• OAuth2.0


    OAuth2.0是一个安全的授权协议,可以为开放平台解决身份验证及授权的需求。很多开放平台都使用这种方式来提供OPEN API。

    值得一提的是,OAuth2.0不兼容OAuth,等于OAuth已经GG了。

    主要参考:

    https://cloud.tencent.com/developer/news/229775

    https://blog.csdn.net/sky786905664/article/details/52134585

    http://wiki.connect.qq.com/

    OAuth2.0的理论基础

    关键在于用户同意授权

    比如B是提供open api的QQ,A是第三方客户端sf.gg(思否网站),A想要做QQ登录的功能,A和B互不信任,B要保证自己的信息安全不泄露给A,怎么做?理论上是无法做到的,因为B无论提供什么数据,都有可能被A保存。但是,假如我是B的用户,我在登录A网站的时候,我同意A网站获取我在B网站的数据,这时候B就没有理由拒绝A网站获取我在B网站的数据了,因为是身为B网站信息所有者的我同意了,你没有理由拒绝。这时候再加上B网站在提供open api的时候控制信息的提供范围,比如只提供用户在B网站保存的昵称而不提供密码,这样,开放平台的授权,实现OAuth2.0协议,是可能的。

    OAuth2.0的四种模式

    四种模式,在四种不同的场景下使用不同的模式实现认证授权。OAuth2.0为这四种场景分别给出了四种解决方案,称之为四种模式,分别为:授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials)

    你不必纠结于这些没听过的名词,知道有这么个东西就行了。接下来将先介绍四种场景再介绍四种模式,一些文章直接先介绍模式再介绍使用的场景显然是本末倒置的,肯定是现有问题出现,然后才有的解决方案。

    1、第三方Web服务器端应用与第三方原生App

    这种场合是开放平台常用的场合:open api的提供者不信任一切的客户端。open api的提供者并不信任客户端应用。如果A网站想要调用B提供的open api,那A网站必须在B的平台上备案,备案成功了,B给A网站一个应用编号id和密钥key。在然后A网站就可以做B网站的第三方登录了。

    假设B网站是QQ,用户访问A网站时,看到A网站提供了QQ登录功能,点击了QQ登录,这时候跳转到了QQ提供的第三方登录页面(请注意这个页面是QQ的并不是A网站的),这个QQ登录页面可以输入QQ的账号密码,输入成功,代表你同意了A网站获取你的信息(这个信息的开放范围由QQ控制,一般不会太多),然后这个QQ登录页面又会跳转到A网站,同时给A网站一个code值(这个code代表了你同意A网站获取你在QQ上的信息),然后A网站使用在QQ上备案过的id和密钥key,再加上刚才给A网站的code值,用这三个参数,去换取token值,获取token值之后,A网站就可以使用token值来请求你在QQ上的数据信息了。

    我们分析下这个过程。A网站在QQ上备案过了,获取到了id和密钥key(密钥key要绝对保密不能泄露,而id却是可以公示的),用户在A网站点击“使用的QQ登录”时,A网站使用自己的id向QQ发起请求转到QQ授权登录页面,当用户在QQ的授权登录页面输入了账号密码同意A网站获取信息,并且返回了code值,这个code值,QQ是知道提供给了哪个网站的,并且也知道这个code值对应了哪一个用户。然后转到了A网站。这时A网站再使用id、code值和绝对保密只有自己知道的key,就可以获取token。就算非法分子拿到了id和code(这两个值在页面跳转连接中会作为url参数所以对所有人是透明的),不知道key,也无法非法获取用户信息。

    其中的code值便是授权码,这便是——授权码模式。

    2、第三方单页面应用

    上面的第一种情形,要求A网站必须拥有服务器,这样才能保存key值和发送请求获取token。但是对于一些纯展示的网站只有html+css+js,是行不通的。

    这时候就要简化授权码模式,称为简化模式。简化模式应用比较少并且简单,就带过了。

    3、第一方单页应用与第一方原生App

    open api的开发本就是为自己的APP或者应用提供接口,就可使用密码模式。

    我觉得密码模式和开放平台都没关系了,就是为自己的应用写接口,就是一个应用(或者是分布式应用)。假如你有一个app名字叫做支付宝(哈哈),然后你为这个支付宝写了一个后台,每个用户登录的时候就用自己的账号密码登录,登录后得到一个token值,以后就用token值请求数据就行了,和Basic Auth有点像。

    4、没有用户参与的,完全信任的服务器端服务

    客户端模式。最简单,密码都不用输入,A网站只有请求就给A网站提供数据。


    在开放平台中,常用的也就是授权码模式了吧。密码模式可以给自己的APP写接口时使用。其它两种用的太少了。

    QQ授权登录

    QQ授权登录就是一个典型的OAtuh2.0开发例子也是一个很好的学习教材,开发文档写的很详细

  • 相关阅读:
    Java异步消息平台
    spring mvc绑定对象String转Date解决入参不能是Date的问题
    <welcome-file-list>标签的控制作用以及在springmvc中此标签的的配置方式
    第一篇
    Struts2学习笔记《二》
    java的事务处理
    Java Statement和PreparedStatement性能测试(转)
    JAVA上百实例源码网站
    Java程序优化的一些最佳实践(转)
    Struts2学习笔记《一》
  • 原文地址:https://www.cnblogs.com/gdpw/p/9196837.html
Copyright © 2020-2023  润新知