快速入门OAuth2

最新推荐文章于 2025-06-06 00:09:45 发布
最新推荐文章于 2025-06-06 00:09:45 发布
阅读量777 收藏 1
点赞数 1
CC 4.0 BY-SA版权
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64313980/article/details/128814371
OAuth2.0是一种授权框架,用于让第三方应用安全地访问用户数据。它涉及四个核心角色:资源所有者、资源服务器、客户端和授权服务器。授权流程包括客户端通过授权码向资源所有者请求令牌,然后使用令牌访问资源。生活中的例子,如使用支付宝登录淘宝,清晰展示了OAuth2.0的工作原理。OAuth2.0提供了四种授权方式:授权码、隐藏式、密码式和客户端凭证,适应不同场景的安全需求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 什么是OAuth2.0

OAuth2.0是目前使用非常广泛的授权机制,用于授权第三方应用获取用户的数据。

举例说明:

用户可以通过选择其他登录方式来使用gitee,这里就使用到了第三方认证。

来自RFC 6749

OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意
以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。

oauth2工作原理图:

举例:使用授权码方式来用支付宝登录淘宝

2. OAuth2中的角色

1. 资源所有者

能够授予对受保护资源的访问权限的实体,如果资源的所有者为个人,也被成为最终用户

1. 资源服务器

存储有受保护资源的服务器, 能够接受并验证访问令牌,并响应受保护资源的访问请求

1. 客户

需要被授权,然后再访问受保护资源的实体。客户这个术语,并不是特指应用程序,服务器,计算机

等。

1. 授权服务器

验证资源所有者并获取授权成功后,向客户发出访问令牌

3. 认证流程

RFC 6749 - The OAuth 2.0 Authorization Framework

4. 生活中的Oauth2思维

场景设置1:小王出差在外,为家中买了一台空调需要上门安装,小王的老爸老王在家,小王家是小王的

老婆做主,只用获得老婆的许可方能有进入家中。现在空调客服人员需要进到小王家中安装空调。设计

的流程如下:

客服人员发一个进门安装空调的的申请给小王

小王看到了服务人员的申请,在验证了客服人员的公司名称,工号等信息后,同意申请,并发给他

一个授权码

客服人员获取授权码之后,使用授权码去申请进门的令牌,申请发到小王的老婆那里,小王老婆在

验证了授权码之后给客服人员发了一个含有有效期为一天的令牌(小王的老婆可以查看到小王发的

原始验证码)

客服人员拿着令牌到小王家

老王在验证令牌有效后可客服人员进入客厅安装空调,但这个令牌不能进入其他房间。

一天后令牌会过期,如有需要则需要重新申请

上面的过程反应了OAuth2认证的典型流程,流程中的角色对应关系

客户 ---> 客服人员

资源所有者 ---> 小王

授权服务器 ---> 客厅

资源服务器 ---> 小王老婆

场景设置2:使用授权码方式登陆淘宝

第一步,进入淘宝登录页面,点击支付宝进行授权

(原理1:点击后,客户(淘宝)向资源所有者(我的支付宝账号)发送认证申请 需要返回授权码)

第二步,我用支付宝扫码后同意授权登录

(原理2:资源所有者(我的支付宝)同意授权(允许登录),返回一个授权码code给客户(淘宝))

从我们操作表面上看我们只能看见前面两步 然后就会直接登录成功 实际上oauth2在后台的步骤不止我们所见

并不是我们返回一个授权码给淘宝后就可以登录成功 还需要进行如下的步骤:

(原理3:客户(淘宝)拿着授权码code,d请求认证服务器(oauth2))

(原理4:认证服务器(oauth2)返回一个token令牌给客户(淘宝))

(原理5:客户(淘宝)拿到token令牌请求 资源服务器(支付宝的服务器))

(原理6:资源服务器(支付宝的服务器)同意客户(淘宝的登录请求))

第三步:登录成功

5. 令牌的特点

使用令牌方式的优点:

令牌又时效性,一般是短期的,且不能修改,密码一般是长期有效的令牌可以由颁发者撤销,且即时生效,密码一般可以不用修改而长期有效

令牌可以设定权限的范围,且使用者无法修改

在使用令牌时需要保证令牌的保密,令牌验证有效即可进入系统,不会再做其他的验证。

6. OAuth2授权方式

由于互联网有多种场景,OAuth2定义了四种获取令牌的方式,可以选择合适与自己的方式

授权码(authorization-code)

隐藏式(implicit)

密码式(password):

客户端凭证(client credentials)

6.1 授权码

第三方应用先申请一个授权码,然后再用该码获取令牌。

最常见的用法,安全性高,适合web应用。 授权码通过前端传送,令牌则是储存在后端,而且所有与资

源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。

流程如下:

1. 资源服务器提供一个链接,用户点击后就会跳转到认证服务器,授权用户数据给资源服务器使用,

资源服务器提供的连接的示例:

https://b.com/oauth/authorize?
response_type=code&
client_id=CLIENT_ID&
redirect_uri=CALLBACK_URL&
scope=read

redirect_uri=CALLBACK_URL, 认证服务器接受请求之后的调转连接,可以根据这个连接将生成

的code发送给资源服务器

scope=read,授权范围为只读

1. 页面跳转后,用户登录认证服务器,同意或拒绝资源服务器的授权请求,认证服务器根据上一步的

redirect_uri地址,将生成的授权码返回给资源服务器。

https://resouce.com/callback_url?code=AUTHORIZATION_CODE

code 返回的认证码

1. 客户拿到认证码之后,向认证服务器发给请求,申请令牌

client_id 资源服务器的身份ID

https://b.com/oauth/token?
client_id=CLIENT_ID&
client_secret=CLIENT_SECRET&
grant_type=authorization_code&
code=AUTHORIZATION_CODE&
redirect_uri=CALLBACK_URL

  • client_id 资源服务器的身份ID

  • client_secret=CLIENT_SECRET 安全参数,只能在后端发请求

  • grant_type=authorization_code 表示授权的方式为授权码

  • code=AUTHORIZATION_CODE 用来获取令牌的授权码

  • redirect_uri=CALLBACK_URL 令牌生成后的颁发地址

1. 认证服务器对授权码进行认证,通过后颁发令牌

{
"access_token":访问令牌,
"token_type":"bearer",
"expires_in":过期时间,
"refresh_token":"REFRESH_TOKEN",
"scope":"read",
"uid":用户ID,
"info":{...}
}

6.2 隐藏方式

隐藏方式合适的场景:

当web应用为纯前端应用没有后端,此时必须将令牌放在前端保存,省略了申请授权码的步骤。

1. 资源服务器提供连接,跳转到认证服务器,

https://b.com/oauth/authorize?
response_type=token&
client_id=CLIENT_ID&
redirect_uri=CALLBACK_URL&
scope=read

  • response_type=token 表示直接返回令牌

  • client_id=CLIENT_ID 客户的身份ID

  • redirect_uri=CALLBACK_URL 生成令牌后的回调地址

  • scope=read 授权范围,只读

1. 用户需要在认证服务器登录,并进行授权, 授权成功后会根据第一步提供的CALLBACK_URL地址

返回生成的token

https://a.com/callback#token=ACCESS_TOKEN

这种方式的特点:这种方式不安全,适用于对安全性不高的场景,令牌的有效期一般设置的比较短,通

常是会话期间有效,浏览器关闭令牌就时效了

6.3 密码方式

非常信任某个应用,将用户名和密码直接告诉应用,应用拿到用户名和密码后直接申请令牌

1. 资源服务器要求用户提供认证服务器的用户名和密码,拿到以后资源服务器向认证服务器申请令牌

https://oauth.b.com/token?
grant_type=password&
username=USERNAME&
password=PASSWORD&
client_id=CLIENT_ID

  • grant_type=password 认证方式

  • username=USERNAME 用户名

  • password=PASSWORD 密码

  • client_id=CLIENT_ID 客户id

1. 认证服务器验证身份通过后,直接在响应中发放令牌,资源服务器在响应中获取令牌。

6.4 凭证方式

这种方式适用于没有前端的命令行应用,通过命令行的方式请求令牌

1. 资源服务器使用命令行向认证服务器发送请求

https://oauth.b.com/token?
grant_type=client_credentials&
client_id=CLIENT_ID&
client_secret=CLIENT_SECRET

  • grant_type=client_credentials 凭证方式

  • client_id=CLIENT_ID 客户身份ID

  • client_secret=CLIENT_SECRET 认证码

该方式真对的是第三方应用,而不是用户,可以多个用户共享一个令牌

OAuth2.0入门图解
流楚丶格念的博客
07-22 2093
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。是一个标准,用来给第三方应用授权来访问当前用户存储在其他应用上的信息OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。httpshttps。.......
Golang OAuth2 完全指南:从入门到精通
Golang编程笔记的博客
05-12 830
随着微服务架构和第三方服务集成的普及,OAuth2成为分布式系统中实现授权和身份验证的事实标准。本文聚焦Golang生态,系统讲解OAuth2协议的四种核心授权模式(授权码模式、隐式模式、客户端凭证模式、资源拥有者密码模式),结合库的最佳实践,覆盖从基础入门到生产环境部署的全流程。核心概念:解析OAuth2角色、授权模式、令牌类型Golang实现:官方库深度用法,包含完整代码示例实战案例:构建带OAuth2登录的Web应用,处理令牌刷新安全与优化:防御CSRF、处理令牌泄露、性能调优生态工具。
oauth2快速入门教程
你听见花开的声音了吗
11-01 1028
快速启动 1 在项目中加入相关的依赖 需要 导入 易水公共组件 和 spring-security-oauth2-autoconfigure两个依赖 <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spring-...
OAuth 2.0 从入门到精通(才不会放弃呢!)
加入“Super Entity”,与全能开发团队共探AI智能体与数字人项目,开启前沿技术之旅。
06-06 947
OAuth 2.0 是一种广泛使用的开放授权协议,允许第三方应用在用户授权的情况下访问其受保护的资源,而无需用户共享密码。它在现代互联网应用中扮演着重要角色,例如第三方登录、API 授权访问等场景。本文将从 OAuth 2.0 的基本概念、核心角色、授权流程、四种授权模式、代码示例、应用场景、注意事项以及最佳实践等方面进行详细讲解,帮助读者全面掌握 OAuth 2.0 的使用方法。
oauth2学习
weixin_30902675的博客
07-19 475
oauth2 生词: 授权码模式(authorization code) 简化模式(implicit) 密码模式(resource owner password credentials) 客户端模式(client credentials) 问题: 分享目标:大致了解oauth的运行流程,及如何使用oauth(代码实现)。 oauth是什么? oauth是目前最流行的一套授权机制标准。 ...
OAuth 2.0基础入门学习
辰兮要努力
06-06 625
OAuth 2.0基础入门学习
OAuth 2.0系列教程
流浪天空
06-14 2545
OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。   OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这
基于 SpringBoot2.4-oauth2 最简单教程入门.pdf
12-29
这篇教程将带你走进SpringBoot2.4和Spring-cloud-oauth2的整合世界,帮助你快速搭建一个基于token校验的前后端分离的后端系统。 **1. OAuth2简介** OAuth2的核心是授权,它定义了四种不同的授权类型,旨在适应不同...
2025年最新Spring boot 入门教程-Oauth2.zip
最新发布
06-25
首先,标题中的“2025年最新Spring boot 入门教程-Oauth2.zip”指明了文档的主题是关于Spring Boot框架的入门教程,并且教程的侧重点是Oauth2,即OAuth 2.0认证授权框架的应用。 Spring Boot是基于Spring的一个框架...
OAuth 2实战代码库快速入门与实践
资源摘要信息:"《OAuth 2实战》代码.zip" 《OAuth 2实战》代码.zip 文件包可能包含与OAuth 2.0标准相关的示例代码、配置文件、客户端库、服务器端实现以及可能的测试用例。OAuth 2.0 是一个开放标准的授权协议,...
使用OAuth2简单教程.pdf
05-22
使用OAuth2简单教程,在web项目中使用OAuth2 作为身份验证
oauth2入门及介绍
霜之哀伤
10-09 2610
OAuth的思路 OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。“客户端"不能直接登录"服务提供商”,只能登录授权层,以此将用户与客户端区分开来。"客户端"登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。 "客户端"登录授权层以后,"服务提供商"根据令牌的权限范围和有效期,向"客...
OAuth2图文快速入门
菜鸟逆袭之路
08-04 382
OAuth2系列
OAuth2入门
weixin_66202611的博客
02-01 924
OAuth2.0是目前使用非常广泛的授权机制,用于授权第三方应用获取用户的数据。用户可以通过选择其他登录方式来使用gitee,这里就使用到了第三方认证。OAuth引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。......资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。
OAuth2基础篇
Alan0517
04-19 693
OAuth协议为用户资源的授权提供了一个安全又简易的标准。与以往的授权方式不同之处是 OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 OAuth是安全的。OAuth是 Open Authorization的简写OAuth本身不存在一个标准的实现,后端开发者自己根据实际的需求和标准的规定实现。第三方(客户端)要求用户给予授权用户同意授权根据上一步获得的授权,第三方向认证服务器请求令牌( token)
【权限】OAuth2入门
这太Imba了
01-15 280
什么是OAuth2 一、定义 OAuth2是开放授权的一个标准,旨在让用户允许第三方应用去访问用户在某服务器中特定的私有资源,而可以不提供在某服务器的账号密码给到第三方应用。 OAuth2可以分为四个角色: Resource Owner:资源所有者 类似用户 Resource Server:资源服务器 保存/提供用户的私有资源信息的服务器 Client:第三方应用客户端 想获取用户私有资源信息的应用 Authorication Server:授权服务器,管理前三者的中间层 OAuth2解决问题的关键在于使用
OAuth2学习
weixin_43751271的博客
11-16 2941
OAuth2 OAuth2是什么 目前最流行的授权协议,用来授权第三方应用,获得用户数据。 授权模式 OAuth2的特点 Cookie Session 和 Token的区别 cookie不能跨域,前后端分离分布式架构实现多系统SSO非常困难 移动端应用没有cookie,所以对移动端支持不好 token基于header传递,部分解决了CSRF攻击 token要比sessionID大,客户端存储在了Local Storage中,可以直接被JS读取 基于token的分布式方案 OAuth2的使用 t31项
还不了解Oauth2协议?这篇文章从入门到入土让你了解Oauth2以及Spring Security OAuth2 的使用
落雪
05-27 1910
SpringSecurityOAuth2学习和实战 1.OAuth2概述 1.1 什么是OAuth2 OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方 应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他 们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版。 协议特点: 简单:不管是OAuth服务提供者还是应用开发者,都很易于理解与使用; 安全:没有涉及到用户密钥等信
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值