文档章节

OAuth2学习笔记

小致dad
 小致dad
发布于 2016/12/13 09:24
字数 641
阅读 265
收藏 4

目前很多开放平台如新浪微博开放平台都在使用提供开放API接口供开发者使用,随之带来了第三方应用要到开放平台进行授权的问题,OAuth就是干这个的,OAuth2是OAuth协议的下一个版本,相比OAuth1,OAuth2整个授权流程更简单安全了,但不兼容OAuth1,具体可以到OAuth2官网http://oauth.net/2/查看,OAuth2协议规范可以参考http://tools.ietf.org/html/rfc6749。目前有好多参考实现供选择,可以到其官网查看下载。

本文使用Apache Oltu,其之前的名字叫Apache Amber ,是Java版的参考实现。使用文档可参考https://cwiki.apache.org/confluence/display/OLTU/Documentation

OAuth角色

资源拥有者(resource owner:能授权访问受保护资源的一个实体,可以是一个人,那我们称之为最终用户;如新浪微博用户zhangsan;

资源服务器(resource server:存储受保护资源,客户端通过access token请求资源,资源服务器响应受保护资源给客户端;存储着用户zhangsan的微博等信息。

授权服务器(authorization server:成功验证资源拥有者并获取授权之后,授权服务器颁发授权令牌(Access Token)给客户端。

客户端(client:如新浪微博客户端weico、微格等第三方应用,也可以是它自己的官方应用;其本身不存储资源,而是资源拥有者授权通过后,使用它的授权(授权令牌)访问受保护资源,然后客户端把相应的数据展示出来/提交到服务器。“客户端”术语不代表任何特定实现(如应用运行在一台服务器、桌面、手机或其他设备)。 


1、客户端从资源拥有者那请求授权。授权请求可以直接发给资源拥有者,或间接的通过授权服务器这种中介,后者更可取。

2、客户端收到一个授权许可,代表资源服务器提供的授权。

3、客户端使用它自己的私有证书及授权许可到授权服务器验证。

4、如果验证成功,则下发一个访问令牌。

5、客户端使用访问令牌向资源服务器请求受保护资源。

6、资源服务器会验证访问令牌的有效性,如果成功则下发受保护资源。

更多流程的解释请参考OAuth2的协议规范http://tools.ietf.org/html/rfc6749

© 著作权归作者所有

共有 人打赏支持
小致dad
粉丝 144
博文 536
码字总数 580295
作品 0
济南
技术主管
私信 提问
javadever/spring-boot

spring-boot 概述 java 语言经过了多年的发展,生态系统完善,完全满足企业级应用。如果技术选型得当,对常用功能组件有积累,可以快速搭建系统,把主要精力放在业务逻辑上。 本项目尝试利用...

javadever
2016/03/10
0
0
OAuth2、Token、JWT

参考: 理解OAuth 2.0 Json web token JSON Web Token (JWT) 简介 JWT学习笔记 关于 Token,你应该知道的十件事 Token存储方式解释:详说 Cookie, LocalStorage 与 SessionStorage 一句话解释...

爬墙
2016/08/16
508
0
Django中,如何使用新浪微博API Oauth2的客户端

最近在学习Django,并有幸的获得SAE Python的邀请码,于是开始创建一些应用。 我建立了名为ddmkchan项目,并建立应用sinaweibo,已上传至SAE。开始的想法是做新浪微博相关的,下载了新浪微博...

司徒春运
2012/03/11
2.1K
1
请推荐spring cloud微服务架构下的统一安全认证、用户登录管理案例。

打算把系统迁移到spring cloud,zuul做api gateway,实现微服务框架。寻找一个统一管理授权、认证和用户登录注册的综合方案,实现SSO,app oauth2和web的统一安全管理。目前看了些基于sprin...

suheme
2017/03/13
16K
7
Spring与Oauth2整合示例--spring-oauth-server

spring-oauth-server Spring与Oauth2的整合示例 项目用Maven管理 使用的技术与版本号 Spring (3.1.1.RELEASE) Spring Security (3.1.0.RELEASE) MyBatis (3.2.1) spring-security-oauth2 (1......

monkeyk7
2015/04/07
10.9K
0

没有更多内容

加载失败,请刷新页面

加载更多

selenium 结合 docker 构建分布式测试环境

随着自动化测试越学越深,深深觉得有太多的东西需要总结。 1.记录下学习中遇到的坑,当做学习笔记。 2.有前人路过看到文章中比较落后的做法,请务必一定要指教。(因为是初学者视角,很多东西...

呐呐丶嘿
7分钟前
0
0
PostgreSQL 安装启动使用一条龙教程——Ubuntu 16.04

今天想尝试下 PostgreSQL,分享一下在 Ubuntu 16.04 下安装启动使用 PostgreSQL 一条龙方法。 添加第三方 apt 仓库: sudo add-apt-repository "deb http://apt.postgresql.org/pub/repos/a...

宇润
9分钟前
0
0
对于json文件的读写操作

对json文件的读操作 返回的一个列表,里面是多个字典 def read_json(self,jsonname): with open(r"./{}.json".format(jsonname),"r") as json_f: text_list = json......

鹏灬
11分钟前
0
0
Date-Time API简介

  Date-Time API简介      在Java8之前的版本中,我们处理时间类型常常使用的是java.util包下的Date类。但使用Date类却有诸多的弊端,如: java.util.Date 是非线程安全的,所有的日期...

SEOwhywhy
11分钟前
1
0
实体类生成对应的建表语句

通过实体类生成对应的建表语句 用java代码根据实体类自动生成对应的建表语句或生成某个包下的所有类的建表语句 根据实体类反射生成SQL java 根据实体对象生成 增删改的SQL语句 ModelToSQL...

miaojiangmin
14分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部