資源伺服器如何驗證oauth2token
1. OAuth2.0的認證授權過程
在認證和授權的過程中涉及的三方包括:
1、服務提供方,用戶使用服務提供方來存儲受保護的資源,如照片,視頻,聯系人列表。
2、用戶,存放在服務提供方的受保護的資源的擁有者。
3、客戶端,要訪問服務提供方資源的第三方應用,通常是網站,如提供照片列印服務的網站。在認證過程之前,客戶端要向服務提供者申請客戶端標識。
使用OAuth進行認證和授權的過程如下所示:
用戶想操作存放在服務提供方的資源。
用戶登錄客戶端向服務提供方請求一個臨時令牌。
服務提供方驗證客戶端的身份後,授予一個臨時令牌。
客戶端獲得臨時令牌後,將用戶引導至服務提供方的授權頁面請求用戶授權。在這個過程中將臨時令牌和客戶端的回調連接發送給服務提供方。
用戶在服務提供方的網頁上輸入用戶名和密碼,然後授權該客戶端訪問所請求的資源。
授權成功後,服務提供方引導用戶返回客戶端的網頁。
客戶端根據臨時令牌從服務提供方那裡獲取訪問令牌。
服務提供方根據臨時令牌和用戶的授權情況授予客戶端訪問令牌。
客戶端使用獲取的訪問令牌訪問存放在服務提供方上的受保護的資源。 OAuth 1.0在2007年的12月底發布並迅速成為工業標准。
2008年6月,發布了OAuth 1.0 Revision A,這是個稍作修改的修訂版本,主要修正一個安全方面的漏洞。
2010年四月,OAuth 1.0的終於在IETF發布了,協議編號RFC 5849。
OAuth 2.0的草案是在2011年5月初在IETF發布的。
OAuth is a security protocol that enables users to grant third-party access to their web resources without sharing their passwords.
OAuth是個安全相關的協議,作用在於,使用戶授權第三方的應用程序訪問用戶的web資源,並且不需要向第三方應用程序透露自己的密碼。
OAuth 2.0是個全新的協議,並且不對之前的版本做向後兼容,然而,OAuth 2.0保留了與之前版本OAuth相同的整體架構。
這個草案是圍繞著 OAuth2.0的需求和目標,歷經了長達一年的討論,討論的參與者來自業界的各個知名公司,包括Yahoo!, Facebook, Salesforce, Microsoft, Twitter, Deutsche Telekom, Intuit, Mozilla, and Google。
OAuth 2.0的新特性: User-Agent Flow – 客戶端運行於用戶代理內(典型如web瀏覽器)。
Web Server Flow – 客戶端是web伺服器程序的一部分,通過http request接入,這是OAuth 1.0提供的流程的簡化版本。
Device Flow – 適用於客戶端在受限設備上執行操作,但是終端用戶單獨接入另一台電腦或者設備的瀏覽器
Username and Password Flow – 這個流程的應用場景是,用戶信任客戶端處理身份憑據,但是仍然不希望客戶端儲存他們的用戶名和密碼,這個流程僅在用戶高度信任客戶端時才適用。
Client Credentials Flow – 客戶端適用它的身份憑據去獲取access token,這個流程支持2-legged OAuth的場景。
Assertion Flow – 客戶端用assertion去換取access token,比如SAML assertion。
可以通過使用以上的多種流程實現Native應用程序對OAuth的支持(程序運行於桌面操作系統或移動設備)
application support (applications running on a desktop or mobile device) can be implemented using many of the flows above.
持信人token
OAuth 2.0 提供一種無需加密的認證方式,此方式是基於現存的cookie驗證架構,token本身將自己作為secret,通過HTTPS發送,從而替換了通過 HMAC和token secret加密並發送的方式,這將允許使用cURL發起APIcall和其他簡單的腳本工具而不需遵循原先的request方式並進行簽名。
簽名簡化:
對於簽名的支持,簽名機制大大簡化,不需要特殊的解析處理,編碼,和對參數進行排序。使用一個secret替代原先的兩個secret。
短期token和長效的身份憑據
原先的OAuth,會發行一個 有效期非常長的token(典型的是一年有效期或者無有效期限制),在OAuth 2.0中,server將發行一個短有效期的access token和長生命期的refresh token。這將允許客戶端無需用戶再次操作而獲取一個新的access token,並且也限制了access token的有效期。
角色分開
OAuth 2.0將分為兩個角色:
Authorization server負責獲取用戶的授權並且發布token。
Resource負責處理API calls。
2. javascript怎麼實現oauth2授權怎麼獲取到accessToken
資料庫保存你最後獲取到的access_token就可以了,當然,現在由於有refresh_token的存在,你還必須保存下refresh_token和過期時間,以用於更新access_token
至於access_token如何使用,其實就是相當於一個key你直接使用就可以了,你可以看這里
比如你說的獲取用戶信息,可以用這個介面獲取到,其中只要你傳遞access_token就可以獲取到與這個access_token匹配的用戶的信息了。
3. oauth2認證後返回#怎麼獲取accesstoken
資料庫保存你最後獲取到的access_token就可以了,當然,現在由於有refresh_token的存在,你還必須保存下refresh_token和過期時間,以用於更新access_token
4. 如何驗證 oauth 2.0 token是否有效
這個不知道的啊
5. spring security oauth2 搭建資源伺服器,如何配置受保護資源,我想配置order路徑為保護資源,不起作用
我做了一個demo,你可以看下,有不懂的再問吧,
網頁鏈接
6. oauth2.0開發
spring security oauth
7. 什麼是token驗證
Token是在客戶端頻繁向服務端請求數據,服務端頻繁的去資料庫查詢用戶名和密碼並進行對比,判斷用戶名和密碼正確與否,並作出相應提示,在這樣的背景下,Token便應運而生。Token是服務端生成的一串字元串,以作客戶端進行請求的一個令牌,當第一次登錄後,伺服器生成一個Token便將此Token返回給客戶端,以後客戶端只需帶上這個Token前來請求數據即可,無需再次帶上用戶名和密碼。
(7)資源伺服器如何驗證oauth2token擴展閱讀:
token其實說的更通俗點可以叫暗號,在一些數據傳輸之前,要先進行暗號的核對,不同的暗號被授權不同的數據操作。例如在USB1.1協議中定義了4類數據包:token包、data包、handshake包和special包。主機和USB設備之間連續數據的交換可以分為三個階段,第一個階段由主機發送token包,不同的token包內容不一樣(暗號不一樣)可以告訴設備做不同的工作,第二個階段發送data包,第三個階段由設備返回一個handshake包。
8. 移動App如何與伺服器端進行身份認證
OAuth2一般不適用公司內部API調用,因為它的主要目的是解決資源授權的問題,而且OAuth2裡面角色對於C/S結構的app來說太過於繁雜了,不太有必要折騰。
移動app比較簡單的方法還是使用token(一種類似與httpcookie的東西),登錄之後得到token,任何請求都必須帶上它。因為是內部賬戶體系,登錄也可以直接使用用戶名密碼,驗證成功伺服器就返回token,沒有必要做各種code/token交換的事情。
不過如果公司資源變得非常獨立和分離了,OAuth2還是很有價值的。部門公司,為了讓公司內部統一用戶名密碼,就實現了一個基本的OAuth2流程,負責給各種內網網站授權,確實比較方便。
9. 服務端如何校驗token的是否正確
服務端第一次返回登錄請求token的時候,服務端是校驗了用戶,並綁定了用戶關系,之後才返回了這個token,也就說,服務端保存了token和登錄用戶賬戶的對應關系,不管之後的token怎麼變,都是伺服器校驗上一次的token,並返回新的token,token和用戶賬戶的對應關系一直在服務端更新並維護,對於客戶端來講,無需判斷token是誰,伺服器下發什麼,就返回什麼,檢驗是服務端處理
10. owin oauth2.0 怎樣驗證token是否有效
這些都是發生在伺服器端的交互,如果被竊取了可想你的伺服器已經不安全了,不過也沒有關系,一個加密的openid對誰來說都沒有意義。