OAuth2是什么
OAuth2是目前最流行的授权协议,用来授权第三方应用,获取用户数据。
令牌 vs 密码:
令牌
- 短期的,自动失效
- 可以撤销,撤销立即生效
- 有权限范围,如只能进2号门
密码
- 长期有效
- 一般不允许他人撤销
- 密码一般是完整权限
为什么要用OAuth2
单体架构:cookie session机制
分布式架构方案:session共享
分布式架构方案:基于token
cookie session和token的区别
- cookie不能跨域,前后端分离分布式架构实现多系统 SSO非常困难
- 移动端应用没有cookie,所以对于移动端支持不好
- token基于header传递,部分解决了CSRF攻击
- token要比sessionID大,客户端存储在Local Storage中,可以直接被JS读取
工程结构
授权服务器:颁发和验证令牌
资源服务器:提供需要令牌才能访问的服务
授权服务器配置:
资源服务器配置:
OAuth2授权模式
授权码模式
response_type固定为code
- 申请授权码
- 输入用户名密码,确认身份
- 返回授权码
- 客户端携带授权码访问授权服务器
- 验证授权码通过,返回令牌
简化模式
不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了“授权码”这个步骤“
response_type简化模式固定为token
密码模式
用户向客户端提供自己的用户名和密码,这通常用在用户对客户端高度信任的情况
grant_type填写password
客户端模式
是指客户端使用自己的名义而不是用户的名义向服务提供者申请授权,很少使用
扫一扫
360
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
