认证学习6 - Oauth2认证讲解、代码实现、演示

最新推荐文章于 2025-06-10 09:14:46 发布
最新推荐文章于 2025-06-10 09:14:46 发布
阅读量1.8k 收藏 3
点赞数 4
CC 4.0 BY-SA版权
分类专栏: Java 认证 文章标签: java 认证 oauth2 代码实现 演示
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39651356/article/details/126925848

文章目录



认证大全(想学习其他认证,请到此链接查看)

Oauth2认证 - 授权委托协议

讲解(Oauth2认证)

概述

参考视频: https://www.youtube.com/watch?v=T0h6A-M_WmI

参考书籍(有时间强烈建议去看一下通俗易懂而且有demo,不过不是java的而是nodejs版本): https://pan.baidu.com/s/1pPjgdWv-elnncb-Ckx7QZw?pwd=00dh === 提取码:00dh == OAuth2实战

官方定义规范文章(建议看=整体细节): https://datatracker.ietf.org/doc/rfc6749/
官方定义规范文章(建议看=Bearer令牌细节): https://datatracker.ietf.org/doc/rfc6750/

第三方网站的Oauth2的对接规范(微博-不想看官方直接看具体网站如何对接也大差不差): https://open.weibo.com/wiki/%E6%8E%88%E6%9D%83%E6%9C%BA%E5%88%B6

第三方网站的Oauth2的对接规范(码云-不想看官方直接看具体网站如何对接也大差不差): https://gitee.com/api/v5/oauth_doc#/

第三方网站的Oauth2的对接规范(Github-不想看官方直接看具体网站如何对接也大差不差): https://docs.github.com/cn/developers/apps/building-oauth-apps/authorizing-oauth-apps

作用: 用户A授权委托网站B(拿到用户A在网站C的令牌)可以使用用户A在网站C的信息 == 委托协议、跨系统授权的方案的标准

在这里插入图片描述

角色身份
角色身份
角色身份
用户A授权网站B可以使用用户A在网站C的信息==上图所示
资源所有(拥有)者:用户A(浏览器使用者)
服务提供商(资源服务器以及授权服务器==受保护资源):网站C == 一般是需多人熟知的一个站点(比如Github、Gittee、QQ等)
客户端(第三方应用=访问受保护资源的应用):网站B == 一般是仅少数人熟知的站点(比如个人网站)
授权所需信息(网站C提前定义)
应用名称:网站B
应用网站:网站C的地址
回调地址(URL):网站C认证成功后,自动跳转到网站B的哪个地址
客户端标识(client_id):网站C分配给网站B的标识ID
客户端密钥(client_secret):网站C分配给网站B进行加密的密钥
授予客⼾端的访问权
隐式授权没有
授权信息(令牌里面的内容含义由授权服务器自己规定)
access_token:客户端网站B用于访问网站C API的访问令牌 == 客户端无需知道令牌代表的具体内容
refresh_token:客户端网站B持有的访问令牌过期,用此刷新令牌向网站C获取新的访问令牌access_token
令牌相关的字段(客户端服务器持有并维护,用户无感知)
access_token:客户端访问资源服务器需要携带的令牌
expires_in:访问令牌的过期时间
token_type:访问令牌的使用方式
refresh_token:刷新令牌,用于由于访问令牌过期向授权服务器申请新的令牌而无需重新授权,如果刷新令牌也过期则需重新授权
expires_in_refresh:刷新令牌的过期时间,一般比expires_in大

在这里插入图片描述

在这里插入图片描述


官方RFC定义的Oauth2认证流程
在这里插入图片描述


官方RFC定义的Oauth2认证流程 == 结合访问token以及刷新token
在这里插入图片描述


微博Oauth2认证流程
在这里插入图片描述


码云Oauth2认证流程
在这里插入图片描述

客户端网站B利用reg刷新持有的网站C的access_token令牌(此过程无需用户参与)
在这里插入图片描述

授权(获取令牌)方式
建议,流程最严谨
Resource Owner Password Credentials Grant
Implicit Grant
Client Credentials Grant
方式
授权码方式
密码模式:遗留项目使用
简化模式:web浏览器设计
客户端模式:后台API服务消费设计
网站B给网站C的参数描述
response_type必须,授权方式:code(授权码类型)
client_id必须,网站B在网站C的客户端标识
redirect_uri可选,一般要求跟当时在网站C填写的回调地址一样
scope可选,请求资源范围,即需要申请的token需要什么权限
state可选,随机数

授权码授予(Authorization Code Grant)- 需浏览器用户、客户端、授权服务器三方参与

access_token: 网站C认证成功后,重定向到网站B的时候时会在url中携带过来code,然后网站B在服务器后台根据code,访问网站C的api获取用户的access_token

准则: 利用授权码或者刷新令牌获取访问令牌时,一旦校验错误,返回错误信息的响应报文,无论出于什么原因,授权服务器都必须将涉及到的授权码、刷新令牌信息删除,如授权码正确但是客户端ID错误、刷新令牌正确但客户端密钥错误的情况。
涉及令牌的信息==【由客户端持有、维护,用户无感知】
access_token:访问令牌,客户端用于访问资源服务器的资源
expires_in:访问令牌的过期时间
token_type:告知客户端请求资源时如何使用访问令牌
refresh_token:刷新令牌。访问令牌过期时则使用该令牌向授权服务器获取新的访问令牌
expires_in_refresh:刷新令牌的过期时间,时间长度一般比访问令牌的过期时间长

更详细的流程图-来自RFC文档协议图
在这里插入图片描述


更详细的流程图-来自书籍
在这里插入图片描述

隐式(简化)授予(Implicit Grant)- 需浏览器用户、客户端、授权服务器三方参与

access_token: 网站C认证成功后,重定向到网站B的时候时会在url中携带过来access_token
涉及令牌的信息==【由客户端持有、维护,用户无感知】
access_token:访问令牌,客户端用于访问资源服务器的资源
expires_in:访问令牌的过期时间
token_type:告知客户端请求资源时如何使用访问令牌

在这里插入图片描述

密码授予(Resource Owner Password Credentials Grant)- 需浏览器用户、客户端、授权服务器三方参与

access_token: 用户在网站B填入网站C的账户、密码信息,网站B使用网站C的API进行账号、密码校验,校验通过则返回用户的access_token
涉及令牌的信息==【由客户端持有、维护,用户无感知】
access_token:访问令牌,客户端用于访问资源服务器的资源
expires_in:访问令牌的过期时间
token_type:告知客户端请求资源时如何使用访问令牌
refresh_token:刷新令牌。访问令牌过期时则使用该令牌向授权服务器获取新的访问令牌
expires_in_refresh:刷新令牌的过期时间,时间长度一般比访问令牌的过期时间长

在这里插入图片描述

客户端授予(Client Credentials Grant)- 仅客户端、授权服务器两方参与(无浏览器用户参与)

access_token: 其实依然是密码授予模式,比如使用BasicAuth、DigestAuth,依然需要用户提供网站C的账户、密码信息
涉及令牌的信息==【由客户端持有、维护,用户无感知】
access_token:访问令牌,客户端用于访问资源服务器的资源
expires_in:访问令牌的过期时间
token_type:告知客户端请求资源时如何使用访问令牌

在这里插入图片描述

额外功能:客户端应用可自行注册到授权服务器(API接口方式)

背景: 无需用户、开发者干预,开发者事先对接好授权服务器的注册接口即可,程序启动部署自动注册

简易视图

在这里插入图片描述

参数信息
字段名字段值描述
redirect_uris⼀个URI字符串数组,在基于重定向的OAuth许可类型中使⽤,⽐如authorization_code 和implicit
token_endpoint_auth_method客⼾端在令牌端点上进⾏⾝份认证的⽅式
none客⼾端不在令牌端点上进身份认证,可能是因为客户端不使用令牌端点,或者使用令牌端点但它是公开客户端
client_secret_basic客户端使⽤HTTP Basic发送其客户端密钥。如果不指定且已为客户端颁发了密钥,则默认为此值
client_secret_post客⼾端使⽤表单参数发送客⼾端密钥
client_secret_jwt客户端会创建一个用客户端密钥进行对称签名的JSON Web令牌(JWT)
private_key_jwt客户端会创建一个用客户端私钥进行非对称签名的JSON Web令牌(JWT)。客户端需要在授权服务器上注册自己的公钥
grant_types客户端获取令牌所使用的许可类型。该字段使用的值与令牌端点上grant_type 参数使用的值相同
authorization_code授权码许可,客户端将资源拥有者引导至授权端点,获取授权码,然后将授权码发回⾄令牌端点。需要对应使⽤的response_type 为“code”
implicit隐式许可,客⼾端将资源拥有者引导⾄授权端点,直接获取令牌。需要对应使⽤的response_type 为“token”
password资源拥有者密码许可,客户端向资源拥有者索取他们的用户名和密码,用于在令牌端点上换取令牌
client_credentials客户端凭据许可,客户端使用自己的凭据获取令牌
refresh_token刷新令牌许可,在资源拥有者不在场的情况下,客户端使用刷新令牌获取新的访问令牌
urn:ietf:params:oauth:grant-type:jwt-bearerJWT断言许可,客户端通过出示带有特定声明的JWT来获取令牌
urn:ietf:params:oauth:grant-type:saml2-bearerSAML断言许可,客户端通过出示带有特定声明的SAML文档来获取令牌
response_types客户端使用的授权端点响应类型。该字段使用的值与response_type 参数使用的值相同
code授权码响应类型,该类型会返回授权码,该授权码会被传递至令牌端点用于获取令牌
token隐式响应类型,该类型会直接向重定向URI 返回令牌
client_name可读的客⼾端显⽰名称
client_uri指向客⼾端主⻚⾯的URI
logo_uri客户端图形标志的URI。授权服务器可以使用该URI向用户展示客户端的标志,但需要注意的是,获取图片URI资源可能会给用户带来安全和隐私方面的问题
scope客⼾端请求令牌时所有可⽤的权限范围。它的值是以空格分隔的字符串,与OAuth协议中的同名字段⼀样
contacts客⼾端负责⼈员的联系⽅式列表。通常是电⼦邮箱地址,但也可能是电话号码,即时通信地址或者其他联系⽅式
tos_uri⼀个可读⻚⾯的URI,该⻚⾯列出了客⼾端服务条款。这些条款描述了资源拥有者对客⼾端授权时要接受的契约关系
policy_uri⼀个可读⻚⾯的URI,该⻚⾯包含客⼾端的隐私策略。该策略描述了部署客⼾端的机构如何搜集、使⽤、保留以及公开资源拥有者的个⼈数据,包括通过授权API获取的数据
jwks_uri⼀个指向JSON Web密钥集合的URI,该密钥集合包含此客⼾端的公钥,可被授权服务器访问。该字段不能与jwks ⼀起使⽤。优先使⽤jwks_uri 字段,因为它能让客⼾端轮换密钥
jwks⼀个JSON Web密钥集合⽂档(JSON对象),包含此客⼾端的公钥。该字段不能与jwks_uri ⼀起使⽤。优先使⽤jwks_uri 字段,因为它能让客⼾端轮换密钥
software_id客⼾端软件的唯⼀标识符。该标识符在同⼀个客⼾端软件的所有实例上都是相同的
software_versionsoftware_id 字段所标识的客⼾端软件的版本标识。版本字符串对授权服务器是不透明的,也不会假设它具有特定格式
安全准则
安全整改1 - 严格遵守规则
保障授权服务器
1. 授权码使⽤⼀次之后将其销毁
2. 精确匹配的重定向URI校验 == 不要为了方便支持子域名、子路径因为多少都会有点漏洞
3. 留意在进⾏错误提⽰的过程中,信息有可能通过URI⽚段或者Referrer 头部遭泄露
令牌规则
1. 尽量使用https协议而不是http协议
2. 令牌默认权限范围设置尽量保守,需要更大的权限,客户端自行使用刷新token进行提权
3. 授权服务器的令牌持久化存储不要存明文
4. 令牌⽣命周期不宜过长
5. PKCE可⽤于提⾼授权码的安全性(看下面的流程图即可-很简单)
安全整改2 - 流程优化(PKCE)

讲解: code_challenge_method标识code_challenge、code_verifier校验关系,比如说code_challenge_method=sha-256,则授权服务器是校验 sha256(code_challenge) 与 code_verifier 是否一致,一致才给客户端生成令牌。当然code_challenge、code_verifier可以是一样,比对是否一致也行,主要看你校验策略
code_challenge_method值设置
sha256:sha256(code_challenge) 、code_verifier 两者是否一致
plain:code_challenge、code_verifier 两者是否一致

在这里插入图片描述

在这里插入图片描述

代码实现

oauth第三方客户端(类比csdn端(因为支持第三方登录-微信扫码登录)): https://gitee.com/changenen/oauth-client-project

oauth授权端、以及保护资源端(类比微信端): https://gitee.com/changenen/oauth-client-project

注意: 本demo只是实现oauth常用的一些功能,虽然看起来不难但是实现起来也是花了不少心血。更高级的功能比如自定义授权权限,客户端自行注册到授权服务器,pkce校验是否都没在代码中实现,如果有兴趣可自行参考前面说的《oauth2实战》书籍进行增强编写即可

oauth-client-project
关键部分

在这里插入图片描述

oauth-resource-project
关键部分

在这里插入图片描述

在这里插入图片描述

演示

在这里插入图片描述

OAuth2.0实现过程
DaZhi_boy的博客
07-14 556
第一步:请求三方登录传递client_id,response_type,redirect_url 第二步:获取请求信息:client_id=earth,redirect_uri=http://127.0.0.1:8080/client-web/user/agreelogin,response_type=code 第三步:用户在统一登录平台登录成功:username=superman,passwo
Spring Authorization Server:实现OAuth2认证服务
m0_64132144的博客
11-13 1674
Spring Authorization Server是一个安全框架,它提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关的实现。Spring Authorization Server是在Spring Security的基础上构建的,它为构建OAuth2授权服务和OpenID Connect 1.0身份提供者提供了一个安全、轻量级、可定制的基础。OAuth2协议定义了一系列关于认证授权的标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。
Oauth2.0 实现代码
03-03
Spring-security-oauth2.0实现
oauth2密码方式的登录如何用java代码实现_一张图搞定OAuth2.0-授权码模式
weixin_39743423的博客
11-26 722
1、引言本篇文章是介绍OAuth2.0中最经典最常用的一种授权模式:授权码模式非常简单的一件事情,网上一堆神乎其神的讲解,让我不得不写一篇文章来终结它们。一项新的技术,无非就是了解它是什么,为什么,怎么用。至于为什么,本篇文章不做重点探讨,网上会有各种文章举各种什么丢钥匙、发船票的例子供你去阅读,个人认为还是有些哗众取宠,没有聊到本质。那我们就重点聊聊OAuth2.0是什么,怎么用。但首先在读本文...
OAuth2 学习 之 四种认证方式
最新发布
zxguan 的博客
06-10 492
OAuth2定义了四种认证方式,适用于不同场景:1) 密码模式,适用于内部系统,用户直接提供凭证换取令牌;2) 简化模式,适用于单页应用,直接返回访问令牌但安全性较低;3) 客户端模式,适用于服务间通信,仅需客户端凭证;4) 授权码模式,适用于Web应用,通过授权码交换令牌,安全性最高。每种模式在客户端认证、用户凭证认证及安全性方面存在差异,开发者需根据具体场景选择合适的授权方式。授权码模式因其高安全性成为推荐方案。
完整Oauth 2.0实现实例
03-06
完整Oauth 2.0 代码实现,包含数据库脚本,使用说明,导入数据库脚本,修改数据库配置可直接运行。
spring-security-oauth2代码实现
架构师的成长之路的博客
03-04 1265
spring-security-oauth2代码实现代码地址https://github.com/csy512889371/learndemo/tree/master/ctoedu-oauth如何使用需要认证的项目中 引入上面项目的pom <dependency> <groupId>cn.ctoedu</groupId> ...
Spring Boot项目中实现OAuth2客户端模式(Client Credentials Grant Type
lucky_love816的博客
09-13 2172
创建一个实现了ClientDetailsService接口的服务类,用于加载客户端详情。
Spring Cloud入门-Oauth2授权之基于JWT完成单点登录(Hoxton版本)
2401_84435700的博客
04-21 919
修改oauth2-jwt-server模块中的AuthorizationServerConfig类,将绑定的跳转路径为。启动oauth2-client服务和oauth2-jwt-server服务;// 配置redirect_uri,用于授权成功后的跳转。// 配置redirect_uri,用于授权成功后的跳转。// 获取密钥需要身份认证,使用单点登录时必须配置。// 配置grant_type,表示授权类型。// 配置grant_type,表示授权类型。// 配置client_secret。
gateway oauth2 对称加密_Spring Security OAuth2 实现 使用JWT-不想当码农的程序员
weixin_39788386的博客
12-22 748
回过头来说一下资源服务 器的问题点吧,这里OAuth2+JWT用的是springsecurity ,具体怎么用springsecurity 搭建资源服务 器我就不说了。这里要讨论的问题是这样的,我们希望在spring mvc中,直接通过如下的形式获得登录用户信息@GetMapping("/me") public Authentication me(OAuth2Authentication...1、...
网络认证_OAuth10_python实现_通用库_1741403060.zip
03-10
教程可能会通过具体的代码示例来演示整个认证过程,同时着重讲解各环节的关键点以及可能出现的安全隐患和应对措施。 最后,教程中提供的"python-oauth2-master"子文件夹则是一个完整的示例项目,它可能包含了实现...
Oauth2实现java
07-01
oauth本身不是技术,而是一项资源授权协议,重点是协议!Apache基金会提供了针对Javaoauth封装。我们做Java web项目想要实现oauth协议进行资源授权访问,直接使用该封装就可以。
Javaoauth2.0 服务端与客户端的实现 (完整源码、demo)
10-01
Javaoauth2.0 服务端与客户端的实现.zip 封装了oauth2.0的基本架构和实现,对照我的博客http://blog.csdn.net/jing12062011/article/details/78147306使用该源码。 下载项目压缩包,解压,里面两个maven项目:oauthserver和oauthclient01,分别对应oauth服务端和客户端。 服务端对应的数据库sql文件在源码压缩包里可以看到。 两个项目分别用8082端口(服务端端口)和8081端口(客户端端口)部署并启动。 输入客户端地址:http://localhost:8081/oauthclient01/index,点击到服务端请求资源,就可以得到服务端的资源。
java实现oauth2.0服务端+客户端(含JWT
12-15
基于MAVEN+OLTU开源代码实现javaOauth2.0前后端,数据加密使用MD5。
OAuth2代码实例
06-30
OAuth2代码实例,maven项目,加入eclipse可以直接运行。
OAuth2.0代码演示
qq_63531917的博客
02-01 253
首先打开开发工具,然后打开其中的pom.xml文件然后修改Maven地址。
在Spring Boot中实现OAuth2.0认证
微赚开发者技术分享博客
07-26 1362
配置 OAuth2.0 客户端、设置 Spring Security 的 OAuth2.0 配置、创建控制器和视图都是实现这一认证流程的关键步骤。OAuth2.0 是一种用于授权的协议,它使得用户可以授权第三方应用程序访问他们在某服务提供商上的资源,而无需共享他们的凭据。在这个视图中,我们创建了一个登录链接,当用户点击时会重定向到 Google 的登录页面。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!现在,可以运行 Spring Boot 应用程序,并在浏览器中访问。
java实现OAuth2流程
04-24
还在烦恼OAuth2技术只依赖boot吗?我提供了纯java技术实现OAuth2的全部实现,含客户端和服务端的完整解决方案。
PHP SDK实现QQ登录及OAuth2认证教程演示
### 知识点概述 本知识点将以“PHP SDK QQ登录API接口(含演示)”为主题,详尽...从OAuth 2.0协议基础到SDK的使用,再到演示应用的创建和安全注意事项,希望能对开发者在实现QQ登录功能时提供有价值的参考和帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值