1. OAuth2簡易實戰(一)-四種模式
1.1. 隱式授權模式(Implicit Grant)
- 第一步:使用者訪問頁面時,重定向到認證伺服器。
- 第二步:認證伺服器給使用者一個認證頁面,等待使用者授權。
- 第三步:使用者授權,認證伺服器想應用頁面返回Token
- 第四步:驗證Token,訪問真正的資源頁面
1.2. 授權碼授權模式(Authorization code Grant)
- 第一步:使用者訪問頁面
- 第二步:訪問的頁面將請求重定向到認證伺服器
- 第三步:認證伺服器向使用者展示授權頁面,等待使用者授權
- 第四步:使用者授權,認證伺服器生成一個code和帶上client_id傳送給應用伺服器
- 然後,應用伺服器拿到code,並用client_id去後臺查詢對應的client_secret
- 第五步:將code、client_id、client_secret傳給認證伺服器換取access_token和
- refresh_token
- 第六步:將access_token和refresh_token傳給應用伺服器
- 第七步:驗證token,訪問真正的資源頁面
案例Github自取:https://github.com/PinkPig-cq/springSecurityoAuth
1.3. 密碼模式(Resource Owner Password Credentials Grant)
- 第一步:使用者訪問用頁面時,輸入第三方認證所需要的資訊(QQ/微信賬號密碼)
- 第二步:應用頁面那種這個資訊去認證伺服器授權
- 第三步:認證伺服器授權通過,拿到token,訪問真正的資源頁面
優點:不需要多次請求轉發,額外開銷,同時可以獲取更多的使用者資訊。(都拿到賬號密碼了)
缺點:侷限性,認證伺服器和應用方必須有超高的信賴。(比如親兄弟?)
應用場景:自家公司搭建的認證伺服器
1.4. 客戶端憑證模式(Client Credentials Grant)
- 第一步:使用者訪問應用客戶端
- 第二步:通過客戶端定義的驗證方法,拿到token,無需授權
- 第三步:訪問資源伺服器A
- 第四步:拿到一次token就可以暢通無阻的訪問其他的資源頁面。
這是一種最簡單的模式,只要client請求,我們就將AccessToken傳送給它。這種模式是最方便但最不安全的模式。因此這就要求我們對client完全的信任,而client本身也是安全的。
因此這種模式一般用來提供給我們完全信任的伺服器端服務。在這個過程中不需要使用者的參與。
ps:個人理解,如有錯誤,請幫我指出下,謝謝。