关于开放平台的OAuth2.0认证-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

关于开放平台的OAuth2.0认证

简介:

我是通过点点网了解到OAuth2.0的,点点网关于OAuth的介绍是:OAuth 2.0是在2006年设计的OAuth协议的下一个版本, 2.0版本更注重于客户端开发的简易性,同时给Web,桌面,移动等平台给予支持,它是基于OAuth WRAP开放的一套安全认证的流程。

OAuth2.0的授权认证流程如下图:

A:客户端发起授权请求

B:资源的拥有者返回允许授权的应答

C:客户端向授权服务器发出认证授权的请求

D:认证通过,授权服务器会返回一个包含Access Token的应答,该应答中应包含Access Token

E:客户端根据D中得到的Access Token向资源服务器发送访问请求

F:资源服务器返回资源。

 

以上只是个人的简单理解,只做参考。

 

关于OAuth 2.0的认证流程,根据官方的说法,总共有4种:

1. Authorization Code

这是基于网页的授权方式。客户端在请求验证前,需要先将浏览器跳转到用户授权页面,用户在登陆并确认授权后将浏览器Redirect到获得ClientID是注册的回调地址。这个地址中包含一个code参数。用户根据该参数请求服务器获得Access Token。

该认证授权流程包含了图片中的所有步骤。

2.Implicit

这是一种适合JS等网页语言使用的认证方式,这种认证方式比较简单,值包含图片中的A、B、C和D几个步骤。首先将页面引导至用户授权页面,用户授权后直接跳转到回调地址,并将Access Token作为地址参数传递给页面,方便脚本语言(JS)的访问。

3.Resource Owner Password Credentials

这是一种比较大的信任授权方式,前提条件是用户对你的应用有绝对的信任,愿意在你的应用(Client)中输入自己的用户名和密码。客户端通过用户名和密码进行验证,并得到Access Token。由于这种方式需要用户的绝对信任,并且需要客户端程序开发人员有比较强的自律和职业操守,所以这种方式经常不被推荐。

4.Client Credentials

对于不需要用户登陆就可以访问的资源,可以通过这种方式进行授权。这种授权方式只包含C、D、E和F几个步骤。

 

关于 Refresh Token

正常情况下,我们在获得了Access Token后就可以对受保护的资源进行访问。但是 Access Token的声明周期比较短(通常为10分钟),当Access Token到期后,我们可以通过使用Refresh Token重新获得Access Token。

每一个Refresh Token可以使用一次,在重新获得Access Token时,Refresh Token 也会被重新获得。




本文转自齐师傅博客园博客,原文链接:http://www.cnblogs.com/youring2/archive/2012/11/29/2794381.html,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享: