形式
  1. 原生app授权 app登录请求后台接口,为了安全认证,所有请求都带token信息,如果登录验证、 请求后台数据。
  2. 前后端分离单页面应用:前后端分离框架,前端请求后台数据,需要进行oauth2安全认证,比如 使用vue、react后者h5开发的app
  3. 第三方应用授权登录,比如QQ,微博,微信的授权登录。

3.怎么用oauth2

4.oauth中的角色

OAuth 定义了四个角色:

4.1 Resource owner 资源拥有者(用户)

能够授予对受保护资源的访问权限的实体。当资源所有者是一个人时,它被称为最终用户

Resource Server 资源服务器

托管受保护资源的服务器,能够使用访问令牌接受和响应受保护资源请求

Client 客户端

代表资源所有者并经其授权发出受保护资源请求的应用程序。“客户”一词确实 不暗示任何特定的实现特征(例如, 应用程序是否在服务器、桌面或其他 设备上执行)。

Authorization server 授权服务器

服务器在成功 验证资源所有者并获得授权后向客户端颁发访问令牌。授权服务器和资源服务器之间的交互超出了本规范的范围。授权服务器 可以是与资源服务器相同的服务器,也可以是单独的实体。 单个授权服务器可以发布多个资源服务器接受的访问令牌。

5.认证流程参考

oauth2基本概念_第1张图片

6.Oauth2 的四种认证模式的流程

6.1 Authorization Code (授权码模式)

应用场景

这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏

流程

oauth2基本概念_第2张图片
1:用户访问页面
2:访问的页面将请求重定向到认证服务器
3:认证服务器向用户展示授权页面,等待用户授权
4:用户授权,认证服务器生成一个code和带上client_id发送给应用服务器
然后,应用服务器拿到code,并用client_id去后台查询对应的client_secret
5:将code、client_id、client_secret传给认证服务器换取access_token和
refresh_token
6:将access_token和refresh_token传给应用服务器
7:验证token,访问真正的资源页面

6.2 Resource Owner Password Credentials Grant(密码模式)

应用场景

如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)

流程

oauth2基本概念_第3张图片
1:用户访问用页面时,输入第三方认证所需要的信息(QQ/微信账号密码)
2:应用页面那种这个信息去认证服务器授权
3:认证服务器授权通过,拿到token,访问真正的资源页面

6.3 Implicit Grant (隐式授权模式)

应用场景

有些 Web 应用是纯前端应用,没有后端。这时就不能用上面的方式了,必须将令牌储存在前端。RFC 6749 就规定了第二种方式,允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)“隐藏式”(implicit)

流程

oauth2基本概念_第4张图片

1:用户访问页面时,重定向到认证服务器。
2:认证服务器给用户一个认证页面,等待用户授权。
3:用户授权,认证服务器想应用页面返回Token
4:验证Token,访问真正的资源页面

6.4 Client Credentials Grant (客户端凭证模式)

应用场景

适用于没有前端的命令行应用,即在命令行下请求令牌

流程

oauth2基本概念_第5张图片
1:用户访问应用客户端
2:通过客户端定义的验证方法,拿到token,无需授权
3:访问资源服务器A
4:拿到一次token就可以畅通无阻的访问其他的资源页面
如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)

7 刷新token原理

oauth2基本概念_第6张图片

你可能感兴趣的:(java,springboot,springclud,alibaba,java)