Oauth2.0(六):另外的两种授权方式

最新推荐文章于 2025-01-05 18:33:37 发布
原创 最新推荐文章于 2025-01-05 18:33:37 发布 · 354 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#oauth
本文详细介绍了OAuth2.0中的ResourceOwnerPasswordCredentials和ClientCredentials授权方式,这两种方式适用于受信任的应用场景,如企业内部产品间的授权。文章还探讨了在特定场景下如何使用这些授权方式,并强调了其在协议中的不推荐地位。

    除了Implicit和Authorization Code,Oauth2.0还有Resource Owner Password Credentials授权方式和Client Credentials授权方式。

    这两种简称 Password 方式和 Client 方式吧,都只适用于应用是受信任的场景。一个典型的例子是同一个企业内部的不同产品要使用本企业的 Oauth2.0 体系。在有些情况下,产品希望能够定制化授权页面。由于是同个企业,不需要向用户展示“xxx将获取以下权限”等字样并询问用户的授权意向,而只需进行用户的身份认证即可。这个时候,由具体的产品团队开发定制化的授权界面,接收用户输入账号密码,并直接传递给鉴权服务器进行授权即可。

    有一点需要特别注意的是,在 2 这一步,鉴权服务器需要对应用方的身份进行验证,确保是受信任的应用方。

    如果信任关系再进一步,或者调用者是一个后端的模块,没有用户界面的时候,可以使用 Client 方式。鉴权服务器直接对应用方进行身份验证,验证通过后,返回 token。

  这两种方式在 Oauth2.0 协议中是不推荐使用的。只要条件允许,就应该使用 Authorization Code 方式。

 

    若有疑问,可以直接进以下公众号提问。也可以直接发送 oauth2.0 获取设计指南和伪代码:

尹三黎
关注
OAuth2.0系列OAuth2.0四种授权模式总结
青藤光年的博客
09-12 1807
授权模式总结 前面几节已经通过代码介绍了OAuth2.0四种授权模式的简单使用,现在来总结一下四种授权模式的特点 授权码模式 通过前端渠道客户获取授权码 通过后端渠道,客户使用authorization code去交换access Token和可选的refresh token 假定资源拥有者和客户在不同的设备上 最安全的流程,因为令牌不会传递经过user-agent 密码模式 使用用...
OAuth2.0 4种授权模式
yzqingqing的博客
10-13 4239
学习了杨波老师的《微服务安全架构和实践》关于Oauth2.0的知识,做了下简单的总结,具体内容在https://github.com/geektime-geekbang/oauth2lab 最安全的授权方式,适用于开放平台,客户端为不受信的第三方应用,最终客户端获取了token,用户是不知情的 1、用户 ——》客户端(第三方不受信应用) 2、客户端——〉授权服务器 请求授权(携带clien...
OAuth协议的四种模式
Evan.Zhou的博客
02-09 1275
密码模式 Resource Owner Password 授权码模式 Authorization code grant 密码模式 1、用户提供用户名和密码给客户端应用 2、客户端应用使用用户提供的用户名和密码和自己应用的ClientId和ClientSecrect请求令牌 3、校验用户身份(用户名密码)和客户端应用身份(ClientSecrect)并返回访问令牌和刷新令牌 缺点:不安全,密码会...
有没有必要在项目里使用Oauth2,不为了技术而技术,你可能并不需要 OAuth2
技术博客
07-10 3634
OAuth2 是一个关于 授权 (Authorization)的网络标准,在网上已经有大量的资料来解释,本文不再详细解释原理和规范的详情。关于 Authorization 和 Authentication 的区别之后会写另外一篇文章来分析。在此仅列两个比较优质的解释 OAuth2 原理的文章: 理解OAuth 2.0 —— 阮一峰 [认证授权] 1.OAuth2授权 —— blackheart 尽管如此,这里还是描述一下 OAuth2 的使用场景,以便约定和明确一下角色方便后面叙述。 角色 A (tw
OAuth2.0认证和授权机制讲解
05-10 1036
大多数网站提供的第三方登录都遵循OAuth协议,虽然大多数网站的细节处理都是不一致的,甚至会基于OAuth协议进行扩展,但大体上其流程是一定的。今天,我们就来看看基于OAuth2的第三方登陆功能是怎样一个流程。
OAuth2.0 四种授权方式讲解
让优秀成为一种习惯!
12-25 5880
OAuth2通过将用户密码信息与第三方应用程序隔离,提高了应用程序的安全性。同时,OAuth2是一个开放的标准,可以与不同的应用程序、平台和设备兼容,易于理解和使用,可以快速集成到应用程序中。
OAuth2.0四种授权模式以及Oauth2.0实战
周沐子
11-20 3200
Oauth2.0具有多种授权许可机制协议:授权码许可机制、客户端凭据机制、资源拥有者凭据机制(密码模式)和隐式许可机制。在源码中即可看到四种模式的实现类,还有一个RefreshTokenGranter则是刷新令牌,用于access_token失效时刷新过期时间。假如现在我需要实现手机验证码登录或者微信扫码登录等功能的时候,我们该如何处理呢?我们可以继承AbstractTokenGranter实现自定义授权模式。手机短信验证码模式@Slf4j@Override。
OAuth2系列】如何使用OAuth 2.0实现安全授权?详解四种授权方式
c18213590220的博客
01-05 9169
在本文中,我们将全面解析 OAuth 2.0授权机制和应用场景,包括常用的四种授权方式以及相关的数据库表结构设计。通过实际的例子和详细的流程分析,希望能够帮助开发者快速掌握 OAuth 2.0 的核心概念和实现方法。
Oauth2.0授权方式
ding_fang的博客
01-28 766
Oauth2.0授权方式OAuth2授权方式授权码模式简化模式密码模式客户端模式 OAuth2授权方式 OAuth2为我们提供了四种授权方式: 1.密码模式(resource owner password credentials) 为遗留系统设计(支持refresh token) 2.授权码模式(authorization code) 正宗方式(支持refresh token) 3.简化模式(im...
OAuth2四种不同的标准模式
记事本
06-10 5645
OAuth2标准为了应对不同的场景,设计了四种不同的标准模式。 1、授权码模式 授权码模式是四种模式中最繁琐也是最安全的一种模式。 client向资源服务器请求资源,被重定向到授权服务器(AuthorizationServer) 浏览器向资源拥有者索要授权,之后将用户授权发送给授权服务器 授权服务器将授权码(AuthorizationCode)转经浏览器发送给client c...
Li_2024_J._Phys.__Conf._Ser._2898_012029.pdf
最新发布
06-24
Li_2024_J._Phys.__Conf._Ser._2898_012029.pdf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值