OAuth2详解

最新推荐文章于 2026-05-16 08:34:42 发布
原创 最新推荐文章于 2026-05-16 08:34:42 发布 · 774 阅读 · 12 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#java

一、OAuth2.0 基本概念

OAuth2.0 是一种开放标准授权协议,可让第三方应用在用户许可的前提下,获得用户在某平台的资源(比如微博、微信、GitHub、企业微信等)。最常用于用户"用XX账号登录"第三方网站,以及内部微服务统一用户授权和认证。

  • OAuth2.0 关注授权(Authorization): 即,谁有权访问哪些资源。
  • OpenID Connect (OIDC) 关注身份认证(Authentication): 是OAuth2之上的身份认证扩展标准。

二、核心角色

  1. 资源拥有者(Resource Owner)
    • 通常是用户本人。
  2. 客户端(Client)
    • 需要访问资源的第三方应用,比如“用微信登录”的第三方App。
  3. 授权服务器(Authorization Server)
    • 负责用户登录、授权、颁发token的服务器。
  4. 资源服务器(Resource Server)
    • 用户真实资源的服务器,用于校验token并提供接口(比如微博API)。

三、标准授权流程(Authorization Code 授权码模式)

这是 OAuth2最常见、最安全的一种授权流程,充分保护用户密码和隐私。

步骤说明

  1. 客户端请求授权
    用户在第三方应用上点击“用XX账号登录”,被重定向到授权服务器的授权页面(比如微信的扫码登录页)。

  2. 用户登录并授权
    用户输入账号密码,并确认“允许xxx应用访问我的信息”。

  3. 授权服务器返回授权码(auth code)
    授权服务器重定向回客户端预留的回调地址,带上短时有效的授权码(code)。

  4. 客户端凭授权码后台换取access_token
    客户端服务器拿着code、client_id、client_secret等信息,请求授权服务器,获得access_token和(有时还有)refresh_token

  5. 客户端用access_token访问资源服务器API
    前端或后端用access_token访问资源服务器,获得用户基本信息,如昵称、头像、手机号等。

时序图

[用户] ---点击登录---> [客户端(第三方App)]
                     |
                     |--redirect---> [授权服务器]
                                    |
         <--授权页面(输入密码/同意授权)-->
                                    |
        <--带code回调--> [客户端(后台服务器)]
                     |
        ---用code换token---> [授权服务器]
                     |
       <--access_token/refresh_token--
                     |
    ---用access_token请求API---> [资源服务器]
                     |
          <--用户数据---

四、几种常见授权流程模式

  1. 授权码模式(最常用,见上)
  2. 简化模式(Implicit):主要用于前端单页应用,token直接写在URL,但安全性较弱。
  3. 客户端凭证模式(Client Credentials):服务—服务场景,服务用自己的凭证请求token,无须用户授权。
  4. 密码模式(Resource Owner Password Credentials):应用直接收集用户密码,安全性较差,仅用于可信应用。
  5. JWT Bearer模式:服务间用JWT做认证。

五、token类型说明

  1. access_token
    用于访问资源服务器API。通常有有效期(如2小时),过期后需重新授权或刷新。

  2. refresh_token
    用于在access_token过期后,免用户再次授权,后台直接获取新的access_token。有效期较长(如30天)。

  3. id_token
    OIDC协议才有,表示用户身份信息(JWT格式),适合SSO场景。

六、OAuth2关键参数和接口举例

1. 授权请求(redirect到授权服务器)

GET https://oauth.server.com/authorize?
    response_type=code
    &client_id=你的应用id
    &redirect_uri=回调地址
    &scope=要访问的权限
    &state=随机字符串防止CSRF

2. 获取token

POST https://oauth.server.com/token
    Content-Type: application/x-www-form-urlencoded

    grant_type=authorization_code
    &code=授权码
    &client_id=你的应用id
    &client_secret=你的秘钥
    &redirect_uri=回调地址

3. 访问用户信息

GET https://oauth.server.com/userinfo
    Authorization: Bearer access_token

七、安全注意事项

  1. 使用HTTPS,防止token泄露。
  2. state参数防CSRF攻击,state要随机生成并校验回调的一致性。
  3. access_token要带有效期、权限scope做最小授权原则
  4. refresh_token妥善保存只在服务端使用。
  5. 回调地址(redirect_uri)需提前注册、校验,防止盗用。
  6. token用JWT或其他方式签名,校验合法性和防篡改。

八、实际应用场景

  • “第三方快速登录”页面(微信、钉钉、支付宝等)
  • 微服务、BFF网关间资源访问控制
  • 内部企业应用单点登录
  • API 接口授权管理体系

九、开源解决方案与框架推荐

  • Keycloak(Java、支持OAuth2/OIDC/SAML等标准,适合微服务接入SSO与统一授权)
  • Spring Security OAuth(Java生态下微服务授权首选)
  • OAuthlib/Flask-OAuthlib(Python应用:快速集成OAuth2流程)
  • Authing、Okta、OneLogin(SaaS平台,免运维开箱即用)

十、常见问题简答

  1. 如何实现多个应用的单点登录?
    用统一的OAuth2认证中心,所有业务应用对接登录流程与token校验即可。

  2. 怎样实现安全退出?
    让所有token失效(如在SSO中心统一删除token),或通知业务系统清除本地Session。

  3. token存储在哪里最安全?
    Web端建议存为HttpOnly/Secure Cookie,APP端建议安全区或加密存储。

十一、简单伪代码示例(Python Flask)

# 假设用 Flask-OAuthlib
@app.route("/login")
def login():
    oauth = OAuth2Session(client_id, redirect_uri=redirect_uri)
    auth_url, state = oauth.authorization_url(auth_server)
    return redirect(auth_url)

@app.route("/callback")
def callback():
    code = request.args.get('code')
    token = oauth.fetch_token(token_url, code=code, client_secret=client_secret)
    userinfo = oauth.get(userinfo_api, token=token)
    return "登录成功,用户头像:%s" % userinfo["avatar"]
前言技术之Oauth2全方面介绍
m0_53151031的博客
03-25 4553
一、Oauth2基本概念 1、定义 Oauth2是目前最流行的授权机制,用来授权第三方应用,获取用户数据 2、场景带入 1、外卖场景 一户人家住在一个大型居住小区,小区有门禁系统,进入小区需要输入密码,这户人家经常性点外卖,必须让外卖人员进入到小区,如果把密码告诉外卖人员,这样的话,他就和户主拥有了一样的权限,这样安全隐患太大,给了外面人员密码之后,为了安全,必须要进行修改密码,这就很麻烦。 这时候Oauth2就诞生了,外卖人员的职责只是送货,没必要知道小区密码 ...
OAuth2OAuth2概述及使用GitHub登录第三方网站
Decade_Faiz的博客
07-19 3328
OAuth 是一个开放的非常重要的认证标准/协议,允许用户授权第三方应用访问其存储在其他网站上资源,而无需将用户名密码提供给第三方网站的开放标准/协议。OAuth2OAuth 的最新版本,同时也是被广泛应用的一个版本。我们在网站上常见的QQ登录,微信扫码登录,GitHub 授权登录就是基于 OAuth2.0 实现的。点击跳转。
SpringSecurity OAuth2授权码与客户端模式实战
最新发布
chenzhaom的博客
05-16 427
本文基于Spring Security 6.5.8版本,深入解析OAuth2授权码模式与客户端模式的实现原理。文章首先阐述了OAuth2的核心概念与设计目标,包括其作为授权代理的定位、安全优势及分布式系统适配能力。随后详细拆解了授权码模式的完整流程,从客户端发起请求到最终Token颁发,重点分析了授权端点过滤器、Token端点过滤器等核心组件的协同工作机制。对于客户端模式,文章则着重讲解了其无用户参与的纯服务间授权特性。最后,通过RefreshToken刷新机制的解析,展示了如何实现长期有效的安全授权。
Spring Security OAuth2详解
qq_33814479的博客
10-12 7810
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
OAuth2】详细讲解
热门推荐
Huang_Ds的博客
06-30 2万+
Oauth2的基本概念与四种认证模式的详细讲解 ​​​​​​​
OAuth2 详细介绍!
weixin_52834606的博客
09-22 1万+
OAuth2 , Spring Security OAuth2 , JWT
OAuth2详解及Github OAuth2实践
qq_61887118的博客
10-07 1156
OAuth在"客户端"与"服务提供商"之间,设置了一个授权层(authorization layer)。"客户端"不能直接登录"服务提供商",只能登录授权层,以此将用户与客户端区分开来。"客户端"登录授权层所用的令牌(token),与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。 "客户端"登录授权层以后,"服务提供商"根据令牌的权限范围和有效期,向"客户端"开放用户储存的资料。
OAuth协议详解OAuth1.0到OAuth2.0(总结)
zhangxiaoxiao9527的博客
01-13 3345
什么是OAuth协议 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。简单来说就是提供除了"账户密码"验证方式以外的验证授权方式。
SpringSecurity + OAuth2 详解
初心不忘、始终方得
02-19 1万+
SpringSecurity入门到精通************************************************************************** SpringSecurity 介绍 **************************************************************************一、入门1.简介与选择2.入门案例-默认的登录和登出接口3.登录经过了哪些步骤二、基础的自定义认证1.自定义UserDetailsServi
Springsecurity-oauth2OAuth2AuthenticationProcessingFilter
weixin_33895016的博客
02-24 7174
2019独角兽企业重金招聘Python工程师标准>>> ...
OAuth2学习(一)——初识OAuth2
Anumbrella
08-27 1万+
今天我们来讲解一下OAuth2,在平时应用中我们经常能够见到它的身影。比如,当微信小程序获取你的用户名和头像时需要你授予权限,以及当我们在网站上使用微信或QQ登录时也是使用到了OAuth2。接下来我们便来讲解一下OAuth2。 一、什么是OAuth2 OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。 OAuth(开放授权)是一个关于授权的开放标准,允许用户授权第三方移动...
springboot Oauth2配置OAuth2AuthenticationProcessingFilter
huhanguang89的博客
05-23 1万+
工作中遇到一个比较蛋疼的情况,Oauth2人家的jar包封装的好好的,当access_token超时的时候,返回的是OAuth2Exception,格式是{"error":"invalid_request","error_description":"code:'401','msg'='Invalid access token'"}。可是公司其他和我对接的同事非要我统一所有的返回为code,msg。
基于go-oauth2/oauth2实现OAuth 2.0 授权码方式
蜗牛^_^的博客
01-20 1万+
前言 本文基于go-oauth2/oauth2,参考go-oauth2/oauth2/example、go-oauth2/gin-server、llaoj/oauth2,结合beego框架实现OAuth 2.0授权码方式。 介绍 OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某网站上存储的资源(如邮箱、手机、头像等),而无需将用户名和密码提供给第三方应用。 OAuth2.0规定了四种授权方式,授权码、隐藏式、密码式、客户端凭证。本文主要讲解授权码方式的实现。可参考OAuth 2.0
OAuth2 详解
csdn_tom_168的博客
06-11 2758
OAuth2 是一个强大的授权框架,支持多种授权模式核心角色:资源所有者、客户端、授权服务器、资源服务器关键组件:访问令牌、刷新令牌、授权码、令牌端点安全特性:令牌隔离、作用域限制、令牌撤销典型应用:第三方登录、API访问、微服务授权最佳实践:使用授权码模式、设置合理有效期、使用HTTPSOAuth2 是现代分布式系统和多应用环境的重要授权解决方案,合理使用可以显著提升系统的安全性和灵活性。
Oauth2 认证
fjd7474的博客
03-15 8606
1 简介 1.1 基本概念 认证:用户访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,常见的账号密码登录,验证码登录,指纹登陆 授权:用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限 单点登录 SSO:用户在一个系统中登录,其他任意受信任的系统都可以访问,例如在京东主页登陆了,京东其他页面就不需要再登录,这个功能就叫单点登录。 第三方账号登录:第三方系统对用户认证通过 1.2 认证解决方案 1.2.1 单点登录技术方案 分布式系统要实现单点登录,通常将认证系统独立抽
SpringBoot整合OAuth2
明平姚的博客
09-04 1万+
1. OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。Oauth协议目前发展到2.0版本,1.0版本过于复杂,2.0版本已得到
OAuth1和OAuth2授权协议
ystyaoshengting的专栏
01-26 1526
的方式,实现用户授权第三方访问其资源的功能。在 OAuth1 中,安全性依赖于签名机制,无需传递用户密码。OAuth2OAuth1 的升级版本,设计上更简化,更灵活。进行授权,与 OAuth1 的签名机制相比,OAuth2 更容易实现。OAuth2 的授权流程根据授权模式不同而有所变化,以下是常用的。OAuth1 是 OAuth 标准的第一个正式版本,它通过。
OAuth2
qq_64376339的博客
05-15 1253
在前边我们提到微信扫码认证,这是一种第三方认证的方式,这种认证方式是基于OAuth2协议实现,OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。
Oauth2协议
m0_53157173的博客
11-17 1829
Oauth2协议Oauth2简介角色常用术语令牌类型特点授权模式授权码模式(Authorization Code)简化授权模式(Implicit)密码模式(Resource Owner PasswordCredentials)客户端模式(Client Credentials)刷新令牌----令牌过期Spring Security Oauth2授权服务器Spring Security Oauth2架构Spring Security Oauth2授权码模式创建项目添加依赖编写配置类编写实体类编写Service编
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

猩火燎猿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值