OAuth2.0的认证授权过程

如题所述

推荐答案 2016-05-12

在认证和授权的过程中涉及的三方包括：
1、服务提供方，用户使用服务提供方来存储受保护的资源，如照片，视频，联系人列表。
2、用户，存放在服务提供方的受保护的资源的拥有者。
3、客户端，要访问服务提供方资源的第三方应用，通常是网站，如提供照片打印服务的网站。在认证过程之前，客户端要向服务提供者申请客户端标识。
使用OAuth进行认证和授权的过程如下所示:
用户想操作存放在服务提供方的资源。
用户登录客户端向服务提供方请求一个临时令牌。
服务提供方验证客户端的身份后，授予一个临时令牌。
客户端获得临时令牌后，将用户引导至服务提供方的授权页面请求用户授权。在这个过程中将临时令牌和客户端的回调连接发送给服务提供方。
用户在服务提供方的网页上输入用户名和密码，然后授权该客户端访问所请求的资源。
授权成功后，服务提供方引导用户返回客户端的网页。
客户端根据临时令牌从服务提供方那里获取访问令牌。
服务提供方根据临时令牌和用户的授权情况授予客户端访问令牌。
客户端使用获取的访问令牌访问存放在服务提供方上的受保护的资源。 OAuth 1.0在2007年的12月底发布并迅速成为工业标准。
2008年6月，发布了OAuth 1.0 Revision A，这是个稍作修改的修订版本，主要修正一个安全方面的漏洞。
2010年四月，OAuth 1.0的终于在IETF发布了，协议编号RFC 5849。
OAuth 2.0的草案是在2011年5月初在IETF发布的。
OAuth is a security protocol that enables users to grant third-party access to their web resources without sharing their passwords.
OAuth是个安全相关的协议，作用在于，使用户授权第三方的应用程序访问用户的web资源，并且不需要向第三方应用程序透露自己的密码。
OAuth 2.0是个全新的协议，并且不对之前的版本做向后兼容，然而，OAuth 2.0保留了与之前版本OAuth相同的整体架构。
这个草案是围绕着 OAuth2.0的需求和目标，历经了长达一年的讨论，讨论的参与者来自业界的各个知名公司，包括Yahoo!, Facebook, Salesforce, Microsoft, Twitter, Deutsche Telekom, Intuit, Mozilla, and Google。
OAuth 2.0的新特性： User-Agent Flow – 客户端运行于用户代理内（典型如web浏览器）。
Web Server Flow – 客户端是web服务器程序的一部分，通过http request接入，这是OAuth 1.0提供的流程的简化版本。
Device Flow – 适用于客户端在受限设备上执行操作，但是终端用户单独接入另一台电脑或者设备的浏览器
Username and Password Flow – 这个流程的应用场景是，用户信任客户端处理身份凭据，但是仍然不希望客户端储存他们的用户名和密码，这个流程仅在用户高度信任客户端时才适用。
Client Credentials Flow – 客户端适用它的身份凭据去获取access token，这个流程支持2-legged OAuth的场景。
Assertion Flow – 客户端用assertion去换取access token，比如SAML assertion。
可以通过使用以上的多种流程实现Native应用程序对OAuth的支持（程序运行于桌面操作系统或移动设备）
application support (applications running on a desktop or mobile device) can be implemented using many of the flows above.
持信人token
OAuth 2.0 提供一种无需加密的认证方式，此方式是基于现存的cookie验证架构，token本身将自己作为secret，通过HTTPS发送，从而替换了通过 HMAC和token secret加密并发送的方式，这将允许使用cURL发起APIcall和其他简单的脚本工具而不需遵循原先的request方式并进行签名。
签名简化：
对于签名的支持，签名机制大大简化，不需要特殊的解析处理，编码，和对参数进行排序。使用一个secret替代原先的两个secret。
短期token和长效的身份凭据
原先的OAuth，会发行一个有效期非常长的token(典型的是一年有效期或者无有效期限制)，在OAuth 2.0中，server将发行一个短有效期的access token和长生命期的refresh token。这将允许客户端无需用户再次操作而获取一个新的access token，并且也限制了access token的有效期。
角色分开
OAuth 2.0将分为两个角色：
Authorization server负责获取用户的授权并且发布token。
Resource负责处理API calls。

温馨提示：答案为网友推荐，仅供参考

当前网址：http://88.wendadaohang.com/zd/1KSgKBagVaMMKSt1Bg.html

相似回答

OAuth 2.0 授权认证详解答：授权码模式流程如下: 从上述的流程描述可知,只有第 2 步需要用户进行授权操作,之后的流程都是在客户端的后台和认证服务器后台之前进行"静默"操作,对于用户来说是无感知的。下面是上面这些步骤所需要的参数。 4.2 授权码模式流程的五个步骤第1 步骤参数说明第1 步骤中,客户端申请认证的URI,包含以下参数: 示...

新浪微博oauth2.0授权怎么弄的?答：获取授权的步骤如下：进入新浪微博开放平台,进入“管理中心“，点击”创建应用”，选择“网页应用”，填写相应的信息后提交；在“管理中心”-“我的应用”中查看信息，在“应用信息”-“高级信息”中可以设置网站的授权回调页和取消授权回调页；引导需要授权的用户到如下页面：https://api.weibo.com/oaut...

OAuth 2.0 授权介绍和使用答：第一步，A 网站提供一个链接，用户点击后就会跳转到 B 网站，授权用户数据给 A 网站使用。下面就是 A 网站跳转 B 网站的一个示意链接。上面 URL 中， response_type 参数表示要求返回授权码（ code ）， client_id 参数让 B 知道是谁在请求， redirect_uri 参数是 B 接受或拒绝请求后的跳转网址...

OAuth2.0原理和验证流程分析答：授权流程过于单一化。 OAuth2.0的引入: 抽象验证流程 由于OAuth1过于复杂,之后对OAuth进行了改造引入了Oauth2.0。OAuth的授权过程如下: (A) 客户端从资源拥有者那里请求授权。授权请求能够直接发送给资源拥有者,或者间接地通过授权服务器这样的中介,而后者更为可取。 (B) 客户端收到一个访问许可,它代表由资源服务器...

OAuth2.0的四种授权模式,你会了吗?答：1.0即完全废止了OAuth1.0。第三方应用授权登录：在APP或者网页接入一些第三方应用时，时长会需要用户登录另一个合作平台，比如QQ，微博，微信的授权登录。原生app授权：app登录请求后台接口，为了安全认证，所有请求都带token信息，如果登录验证、请求后台数据。前后端分离单页面应用（spa）：前后端分离框架...

OAuth2.0实战!使用JWT令牌认证!答：OAuth2.0架构由认证授权中心（Authorization Server）和资源服务（Resource Server）组成。要实现JWT令牌认证，首先需要配置JwtAccessTokenConverter，这个工具用于将OAuth2.0访问令牌转换为JWT。TokenStore（如JwtTokenStore、RedisTokenStore或JdbcTokenStore）用于持久化存储这些令牌，同时采用对称加密的SIGN_KEY...

Oauth2.0认证模式答：这种模式大致流程是：这个模式不经过code验证的过程，这种token可以直接在callback的uri上看到，并且客户端后台也不会验证token，这种模式安全性显然没有授权码模式好，应用也不多。流程：用户直接在客户端上输入账号密码，然后由客户端向认证服务请求要token。要使用这种模式就表明用户完全信任客户端了，...

怎么使用python自动oauth2.0网页授权答：} access_token = 'the token above' # 新浪返回的token，类似abc123xyz456 expires_in = 'the expires_in above' # token过期的UNIX时间 # 在此可保存access token client.set_access_token(access_token, expires_in)之后，就可一使用client调用微博的API了。OAuth2。0的认证到此结束了。

大家正在搜

授权的一般过程最合理的授权过程授权过程常出现的问题授权的基本过程包括授权的过程包括授权的过程有哪些步骤组成授权的过程及原则授权的基本过程和原则授权及其过程