Oauth2 v1.0和v2.0之间的区别
OAuth2是一种授权框架,用于允许用户授权第三方应用访问其受保护的资源,而无需共享其凭据。OAuth2 v1.0和v2.0之间存在以下区别:
- 安全性:OAuth2 v2.0相对于v1.0有更高的安全性。v2.0引入了更严格的安全标准和最佳实践,以减少潜在的安全漏洞。
- 简化流程:v2.0简化了授权流程,使其更易于理解和实施。v1.0的授权流程相对复杂,需要多个步骤和参数。
- 支持更多的授权类型:v2.0引入了新的授权类型,如授权码模式、隐式授权模式和客户端凭证模式。这些授权类型提供了更多的灵活性和安全性选项。
- 支持更多的身份验证协议:v2.0支持OpenID Connect协议,该协议结合了OAuth2和OpenID,提供了更全面的身份验证和授权功能。
- 令牌刷新:v2.0引入了令牌刷新机制,允许客户端使用刷新令牌来获取新的访问令牌,而无需用户重新进行身份验证。
- 范围(Scope)的改进:v2.0对范围的定义进行了改进,使其更加灵活和可扩展。范围用于定义访问令牌的权限,v2.0支持自定义范围,使得应用可以更精确地控制对资源的访问。
- 错误处理:v2.0引入了更详细的错误处理机制,使开发人员能够更好地处理授权过程中可能出现的错误情况。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云API网关:https://cloud.tencent.com/product/apigateway
- 腾讯云身份认证服务CAM:https://cloud.tencent.com/product/cam
- 腾讯云访问管理服务TAM:https://cloud.tencent.com/product/tam
- 腾讯云云函数SCF:https://cloud.tencent.com/product/scf
- 腾讯云云原生容器服务TKE:https://cloud.tencent.com/product/tke
请注意,以上链接仅供参考,具体产品选择应根据实际需求进行评估。
相关·内容
我正在考虑将REST服务构建为后端,并研究OAuth2/OpenId来处理安全性,但我不知道如何将复杂的结构与规则或作用域结构相匹配。
目前还没有构建,所以可能我的推理是错误的,域模型可以修改以满足我的需要,或者OAuth2/OpenId不适合我。
我有一个域模型如下:
Country。
一个区域,它与一个国家相连。一个国家拥有多个区域,但一个区域只属于一个国家。
一个产品,它链接到一个国家,也可以是一个区域。
可以在产品上执行的操作。(不是直接链接到产品,而是与CRUD相关的东西。)
Profile,它链接到一个国家(可选为一个区域),并保存操作列表。
链接到一个或多
浏览 1提问于2016-02-17得票数 1
3回答
我已经阅读了大量关于OAuth和OpenID连接的文章,但这个问题专门涉及OAuth2资源所有者密码授予(又名OAuth2资源所有者凭据授予,又名OAuth2密码授予)。
一些资源(比如贾斯汀·里奇的"OAuth2 in Action“一书)说,不使用OAuth2资源所有者密码授予进行身份验证()--参见书中的6.1.3节。
其他好的资源,比如下面的,都说我们可以使用OAuth2资源所有者密码授权来通过受信任的应用程序对用户进行本质的身份验证
但是,我很难理解为什么我们不应该使用OAuth2资源所有者密码授权作为认证成功的本质证据?
我对资源
浏览 7提问于2017-11-23得票数 6
1回答
我已经读了好几个月了,看起来整件事都可以集中在我下面总结的内容上。我正试图达到最理想的境界:
OAuth2
OpenID连接
水疗中心/移动客户
JWT
以上部分涉及到具有银行级安全质量的解决方案。所以这似乎是有意义的。
在不使用服务器端会话和cookie的情况下使用,因为这个OAuth流比隐式流更安全。
不要创建服务器端会话或cookie(此外,请记住我的cookie,以确定客户端以前是否已经过身份验证)。这是更好的缩放和整体简单性。
将JWT / OpenID连接令牌返回到客户端,以便客户端可以使用它来发出API请求并在客户端内作出授权决策。(我认为这就
浏览 1提问于2017-10-06得票数 5
回答已采纳
4回答
请描述您的问题
标题:腾讯云云产品新购特惠,五折上云!
地址:https://cloud.tencent.com/act/first_purchase
浏览器信息
Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
浏览 2258提问于2018-02-01
我不太明白为什么oauth2用于自动化,OpenID连接用于身份验证。
来自
授权服务器在成功地authenticating资源所有者并获得授权之后,向客户端发出访问令牌。
另一方面,根据代理或依赖方被重定向到某种身份验证页面,以便能够认证用户,不是吗?
此外,我一直读到OpenID连接是建立在Oauth2上的,以便为Oauth2提供身份验证机制。是对的吗?
浏览 3提问于2017-11-23得票数 1
回答已采纳
1回答
我正在尝试使用Postman中的退伍军人事务API验证退伍军人的身份。它们使用OpenID进行授权和身份验证。
他们指出,您的应用程序必须使用适当的数据重定向到https://dev-api.va.gov/oauth2/authorization。
我一直在尝试,但我一直在我的邮递员控制台上收到这个问题:invalid_client
有没有人在Postman中做过OpenID连接流程?
这来自退伍军人管理局的文档:
Your application will need to redirect the Veteran's browser to our OpenID authorizati
浏览 24提问于2019-07-18得票数 1
我在ASP.NET核心2.2 AddJwtBearer中使用oauth2授权码流。我的令牌端点返回JWT access toke,以及检查用户权限所需的所有声明。我可以将这个令牌作为任何Web API调用的载体发送,标准的.net代码可以使用这些声明来检查权限,例如[Authorize(Policy="somePolicy")]。其中一个声明指向我们可以撤销的内部会话密钥。 所以我的问题是,为什么我需要ID令牌,甚至是刷新令牌?声明和其他详细信息都在访问令牌中,那么ID令牌会对此添加什么呢?如果信息在Auth令牌中,必须使用对userinfo端点发送的进一步调用是浪费吗?如果
浏览 20提问于2019-05-05得票数 1
回答已采纳
我正在使用UseOpenIdConnectAuthentication中间件对ASP.Net核心应用程序进行身份验证,使用ASP.Net云访问管理器令牌提供者(安装以提供OpenId/OAuth2身份验证)。以下是守则:
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
AutomaticAuthenticate = true,
AutomaticChallenge = true,
AuthenticationSche
浏览 2提问于2016-07-26得票数 10
回答已采纳
我正在使用为我的应用程序开发一个“使用微软登录”的工具。我正在成功地验证和接收一个令牌,但随后我从示例代码中收到了一个错误。
我正在使用下面的示例代码,并在“urlResourceOwnerDetails”字段中尝试了各种URL组合,包括将其保留为空白。
$provider = new \Stevenmaguire\OAuth2\Client\Provider\Microsoft([
'clientId' => '<redacted>',
'clientSecret'
浏览 1提问于2019-06-30得票数 0
1回答
我们使用KeyCloak身份代理将身份验证联合到外部IDP。身份提供程序的类型为OpenID连接v1.0。此外,我们在PKCE中使用OIDC授权代码流。
根据以下文档,我们能够成功地从外部IDP检索令牌:
但是,当用户代理使用"refresh_token“授权刷新KeyCloak令牌时,来自外部IDP的令牌不会刷新。KeyCloak提供的有关此主题的文档非常少。
有人知道如何从外部IDP刷新令牌吗?
更新:我已经向KeyCloak社区提出了一个问题
浏览 17提问于2021-02-10得票数 3
我刚刚开始使用OAuth 2.0作为对用户进行身份验证的方法。它工作得很好--我只是使用每个提供者的identity/profile API来获得用户的一个经过验证的电子邮件地址。
现在我读到了关于OpenID连接的文章,有点困惑。
OpenID连接和在OAuth2上使用标识API有什么区别?仅仅是因为我有一个标准的profile API,所以我不必担心我是否会得到一个"email"或"emails" JSON?
或者它还有更多,这使得OpenID连接方法比我的第一种方法更安全?
浏览 0提问于2013-06-21得票数 130
回答已采纳
1回答
当我试图获得一个带有作用域的令牌时,我会得到一个This application does not have sufficient permissions against this web resource to perform the operation错误。
Failing call:
https://xx.b2clogin.com/xx.onmicrosoft.com/oauth2/v2.0/authorize?p=somepolicy&client_id=xx-xx&redirect_uri=https://localhost:7223/&scope=https
浏览 8提问于2022-04-28得票数 0
有些微网络是由Zuul网关支持的,它们都是由Security OAuth2保护的。设想如下:
1-作为OAuth2客户端的Zuul网关。
所有支持的应用程序都是OAuth2资源服务器。
一个应用程序正在作为OAuth2授权服务器(UAA)运行.
OAuth2的流是Authorization code流。在Pricipal调用授权服务器的端点时,所有资源服务器都需要获取用户信息,如下所示:
security:
oauth2:
resource:
user-info-uri: http://localhost:9191/uaa/user
每件事都像预期的那样正常工作。
需要
浏览 1提问于2019-07-26得票数 0
回答已采纳
2回答
我一直在深入研究OAuth2 / OpenID连接(OIDC),在很多方面我觉得自己更聪明,但在很多方面,我担心一个简单的错误会让我变得脆弱。我正在开发超标准的商业应用程序。所以是时候问路了:
平台:关键云创建/ UAA
后端:SpringBoot1.5.x(但现在看2.0 )
前端:React SPA
OAuth2:带有openid作用域的Auth代码授予
我得到了id_token,access_token,和refresh_token
我有一百万个问题,但让我们从基本问题开始:
是否可以接受id_token并将其发送到浏览器中的react代码并将其存储在会话存储
浏览 0提问于2018-03-05得票数 0
回答已采纳
在OAuth2身份验证过程中,应该只使用一次刷新令牌。当使用refresh_token时,它将返回一个新的access_token和一个新的refresh_token。
这在范6819规范中也是如此:
5.2.2.3.刷新令牌旋转是为了自动检测和防止来自不同应用程序/设备并行使用相同刷新令牌的尝试。如果从客户端窃取令牌,随后攻击者和合法客户端都使用令牌,则会发生这种情况。基本思想是使用每个刷新请求更改刷新令牌值,以检测使用旧刷新令牌获取访问令牌的尝试。由于授权服务器无法确定攻击者或合法客户端是否正在尝试访问,因此,在进行这种访问时,有效的刷新令牌和与其关联的访问授权都将被撤销。OAuth规范支
浏览 0提问于2016-12-21得票数 2
请注意,我对OAuth2和OpenID连接非常陌生,所以我可能有点困惑。OAuth2在2021年重新发布的认证流是授权码流。我已经读过了。
我使用JHipster (v6.10.5,而不是v7)使用以下配置初始化了一个项目:
您希望创建哪种类型的应用程序?单块应用程序(推荐用于简单项目)
您希望使用哪种类型的身份验证?OAuth 2.0 / OIDC身份验证(有状态的,与Keycloak和Okta一起工作)
您希望为客户端使用哪个框架?React (即SPA应用程序)
我想知道为什么JHipster的实现是有状态的?(即使用HTTP JSESSIONID;访问令牌和刷新令牌
浏览 0提问于2021-04-23得票数 0
1回答
我们有三个微服务: microA、microB和microC。
microA & microB正在为产品1提供动力。
microA & microC正在为产品2提供动力。
显然,我们需要一个安全层,在我们的示例中,实现"OpenID连接“提供程序非常适合业务需求。我们将OpenID提供程序添加到堆栈中。
用户/权限管理非常简单和自然:我们将每个微服务上的用户的OpenId标识符与一个权限子集关联起来:
例如,在服务microA上,我们存储用户OpenID XXX可以这样那样做。在微观服务层面上是孤立的。尊重我们所处的环境。很好。
当用户使用OpenID登
浏览 2提问于2016-06-28得票数 3
我正在根据的入职示例代码编写一些代码。
我已经在注册了这个应用程序,这意味着我需要使用OAuthv2.0端点。
我已经更改了初始登录请求,以使用工作的/oauth2/v2.0/authorize端点,并在我的控制器中触发ProcessCode方法。我得到代码,id_token和state。
然后,在AuthenticationContext.AcquireTokenByAuthorizationCodeAsync控制器操作中,我调用了ProcessCode方法。这将返回/CommonOAuth2/token,并返回"error":"invalid_grant",
浏览 1提问于2016-06-17得票数 0
1回答
我们使用Azure活动目录Oauth代码流对用户进行身份验证。我们使用代码获得了access_token、id_token和refresh_token (在重定向URL上得到的)。在成功的身份验证之后,我们使用id_token来授权每个请求,并且可以使用从/discovery/v2.0/keys api获得的公钥来验证JWT。
现在,JWT将在1小时后到期。所以我们需要刷新这个id_token。
我正在使用下面的id_token刷新cURL
curl --request POST \
--url https://login.microsoftonline.com/{tenant_id}/
浏览 2提问于2020-04-29得票数 2
回答已采纳
我试图使用OAuth2进行身份验证/授权,但是在阅读了很多之后,我感到很困惑.我试图了解OAuth和OpenIDConnect是如何相互关联的,以及我如何准确地将它们用于授权。
从我迄今为止的理解来看,
,
OpenID连接最好用于身份验证,OAuth最好用于授权。
OAuth2授权是通过作用域完成的
作用域是用户给客户端的权限,在资源服务器上验证。
OpenID连接id_token主要用于客户端应用程序,提供用户信息,而不是资源服务器验证用户的方式
这里是我的用例
我需要为我们制作的一组完全无状态的set服务提供SSO。
OAuth仅限于resource_owner授予
标识服务器在我们这边
浏览 0提问于2016-05-09得票数 31
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
