OAuth介绍及实现(上)

最新推荐文章于 2024-03-30 22:00:00 发布
最新推荐文章于 2024-03-30 22:00:00 发布
阅读量484 收藏 1
点赞数
分类专栏: 新兴技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaofeng1234/article/details/87795794
版权

1. OAuth 2.0 原理介绍

1.1 OAuth 2.0 概述

        OAuth(开放授权) 是一个正式的互联网标准协议,OAuth 2.0 是它的后续版本,主要用于解决无需用户提供用户名和密码时,第三方应用程序能够获取用户存储在服务器提供商那里的某些数据(头像、用户名等)。例如,常用的使用微信、QQ或微博账号登录其他网站等情形。OAuth允许用户提供一个令牌(Token)给第三方网站,一个令牌对应一个特定的网站,同时该令牌只能在特定的时间内访问特定的资源

授权请求A
令牌请求 B
资源请求C
同意授权D
授予Token E
给予资源F
第三方网站
用户
授权服务器发放Token
资源服务器
  • C和D可以在同一个服务器上
  • 令牌有时效性和有效性,用户可以手动管理Token的有效性
1.2 OAuth 几种授权模式

  • 授权码模式

            后台服务器与服务提供商的服务器进行互动来获取Token,这个过程不通过用户的浏览器,是最安全的一种方法。

  • 简化模式

        没有授权流程中的C/D步骤,而是用户浏览器通过资源服务器发送的代码提取token,并直接发送给第三方应用程序。

  • 密码模式

        用户必须把密码给客户端,但是客户端不得存储密码,通常用于用户对客户端高度信任的情况下。比如客户端是操作系统的一部分,或者是由一个著名公司出品的产品,而认证服务器也只有在其他模式无法执行的情况下才考虑这种模式。

  • 客户端模式

        用户直接向客户端注册,客户端以自己的名义要求服务提供商提供服务,这其实不存在授权的问题。

1.3 OAuth 授权码模式

        授权码模式是功能最完整、流程最严密的授权模式;简化模式不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,条狗了"授权码"这个步骤;密码模式需要用户向客户端提供自己的用户名和密码;客户端以自己的名义而不是以用户的名义向“服务提供商”进行认证。后几种模式都是授权码模式的简化版,我们这里着重讲解授权码模式。

2. 使用Python编写简单的基本功能

        前面已经提到,OAuth 2.0 授权是一个三方协作的过程,为了进一步简化编码的难度,我们将第三方应用、授权服务器和资源服务器都集成在一台主机上面(也就是我们的个人编码电脑)的Flask程序上。当然,现实中是没有人这么做的,因为只要域名一致,网站就可以同村Cookie存取账号和密码信息以实现登录。不过,在这里,我们故意不存储Cookie信息,以模拟整个OAuth 2.0 的流程。这小节我们着重讲解授权服务器、资源服务器和客户端程序(第三方应用)的编码。

        本小节内容,包含以下两点知识:

  • 实现重定向机制
  • 实现授权码机制
  1. 服务端代码 app.py
#! /usr/bin/env python
# -*- coding: utf-8 -*-
'''
    Created on 2019年2月20日
    @author: 杨现 成都天府机场建设指挥部
'''

import base64,random,time
from flask import Flask,request,redirect

# 定义APP应用
app =Flask(__name__)

# 定义用户名和密码
users={
    "yangxian":["123456"]
}

auth_code={  
}

# 生成token的函数,自定义一种token的格式
def gen_token(uid):
    token=base64.b64encode(':'.join([str(uid), str(random.random()),str(time.time() + 7200)]))
    users[uid].append(token)
    return token

# 验证Token的有效性
def verify_token(token):
    _token=base64.b64decode(token)   # 解密token
    if not users.get(_token.split(':')[0])[-1]==token:
        return -1
    if float(_token.split(':')[-1]) >= time.time():
        return 1
    else:
        return 0
    
# 定义路由,即访问uri为:"http://localhost:5000/index"
# 5000是flask的默认端口
@app.route('/index',methods=['POST','GET'])
def index():
    print(request.headers)
    return 'hello'

# 登录时,如果用户名和密码匹配,则生成令牌
@app.route('/login',methods=['POST','GET'])
def login():
    ori_use=request.headers['Authorization'].split(' ')[-1]
    uid,pwd=bytes.decode(base64.b64decode(ori_use)).split(':')
    if users.get(uid)[0]==pwd:  # 如果用于的第一个密码等于此密码
        return gen_token(uid)
    else:
        return 'error'

@app.route('/test',methods=['POST','GET'])
def test():
    token=request.args.get('token')
    if verify_token(token)==1:
        return 'data'   # 返回数据,即资源管理服务器的功能
    else:
        return 'error'  # 返回错误信息

# 客户端登录的逻辑
"""
   /client/login  相当于第三方网站
   /oauth         相当于授权方,只是这里写到一起了,为了方便
"""
@app.route('/client/login',methods=['POST','GET'])
def client_login():
    uri="http://localhost:5000/oauth"
    return redirect(uri)

# token发放机制
@app.route('/oauth',methods=['POST','GET'])
def oauth():
    # 授权码的发放
    if request.args.get('code'):
        # 如果授权码的对应的uri请求中的uri,则为其用户生成令牌
        if auth_code.get(int(request.args.get('code')))==request.args.get('redirect_uti'):
            return gen_token(request.args.get('client_id'))
    return "please login"

# 生成授权码方法
def gen_code(uri):
    code=random.randint(0,10000)
    auth_code[code]=uri   # 授权码对应的uri
    return code  

if __name__=="__main__":
    app.run(debug=True)
  1. 用户端代码 request_t.py
#! /usr/bin/env python
# -*- coding: utf-8 -*-
'''
    Created on 2019年2月20日
    @author: 杨现 成都天府机场建设指挥部
'''

import requests
r=requests.get('http://127.0.0.1:5000/client/login',auth=('yangxian','123456'))
# print(r.text)
print(r.history)   # 可以显示重定向的情况

3. 使用Flask实现简单的OAuth 2.0授权服务器

  • 整合并优化之前的代码
  • 讲解Requests 验证结果的步骤
  • 启动服务器,并通过Requests进行验证
  1. 服务端代码 app.py (在上一节的代码中添加了部分代码)
#! /usr/bin/env python
# -*- coding: utf-8 -*-
'''
    Created on 2019年2月20日
    @author: Lenovo
'''

import base64,random,time
from flask import Flask,request,redirect

# 定义APP应用
app =Flask(__name__)

# 定义用户名和密码
users={
    "yangxian":["123456"]
}

client_id='123456'
users[client_id]=[]
auth_code={ }
oauth_redirect_uri=[]
redirect_uri="http://localhost:5000/client/passport"

# 生成token的函数,自定义一种token的格式
def gen_token(uid):
    token=base64.b64encode(':'.join([str(uid), str(random.random()),str(time.time() + 7200)]))
    users[uid].append(token)
    return token

# 验证Token的有效性
def verify_token(token):
    _token=base64.b64decode(token)   # 解密token
    if not users.get(_token.split(':')[0])[-1]==token:
        return -1
    if float(_token.split(':')[-1]) >= time.time():
        return 1
    else:
        return 0
    

# 定义路由,即访问uri为:"http://localhost:5000/index"
# 5000是flask的默认端口
@app.route('/index',methods=['POST','GET'])
def index():
    print(request.headers)
    return 'hello'


# 登录时,如果用户名和密码匹配,则生成令牌
@app.route('/login',methods=['POST','GET'])
def login():
    ori_use=request.headers['Authorization'].split(' ')[-1]
    uid,pwd=bytes.decode(base64.b64decode(ori_use)).split(':')
    if users.get(uid)[0]==pwd:  # 如果用于的第一个密码等于此密码
        return gen_token(uid)
    else:
        return 'error'


@app.route('/test',methods=['POST','GET'])
def test():
    token=request.args.get('token')
    if verify_token(token)==1:
        return 'data'   # 返回数据,即资源管理服务器的功能
    else:
        return 'error'  # 返回错误信息


# 客户端登录的逻辑
"""
   /client/login  相当于第三方网站
   /oauth         相当于授权方,只是这里写到一起了,为了方便
"""
@app.route('/client/login',methods=['POST','GET'])
def client_login():
    uri="http://localhost:5000/oauth?response_type=code&client_id=%s&redirect_uri=%s"%(client_id,redirect_uri)
    return redirect(uri)

# token发放机制
@app.route('/oauth',methods=['POST','GET'])
def oauth():
    # 授权码的发放
    if request.args.get('code'):
        # 如果授权码的对应的uri请求中的uri,则为其用户生成令牌
        if auth_code.get(int(request.args.get('code')))==request.args.get('redirect_uti'):
            return gen_token(request.args.get('client_id'))
    if request.args.get('user'):
        if users.get(request.args.get('user'))[0]==request.args.get('pw') and oauth_redirect_uri:
            uri=oauth_redirect_uri[0]+'?code=%s' %gen_code(oauth_redirect_uri[0])
            return redirect(uri)
    if request.args.get('redirect_uri'):
        oauth_redirect_uri.append(request.args.get('redirect_uri'))
    return "please login"



@app.route('/client/passport',methods=['POST','GET'])
def client_passport():
    code=request.args.get('code')
    uri='http://localhost:5000/oauth?grant_type=authorization_code&code=%s&redirect_uri=%s&client_id=%s'%(code,client_id)
    return redirect(uri)

# 生成授权码方法
def gen_code(uri):
    code=random.randint(0,10000)
    auth_code[code]=uri   # 授权码对应的uri
    return code  


if __name__=="__main__":
    app.run(debug=True)
  1. 客户端代码
#! /usr/bin/env python
# -*- coding: utf-8 -*-
'''
    Created on 2019年2月20日
    @author: Lenovo
'''

import requests

r=requests.get("http://localhost:5000/client/login")
print(r.text)
print('======================')
print(r.history)
print('======================')
print(r.url)
print('======================')
uri_login=r.url.split('?')[0]='?user=yangxian&pw=123456'
r2=requests.get(uri_login)
print(r2.text)
print(r2.history)
print('======================')
r=requests.get("http://127.0.0.1:5000/test",params={'token':r2.text})
print(r.text)

4. 总结

        本课程我们学习了OAuth 2.0的一种实现方式,我们应当掌握以下知识:

  • 清楚OAuth 2.0 协议的内容
  • 掌握Flask重定向的操作
  • 掌握OAuth 2.0 协议中的授权码模式

如果想继续提高,请参考《OAuth介绍及实现(上)》的内容。

作者信息

作者信息
本部分内容参考自极客学院网络视频课程!

OAuth2.0中的安全漏洞及避免方法:使用OAuth2.01.0B协议实现
AI天才研究院
07-14 2433
作者:禅与计算机程序设计艺术 什么是 OAuth2.0? OAuth(Open Authorization)是一个开放授权标准协议,它允许第三方应用访问用户在某些网站上存储的私密信息,如照片、邮箱、联系方式等。OAuth 是建立在Oauth Core 1.0协议规范之上的一个子协议,该
Oauth2简介
苍穹尘的博客
05-24 7455
一、简介  oAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是: oAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 oAuth 是安全的。 二、应用场景  我们假设你有一个“云笔记”产品,并提供了“云笔记服务”和“云相册服务”,此时用户需要在不同的设备(PC、A...
oauth具体实现
weixin_34329187的博客
09-18 96
  Accout-api 1、利用freeAccount用户体系登录 http://<free-account-url>/login.jsp?customId=<customId>&handleUrl=<handleUrl>  handleUrl说明:第三方自己定义回跳url,用来登录成功后的转向 2、利用freeAccount注册(类...
OAuth实现流程
goutinga的博客
03-21 237
(A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获取资源。 (F)资源服务器确认令牌无误,同意向客户端开放资源。 ...
OAuth(开放授权)介绍
m0_54187478的博客
11-30 570
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商上的信息,而无需将用户名和密码直接暴露给第三方应用。这个过程提供了一种安全的授权方式,常用于允许用户让第三方应用访问例如邮箱、存储空间、联系人列表等服务,而不需要将自己的登录凭证提供给第三方应用。
OAuth的简单介绍
Pcccy的博客
05-29 1648
目录1.OAuth是什么?个人见解:简称单点登录,OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准,在这种标准下允许用户让第三方应用访问该用户在某一网站上存储的私密的资源数据,不需要将用户名和密码提供给第三方应用,非常的便捷。OAuth是Open Authorization的简写可分为四个对象: 客户端得到许可后从资源服务器中获取需要登陆的资源拥有者的个人信息
Spring Security OAuth2 实现登录互踢的示例代码
08-19
本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例代码,通过示例代码详细介绍了如何实现用户单一终端的唯一性登录。 OAuth2 是一种身份验证协议,通过将客户端、资源服务器和授权服务器分离,实现了灵活...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 概述 Spring Security Oauth2.0 是一个基于 Spring ...
鉴权 OAuth 2.0的实现(Spring_Security_Oauth2)
qq_25156781的博客
01-28 3771
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
基于Spring Security的Oauth2授权实现方法
08-25
首先,从标题和描述中可以看出,这篇文章主要介绍了基于Spring Security的Oauth2授权实现方法,通过示例代码进行详细的介绍,对大家的学习或者工作具有一定的参考学习价值。 从标签中我们可以看到,Spring Security...
完整Oauth 2.0实现实例
03-06
完整Oauth 2.0 代码实现,包含数据库脚本,使用说明,导入数据库脚本,修改数据库配置可直接运行。
OAuth2.0授权系统实现单点登录
01-13
实现OAuth2授权,并且实现单点登录的小例子,请使用vs2015打开
OAuth 简介
weixin_40270125的博客
05-19 1万+
OAuth是一个在不提供用户名和密码的情况下,授权第三方应用访问Web资源的安全协议。 常用的应用 OAuth 的场景,一般是某个网站想要获取一个用户在第三方网站中的某些资源和服务。比如在人人网上,想要导入用户MSN里的好友,在没有OAuth时,可能需要用户向人人网提供MSN用户名和密码。这种做法使得人人网会持有用户的MSN账户和密码,虽然人人网承诺持有密码后的安全,但这其实扩大了攻击面,用户也...
OAuth简介
qq_33535433的博客
10-26 560
OAuth是什么 OAuth协议致力于使网站和应用程序(统称为消费方)能够在无须用户透露其认证证书的情况下,通过API访问某个web服务(统称为服务提供方)的受保护资源。更一般地说,OAuth为API认证提供了一个可自由实现且通用的方法。 一个典型的例子是某打印服务提供商printer.example.com(消费方),希望在无须用户提供其照片存储站点密码的情况下,访问用户储存在
OAuth2.0详细介绍与实践(通俗易懂)
热门推荐
cV展示的学习园
11-07 5万+
Oauth2.0详细介绍及其实践
OAuth2.0 实现单点登录
qq15035899256的博客
03-17 3万+
本文是对OAuth2.0的学习,了解了它的4种授权方式,学会了如何搭建验证服务器,使用 postman对四种模式作了接口测试。并且学会了资源服务器实现单点登录的两种方式,也成功解决了远程调用时没有携带 token 的问题。最后也学会了使用 JWT 存储 Token,大大提高了安全性。
OAuth2.0 实现单点登录(四种授权方式)
最新发布
qq_52066082的博客
03-30 4765
OAuth2.0 实现单点登录(四种授权方式)
学成在线-第16天-讲义- Spring Security Oauth2 JWT二
qq_40208605的博客
02-07 416
2用户认证技术方案2.1单点登录技术方案分布式系统要实现单点登录,通常将认证系统独立抽取出来,并且将用户身份信息存储在单独的存储介质,比如:MySQL、Redis,考虑性能要求,通常存储在Redis中,如下图:单点登录的特点是:1、认证系统为独立的系统。2、各子系统通过Http或其它协议与认证系统通信,完成用户认证。3、用户身份信息存储在Redis集群。Java中有很多用户认证...
OAuth认证实现机制及单点登录原理
李昊轩的博客
02-27 6713
OAuth认证 OAuth认证是为了做到第三方应用在未获取到用户敏感信息(如:账号密码、用户PIN等)的情况下,能让用户授权予他来访问开放平台(主要访问平台中的资源服务器Resource Server)中的资源接口。 其流程主要是: 用户首先要保持登录,即已认证通过的状态 第三方应用请求用户授权(我理解是弹出一个显示的操作界面让用户确认给第三方授权) 用户授权成功之后会向Authori...
OAuth2.0认证实现工具 DotNetOpenAuth全套dll介绍
在.NET开发环境中,DotNetOpenAuth 是一个流行的库,它为.NET开发者提供了实现OAuth 2.0协议的工具。DotNetOpenAuth 4.3.4版本是该库的一个稳定版本,它提供了以下核心功能: 1. 提供了一个简单而强大的API,允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值