Oauth2单点登录

首先给大家推荐一下我老师大神的人工智能教学网站。教学不仅零基础,通俗易懂,而且非常风趣幽默,还时不时有内涵黄段子!点这里可以跳转到网站OAuth 2.0是一种设计思路,不是一个框架
Oauth2的4种模式:1、授权码模式(获取code、code换取access_token)2、简化模式(直接换取access_token,基本不用)3、密码模式(客户端像用户索取账号密码,然后客户端向服务端索取授权,基本不用)4、客户端模式(客户端以自己的名义要求”服务提供商”提供服务;场景:提供接口服务)
Oauth2授权码模式流程1、先注册应用,每个系统都有client_id 应用idclient_secret 应用secret
2、注册一个用户
3、请求授权码code(换取的code其实已经标志了是哪一个用户)http://localhost:8080/oauth2-server/authorize?client_id=client_id&client_secret=client_secret&response_type=code&redirect_uri=redirect_uri
参数说明client_id 应用idclient_secret 应用secret(secret肯定是不能放在url上面的,一般都会把secret当成一个秘钥对传输的参数做一个电子签名,然后到服务端验证这个签名是否合法)response_type 返回授权码的标识redirect_uri 回调地址
4、服务端跳转到登录页面(安全:可以做redirect_uri的域名认证,像微信登录,注册应用时保存域名),用户输入账号密码登录(或者已经登录的用户做授权操作)
5、服务端返回授权码,重定向到redirect_uriredirect_uri?code=63910432da9186b22b1ad888d55ae8ae
6、以POST方式提交到http://localhost:8080/oauth2-server/accessToken,最终返回accessTokenclient_id 应用idclient_secret 应用secretgrant_type 用于传递授权码的参数名authorization_codecode 用户登录授权后的授权码redirect_uri 回调地址
服务端最终返回如下数据{“expires_in”:3600,”access_token”:”access_token”}
7、access_token过期校验
8、access_token刷新接口
9、获取用户信息,见过很多网站,第三方登录后还要注册一次,因为他们拿到了access_token后并没有去获取用户信息,或者获取不到需要的信息,比如说手机、邮箱等信息获取用户信息,服务端一般会返回一个唯一标志UUID、用户名、用户头像等用户信息,然后子系统录入这些信息,并把该用户信息和access_token做绑定,子系统也可以对该用户做授权等操作
为什么授权码模式需要这个授权码因为直接返回access_token有可能被黑客拦截到,而拿到access_token就可以获得用户信息了,非常不安全。 那最容易想到的是,微博通过https返回access_token啊,https会对access_token加密,那不就可以了吗? 为什么这个方法不可行呢? 因为有可能我们的网站不支持https!站在微博的角度来看,千千万万的第三方网站,你要求每个网站都支持https,是不太现实的。那为什么返回code再去获取access_token就安全了呢? 1、用clientId换取code,这一步是跳转到了保存用户信息的应用的,比如说qq、微信、新浪等,为什么需要跳转到这个应用,因为需要获取登录用户的信息(可能保存在浏览器cookie里面),换取code后,需要重定向回用户的应用,这时候,并不是每个应用都支持https的,所以信息并不是加密的。但是,另一个问题来了,黑客拿到了code,它也向微博发起请求去获取access_token是不是就可以了呢? 2、这是获取不到accessToken,因为获取accessToken还需要用到secret,而且,这时候请求获取accessToken是https(像QQ、微信、新浪,人家肯定是支持https的),这时候是加密的,就安全了。

点这里可以跳转到人工智能网站

发表评论