背景介紹:
oauth2.0授權框架支援第三方應用程式以獲取對http服務的有限訪問權,通過協調批准互動來代表資源所有者,在資源所有者和http服務之間,或者通過允許第三方應用程式代表自己獲取訪問許可權。這個規範取代並淘汰了所描述的oauth1.0協議
一、傳統模式的身份驗證模型
在傳統的客戶端-伺服器身份驗證模型中,客戶端請求對伺服器進行訪問限制的資源(受保護的資源)通過使用資源所有者的伺服器向伺服器進行身份驗證證書。為了提供第三方應用程式訪問受限制的資源,資源所有者與第三方。這會帶來一些問題和侷限性:
1、需要第三方應用程式來儲存資源,所有者的憑證供將來使用,通常是密碼明文。
2、儘管要求伺服器支援密碼驗證,密碼固有的安全性弱點。
3、第三方應用程式獲得了對資源的廣泛訪問,所有者的受保護資源,從而使資源所有者一無所有,限制持續時間或訪問有限的子集的能力資源
4、資源所有者不能撤銷對單個第三方的訪問許可權,而不撤銷所有第三方的許可權訪問,並且必須這樣做更改第三方密碼
Oauth2 0授權方式
oauth2.0是一套標準。這個標準解決了這樣的乙個問題。給第三方應用乙個臨時密碼,過期作廢,而且這個密碼的訪問許可權可由我隨時取消。這樣就足夠安全了。這個臨時密碼就是access token。發放access token的方法就多種多樣了,這些方法叫做授權模式。oauth2為我們提供了四種授權方式...
OAuth2 0認證授權
授權碼模式 authorization code 是功能最完整 流程最嚴密的授權模式。它的特點就是通過客戶端的後台伺服器,與 服務提供商 的認證伺服器進行互動。client id x client secret x response type 表示授權型別,必選項,此處的值固定為 code clie...
oauth2 0授權協議
參考文章 一.oauth是什麼?oauth的英文全稱是open authorization,它是一種開放授權協議。oauth目前共有2個版本,2007年12月的1.0版 之後有乙個修正版1.0a 和2010年4月的2.0版,1.0版本存在嚴重安全漏洞,而2.0版解決了該問題,下面簡單談一下我對oau...