Java高频面试题,谈谈你对OAuth的理解,这道题你会了吗?

简介: 1位工作5年的小伙伴被问到这样一道面试题,说谈谈你对OAuth的理解。当时,这位小伙伴感觉回答得不是很理想,希望我拍一期视频详细地介绍一下。今天,我给大家讲一讲,我对这个问题的理解。

1位工作5年的小伙伴被问到这样一道面试题,说谈谈你对OAuth的理解。当时,这位小伙伴感觉回答得不是很理想,希望我拍一期视频详细地介绍一下。


今天,我给大家讲一讲,我对这个问题的理解。

1、什么是 OAuth

OAuth是一个关于授权(Authorization)的开放技术标准,在全世界得到广泛应用,它本质上是一种协议,可以在不共享用户用户名和密码的前提下,实现将授权从应用程序另一个应用程序。如图所示:

c12211aebdf3eb283b3262635ae8e680.jpg

咱们可以使用QQ或者微信直接登录京东APP,而无需在京东重新注册用户。相当于,用户可以在一个平台上登录,获得授权后,也可在另一平台上执行操作和查看数据。使用最为广泛的场景是SSO(单点登录)。

0ab684be94b24fe28d68a4a6e263e6cb.png

举个例子,有一位访客需要在房主不在家时进到房间里面,房主又不能把门锁密码告诉访客,而是给预先发给访客一张临时房卡,这张房卡刷一次就失效了。OAuth 的工作方式和这个场景非常类似,一个应用程序向另一个应用发送授权令牌来授予用户访问权限,而不是发送用户的密码。

2、OAuth的工作原理

我们知道,任何的身份认证,本质上都是基于对请求方的不信任产生的。而OAuth的出现,主要是解决多个应用之间的授权信任问题。在OAuth的交互过程中有四个参与角色,如图所示:

69606b8916d979dcc4458baddedd4ff0.jpg

它们分别是:


1、资源所有者(Resource Owner):一般是指咱们自己


2、客户端(Client):一般是指需要授权的应用,比如京东APP


3、资源服务器(Resource Server):一般是指保存信息的服务器,比如QQ密码和微信密码的服务器。


4、授权服务器(Authorization Server):一般是指提API的服务器,比如QQ的Open API服务,微信的Open API服务。


一般情况下,资源服务器和认证服务器是同一个服务,这样更方便调用。OAuth的工作原理如图所示:

a4c63fe9a610c5cc5a625980a0dc8fc9.jpg

首先,第1步,客户端向资源拥有者发送授权请求,一般资源拥有者的资源会存放在资源服务器。


第2步,客户端会收到资源服务器的授权许可,


第3步:客户端拿到许可之后,再向授权服务器发送一次验证,给客户端颁发一个Access Token访问令牌。


第4步:客户端拿到令牌之后,交给资源服务器。


第5步:资源服务器会将获取到的令牌传给认证服务器验证令牌的有效性。


第6步:资源服务器验证令牌通过之后,就会返回一个受保护的资源。


在我们看到的这个流程中,最重要的是第2步,也就是在第3步获取授权之前,客户端要先申请许可资源的内容,比如用户头像,用户昵称等等。也就是客户端向资源服务器申请授权的时候,需要填写以下授权所需的信息,分别是:应用名称、应用网站、重定向URI或者回调的URL(redirect_uri)、客户端标识client_id和客户端密钥client_secret。这些信息需要我们在 。


当然,OAuth一共设计了四种授权模式,分别是:


授权码模式(Authorization Code Grant)、

6b5222e777accd5c60aeb00297215444.jpg

简化模式(Implicit Grant)、

189f98360e912ddeec53c520ee615fb8.jpg

密码模式(Resource Owner Password Credentials Grant)、

c203dbbc47620e204069d8f813470014.jpg

客户端模式(Client Credentials Grant),

325bc804e3a0c6db1bcabc705557e511.jpg

由于视频时长的限制,我这里就不详细介绍了。有兴趣的小伙伴可以在评论区回复666,我可以单独再拍摄一期视频专门讲解。

3、关于OAuth 2.0

900a7837b08f0705929438cdbfd0131a.jpg

OAuth 2.0 是 OAuth 的最新版本。OAuth 的首版于 2010 年发布。OAuth 2.0 于 2012 年发布,修复了 OAuth 1.0 中存在的若干漏洞。目前,大家基本上都只会使用OAuth2.0了。


好了,以上就是我对OAuth的理解。


我是被编程耽误的文艺Tom,如果我的分享对你有帮助,请动动手指分享给更多的人。关注我,面试不再难!


我是被编程耽误的文艺Tom,关注我,面试不再难!


完整版面试资料和答案以及PDF文档 :

9106b97c16b34d06af118b23d081cde9.gif

相关文章
|
3天前
|
Java
【Java多线程】面试常考 —— JUC(java.util.concurrent) 的常见类
【Java多线程】面试常考 —— JUC(java.util.concurrent) 的常见类
13 0
|
3天前
|
安全 Java 程序员
【Java多线程】面试常考——锁策略、synchronized的锁升级优化过程以及CAS(Compare and swap)
【Java多线程】面试常考——锁策略、synchronized的锁升级优化过程以及CAS(Compare and swap)
6 0
|
5天前
|
Java
三个可能的Java面试题
Java垃圾回收机制自动管理内存,回收无引用对象的内存,确保内存有效利用。多态性允许父类引用操作不同子类对象,如Animal引用可调用Dog的方法。异常处理机制通过try-catch块捕获和处理程序异常,例如尝试执行可能导致ArithmeticException的代码,catch块则负责处理异常。
28 9
|
16天前
|
Java
【JAVA面试题】static的作用是什么?详细介绍
【JAVA面试题】static的作用是什么?详细介绍
|
16天前
|
Java
【JAVA面试题】final关键字的作用有哪些
【JAVA面试题】final关键字的作用有哪些
|
16天前
|
JavaScript 前端开发 Java
【JAVA面试题】什么是引用传递?什么是值传递?
【JAVA面试题】什么是引用传递?什么是值传递?
|
16天前
|
安全 Java
【JAVA面试题】什么是对象锁?什么是类锁?
【JAVA面试题】什么是对象锁?什么是类锁?
|
16天前
|
存储 自然语言处理 Java
【JAVA面试题】什么是代码单元?什么是码点?
【JAVA面试题】什么是代码单元?什么是码点?
|
16天前
|
Java 程序员
【JAVA面试题】基本类型的强制类型转换是否会丢失精度?引用类型的强制类型转换需要注意什么?
【JAVA面试题】基本类型的强制类型转换是否会丢失精度?引用类型的强制类型转换需要注意什么?
|
16天前
|
Java
【JAVA面试题】什么是深拷贝?什么是浅拷贝?
【JAVA面试题】什么是深拷贝?什么是浅拷贝?