OAuth 2.0详解

已于 2025-05-13 14:46:05 修改
阅读量546 收藏 8
点赞数 8
分类专栏: # 安全认证鉴权 文章标签: java
于 2025-05-13 14:44:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fireworkit/article/details/147924282
版权

OAuth 2.0 是一种主流的授权框架(Authorization Framework),用于让第三方应用安全地访问用户资源,而无需直接暴露用户的账号密码。

一、OAuth2.0 是什么?

OAuth2.0 是一个**“授权”标准协议**,主要用于:

  • 第三方应用 以用户身份安全访问资源
  • 用户可以授权而 无需泄露密码
  • 常用于 Web、移动应用、IoT 的登录与授权

二、角色介绍

角色说明
Resource Owner资源拥有者(比如用户本人)
Client第三方应用程序(比如小红书、微信小程序)
Authorization Server授权服务器,颁发访问令牌(access_token)
Resource Server资源服务器,受保护资源的提供者(比如用户的照片、订单信息等)

三、核心流程图

[User]
  ↓ 登录授权
[Authorization Server] <-- Client_ID 验证 --> [Client App]
  ↓
返回授权码 / 令牌
  ↓
[Client] 用 Token 调接口 --> [Resource Server] 返回数据

四、四种授权模式(Grant Types)

1. 授权码模式(Authorization Code)最常用

场景:微信公众号登录、支付宝授权
步骤:
- 浏览器重定向到授权页,用户同意授权
- 返回 code,后端换取 access_token

2. 简化模式(Implicit) 不推荐

场景:前端应用(token 直接返回)
安全性差,逐渐淘汰

3. 密码模式(Resource Owner Password Credentials) 不推荐

场景:用户把用户名密码直接交给 Client(高信任)
现在已不推荐使用

4. 客户端模式(Client Credentials) 第三方系统之间调用

场景:系统对系统,比如 A 服务访问 B 服务 API
步骤:使用 client_id + client_secret 获取 token

🧪 五、access_token 和 refresh_token

Token 类型说明
access_token访问接口时必须带上的授权令牌,具有有效期
refresh_token用于在 access_token 失效后刷新新 token
expires_intoken 有效期,单位为秒

🔧 六、接口示例(客户端模式)

请求 Token:

POST /oauth/token
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials
client_id=client123
client_secret=secret456

返回结果:

{
  "access_token": "abc123xyz",
  "token_type": "Bearer",
  "expires_in": 3600,
  "scope": "read"
}

使用 Token 调用 API:

GET /user/profile
Authorization: Bearer abc123xyz

🔐 七、OAuth2.0 的优势

  • 不暴露用户密码
  • 可设定访问范围(Scope)
  • 支持 Token 刷新和失效机制
  • 支持多种授权方式适配不同场景

八、常见应用场景

场景使用模式
第三方登录(微信、微博)授权码模式
企业系统之间接口对接客户端模式
移动端登录 + Token 鉴权授权码 + Token
内部系统跳转用户免登录单点登录(SSO)

九、常用 Java OAuth2 实现

技术栈描述
Spring Authorization ServerSpring 官方 OAuth2 Server
Spring Security OAuth(旧)已弃用,不推荐
Sa-Token OAuth2Java 国人开发,轻量级 OAuth2 实现
SpringSecurity进阶:OAuth2.0详解
Java圈全能架构师的博客
02-01 874
OAuth2是什么? OAuth是一个为了方便用户登入而使用的授权流程,他的优点是不需要向第三方平台暴露我们的用户名和密码,而是使用授权服务器颁发短期的token和效验token的方式开放部分资源给第三方平台 OAuth是一个授权协议不是认证协议 OAuth2的授权方式 授权方式第一种: 授权码 (最安全使用最多的方式) 这种方式合适存在后端平台 存在这么一个资源(扣扣头像)和资源拥有者(扣扣号主), 现在喝了么(假设需要授权的平台)需要获取扣扣人头像。 那么现在...
什么是OAuth2.0
s041109的博客
05-23 802
目录 前言 1.所以什么是OAuth2.0呢? 举例说明 2. OAuth2中的角色 3. 认证流程 前言 OAuth是Open Authorization的简写。 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。 同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。 1.所以什么是OAuth2.0呢? OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1
一文搞懂OAuth2.0
沈洋的博客
06-05 1390
2.此时该游戏APP后台会请求授权服务器(附上回调URL),游戏界面会跳转到微信授权页面,提示你需要向该游戏授权你的个人信息,例如用户昵称,手机号,好友信息等(这些其实就是需要做授权保护的资源)。2.此时该网页会请求授权服务器(附上回调URL),跳转到微信授权页面,提示你需要向该游戏授权你的个人信息,例如用户昵称,手机号,好友信息等(这些其实就是需要做授权保护的资源)。4.微信的授权服务器将通过调用请求中的回调URL,直接向该游戏颁发一个令牌(与授权码模式不同,此处直接给令牌,而非授权码)
OAuth2.0详解
最新发布
跟佟格码路一起学习计算机知识吧~
04-16 2119
OAuth是一种广泛使用的授权框架,允许第三方应用程序在用户授权的情况下访问用户在某个服务上的资源,而无需共享用户的凭据(如用户名和密码)。
OAuth 2.0
xzy的博客
10-12 1895
第一步,A 应用在命令行向 B 发出请求。上面 URL 中,
带你全面了解 OAuth2.0
zhaoshuangjian
06-05 461
带你全面了解 OAuth2.0
学会 OAuth2.0 授权登录,10 张图就够了
竹林幽深
02-10 1407
https://mp.weixin.qq.com/s/emMpEaLLU3SyO7_X2JAUHQ
基于Django2.1.2OAuth2.0授权登录
04-15
**基于Django 2.1.2OAuth2.0授权登录详解** OAuth2.0是一种开放标准,用于授权第三方应用访问用户存储在另一服务提供商(如社交媒体网站)上的私有资源,而无需共享用户的登录凭证。在Django框架中实现OAuth2.0...
OAuth2.0授权标准详解OAuth2.0四种授权模式详解
热门推荐
秃了也弱了
05-10 1万+
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。
微信企业OAuth2.0验证接口设计思路
10-29
微信企业OAuth2.0验证接口设计思路
oauth2.0详解
05-31
OAuth 2.0的核心思想是,第三方应用程序从授权服务器获取一个访问令牌,该令牌代表了用户已经授权了第三方应用程序访问他们的资源。第三方应用程序可以使用这个访问令牌来访问用户的资源。 OAuth 2.0定义了四种...
OAuth 2.0 最简向导图文教程,一目了然
怀揣梦想,一颗执着于技术的心从未磨灭,内心住着一颗顽强的小强时刻提醒自己层层突破自我,同时也成就他人
02-16 1054
逐步深入,用最简单的展示方式,讲解最难理解的权限调用关系及技术实现原理
SpringSecurity学习(八)OAuth2.0、授权服务器、资源服务器、JWT令牌的使用
Huathy的博客
03-18 4917
OAuth2协议、授权服务器搭建、资源服务器搭建、JWT令牌的使用
【鉴权】OAuth 2.0: 高度灵活与安全的身份认证框架
人生苦短,睡觉要紧,睡醒再说
11-05 1817
OAuth 2.0不仅允许第三方应用在不访问用户密码的前提下安全地访问用户在其他平台上的资源(如社交媒体账户或云存储),还通过灵活的授权模式满足了不同应用场景的需求。无论是Web应用、移动端应用还是桌面客户端,OAuth 2.0都为开发者提供了一个高效、可靠的解决方案。在本篇文章中,我们将深入分析OAuth 2.0的核心概念、授权流程、常见授权模式以及其在实际开发中的应用,帮助开发者全面理解这一授权机制的优势与实现方法。
OAuth 和 SSO 场景中的 URL 语法解析
孔乙己的博客
07-12 1389
OAuth 2.0 和 SSO 是现代 web 和移动应用中广泛使用的认证和授权框架。本文详细解析了 URL 的各个部分和参数,并通过示例说明了如何构建授权请求 URL。在实际应用中,开发者应根据具体需求和 API 提供者的文档,灵活构建和调整这些请求,以满足业务需求和安全要求。在 OAuth 和 SSO (Single Sign-On) 场景中,URL 是一个关键组件,用于在客户端和服务器之间传递认证请求和响应。:用户在浏览器中访问上述 URL 后,服务器显示一个授权页面,用户同意应用访问请求的权限。
OAuth 2.0 Bearer Token Profile Vs MAC Token Profile
zzhongcy的专栏
04-17 2996
Almost all the implementation I see today are based on OAuth 2.0 Bearer Token Profile. Of course its an RFC proposed standard today. OAuth 2.0 Bearer Token profile brings a simplified scheme for
【全栈开发指南】OAuth2授权获取token调试接口的方式
全栈程序猿的专栏
07-07 9383
在我们实际应用接口的调用调试过程中,需要用到token或者刷新token,GitEgg支持OAuth2.0协议进行认证授权,这里介绍说明如何通过Postman获取token和refresh_token并进行接口调试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

思静鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值