OAuth认证

之前写过一个基于签名的公网API访问安全控制,另一种方式是基于OAuth认证协议做安全控制。

说明

用户访问A客户端,使用B的服务及资源。B只有征得用户的授权,才允许A客户端使用B上用户的资源和服务。

名词

  • 第三方客户端,A客户端。
  • 服务提供商,B服务。
  • 资源所有者,用户。
  • 用户代理,比如浏览器。
  • 认证服务器,B服务上用来提供认证的服务器。
  • 资源服务器,B服务上用来存储用户的资源的服务器。

通过一个权限配置管理界面,业务方配置之后,获取appid,secret,redirect_url。

  • 通过授权获取授权码。
  • 通过授权码+appid+secret获取access_token。
  • 通过access_token操作api。
OAuth在客户端与服务提供商之间,设置一个授权层。

客户端不直接登陆服务提供商,只登陆授权层,以此将用户与客户端区分开。

客户端登陆授权层所用的令牌,与用户的密码不同。用户可以在登陆的时候,指定授权层令牌的授权范围和有效期。

客户端登陆授权层,服务提供商根据令牌的权限范围和有效期,向客户端开发对应服务。

  • 用户打开客户端,客户端要求用户给予授权。
  • 用户同意给予客户端授权。
  • 客户端使用上一步获取的授权,向认证服务器申请令牌。
  • 认证服务器对客户端进行认证后,确认无误,同意发放令牌。
  • 客户端使用令牌,向资源服务器申请获取资源。
  • 资源服务器确认令牌无误,同意向客户端开发资源。
核心:用户给客户端授权,有了授权之后,客户端可以获取令牌,凭令牌获取资源。

参照URL:

客户端授权:

/authorize/app-connect?appid=APPID&redirect_url=xxx&response_type=code&state=xxx

验证通过,授权服务器重定向到配置的REDIRECT_URL&code=xxx 授权码

通过授权码获取access_token:

/authorize/access-token?appid=APPID&secret=SECRET&code=授权码&grant_type=authorization_code

验证通过,返回access_token,refresh_token,expires_in(过期时间戳)

通过refresh_token更新access_token:

/authorize/refresh-token?appid=APPID&grant_type=refresh_token&refresh_token=xxx

验证通过,返回新的access_token,refresh_token,更新成功

原文发布于微信公众号 - 服务端技术杂谈(ITIBB2014)

原文发表时间:2017-11-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏holer

外网访问内网Tomcat

在holer官网上申请专属的holer access key或者使用开源社区上公开的access key信息。

55510
来自专栏云计算认知升级

如何在腾讯云快速构建一个 Wordpress 个人站点

本文通过深入浅出的方式,给大家介绍如何在腾讯云快速构建一个Wordpress个人站点。希望对大家使用腾讯云的过程中,有所帮助。

10.9K20
来自专栏云计算教程系列

如何在Debian 9上安装Node.js.

Node.js是一个用于通用编程的JavaScript平台,允许用户快速构建网络应用程序。通过在前端和后端利用JavaScript,Node.js使开发更加一致...

82040
来自专栏磨磨谈

rbd-mirror配置指南-单向备份

RBD 的 mirroring 功能将在Jewel中实现的,这个Jewel版本已经发布了很久了,这个功能已经在这个发布的版本中实现了,本来之前写过一篇文章,但是...

20210
来自专栏holer

外网访问内网Web

在holer官网上申请专属的holer access key或者使用开源社区上公开的access key信息。

61040
来自专栏holer

外网访问ARM嵌入式Linux系统

实验室里的ARM嵌入式Linux系统,只能在局域网内访问,怎样从外网也能访问ARM嵌入式Linux系统?

17810
来自专栏Rainbond开源「容器云平台」

好雨云帮一周问答集锦(11.28-12.04)

16350
来自专栏运维小白

11.7/11.8/11.9 Apache安装

安装Apache Apache是一个基金会的名字,httpd才是我们要安装的软件包,早期它的名字就叫apache Apache官网www.apache.org ...

398100
来自专栏python3

gitlab10服务器搭建

GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务

22520
来自专栏holer

如何从外网访问内网网站

在holer官网上申请专属的holer access key或者使用开源社区上公开的access key信息。

1.5K30

扫码关注云+社区

领取腾讯云代金券