我是通過點點網了解到oauth2.0的,點點網關於oauth的介紹是:oauth 2.0是在2023年設計的oauth協議的下乙個版本, 2.0版本更注重於客戶端開發的簡易性,同時給web,桌面,移動等平台給予支援,它是基於oauth wrap開放的一套安全認證的流程。
a:客戶端發起授權請求
b:資源的擁有者返回允許授權的應答
c:客戶端向授權伺服器發出認證授權的請求
d:認證通過,授權伺服器會返回乙個包含access token的應答,該應答中應包含access token
e:客戶端根據d中得到的access token向資源伺服器傳送訪問請求
f:資源伺服器返回資源。
以上只是個人的簡單理解,只做參考。
關於oauth 2.0的認證流程,根據官方的說法,總共有4種:
這是基於網頁的授權方式。客戶端在請求驗證前,需要先將瀏覽器跳轉到使用者授權頁面,使用者在登陸並確認授權後將瀏覽器redirect到獲得clientid是註冊的**位址。這個位址中包含乙個code引數。使用者根據該引數請求伺服器獲得access token。
該認證授權流程包含了中的所有步驟。
這是一種適合js等網頁語言使用的認證方式,這種認證方式比較簡單,值包含中的a、b、c和d幾個步驟。首先將頁面引導至使用者授權頁面,使用者授權後直接跳轉到**位址,並將access token作為位址引數傳遞給頁面,方便指令碼語言(js)的訪問。
這是一種比較大的信任授權方式,前提條件是使用者對你的應用有絕對的信任,願意在你的應用(client)中輸入自己的使用者名稱和密碼。客戶端通過使用者名稱和密碼進行驗證,並得到access token。由於這種方式需要使用者的絕對信任,並且需要客戶端程式開發人員有比較強的自律和職業操守,所以這種方式經常不被推薦。
對於不需要使用者登陸就可以訪問的資源,可以通過這種方式進行授權。這種授權方式只包含c、d、e和f幾個步驟。
正常情況下,我們在獲得了access token後就可以對受保護的資源進行訪問。但是 access token的宣告週期比較短(通常為10分鐘),當access token到期後,我們可以通過使用refresh token重新獲得access token。
每乙個refresh token可以使用一次,在重新獲得access token時,refresh token 也會被重新獲得。
開放平台 OAuth2 0
1 oauth1.0對手機客戶端,移動裝置等非server第三方的支援不好。其實oauth1.0也是可以支援手機客戶端,移動裝置等,也有相應的流程。但是oauth1.0是將多種流程合併成了一種,而事實證明,這種合併的流程體驗性非常差 2 oauth1.0的三步認證過程比較繁瑣和複雜,對第三方開發者增...
開放平台 OAuth2 0
1 oauth1.0對手機客戶端,移動裝置等非server第三方的支援不好。其實oauth1.0也是可以支援手機客戶端,移動裝置等,也有相應的流程。但是oauth1.0是將多種流程合併成了一種,而事實證明,這種合併的流程體驗性非常差 2 oauth1.0的三步認證過程比較繁瑣和複雜,對第三方開發者增...
關於OAUTH2 0的極品好文
web serverflow是把oauth1.0的三個步驟縮略為兩個步驟 首先這個是適合有server的第三方使用的。1客戶端http請求authorize 2服務端接收到authorize請求,返回使用者登陸框頁面 3使用者在客戶端登陸 4伺服器端將瀏覽器定位到callbackurl,並同時傳遞a...