首页 > 编程语言 >【揭秘OAuth协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OAuth协议的奥秘,告别SSO的迷茫与困惑

【揭秘OAuth协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OAuth协议的奥秘,告别SSO的迷茫与困惑

时间:2024-02-05 11:00:36浏览次数:41  
标签:Java Token SSO Client token 服务器 OAuth 授权 客户端

背景介绍

在现代的网站中,我们经常会遇到需要用户登录的情况。然而,直接要求用户注册可能会显得繁琐,导致用户的流失。为了解决这个问题,网站可以采用OAuth授权机制。通过与像GitHub或其他第三方网站的认证授权合作,网站可以获取用户的相关信息,避免了繁琐的注册过程。

在从第三方网站授权获取用户信息后,可能还需要在本网站填写一些必要的信息,例如手机号码、用户名等,以进行绑定操作。相比直接注册,这种方法要简便得多,也更容易被用户接受。在本文中,我们将解释OAuth 2.0授权框架的构成,希望能为大家带来喜悦。

OAuth的角色

在传统的基于客户端-服务器(CS)模式的授权系统中,当我们希望使用第三方系统来访问受限制的资源时,第三方系统需要获得受限资源服务器的用户名和密码才能进行访问。然而,这种方式明显存在安全隐患。那么,在OAuth2中我们是如何处理这个问题的呢?

在OAuth2中,涉及到以下几个重要的角色:

【揭秘OAuth协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OAuth协议的奥秘,告别SSO的迷茫与困惑_服务器

  • 资源所有者(Resource Owner):代表资源的拥有者,通常是一个人。资源所有者可以通过提供用户名密码或其他方式进行授权。
  • 资源服务器(Resource Server):代表最终存储和提供资源的服务器,例如通过GitHub授权获取到的用户信息。
  • 客户端(Client):代表与资源服务器进行交互的应用或服务。客户端充当资源所有者的代理,向授权服务器请求访问资源。
  • 授权服务器(Authorization Server):负责进行授权的服务器,生成访问令牌(Access Token)等相关凭证。

OAuth2实现了安全且可控的资源访问流程。资源所有者授权给客户端访问资源,客户端使用授权服务器颁发的访问令牌来请求资源服务器获取目标资源,这一组合使得OAuth2成为了一种广泛应用于网络服务和应用程序之间安全授权的标准协议。

OAuth2授权的流程

OAuth2授权的整个流程如下:

【揭秘OAuth协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OAuth协议的奥秘,告别SSO的迷茫与困惑_Access_02

  1. 客户端(Client)向资源所有者(Resource Owner)发起授权请求。资源所有者输入相应的认证信息,将授权凭证(Authorization Grant)返回给客户端。
  2. 客户端使用获得的授权凭证向授权服务器(Authorization Server)发起请求,请求获取访问令牌(Access Token)。
  3. 授权服务器验证客户端的身份和授权凭证,并生成访问令牌。
  4. 客户端使用访问令牌向资源服务器(Resource Server)发起请求,以获取受限资源。

通过以上流程,客户端通过授权服务器获取到有效的访问令牌,并使用该令牌向资源服务器请求受限资源。

OAuth2.0的访问令牌

让我们了解一下什么是AccessToken和RefreshToken。

【揭秘OAuth协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OAuth协议的奥秘,告别SSO的迷茫与困惑_Access_03

Access Token

这是OAuth协议中的核心令牌。当一个应用(例如,一个网站或一个应用)希望访问另一个服务(例如,Google Drive或Facebook)上的用户数据时,它首先需要获得用户的授权。一旦用户授权,服务器会返回一个AccessToken。这个Token就像一把钥匙,允许持有它的应用访问用户的资源。

  • Access Token的表现形式:实际上是一个全局唯一的随机字符串,它代表了得到用户授权的客户端。拥有这个令牌,就意味着该客户端已经得到了用户的授权,可以访问相应的资源。
  • Access Token的包含内容:包含一些关于资源访问者的信息,例如用户身份、权限等,但这些信息不能直接从Access Token中读取出来。这些信息实际上存储在平台的数据库中,平台可以使用Access Token作为关键字去查询这些信息,以验证调用方是否有权限访问资源。
  • Access Token有一定的有效期:这是为了降低因Access Token泄露而带来的风险。如果Access Token过期了,那么客户端就需要重新获取一个新的Access Token。而Refresh Token就是用来重新获取新的Access Token的。

Refresh Token

为了确保安全,access token总是有一个过期时间。当token过期时,我们需要采取适当的措施。其中一种解决方案是使用refresh token。

当AccessToken过期时,RefreshToken就派上用场了。简单来说,RefreshToken就像是一个“替身”令牌。当AccessToken过期时,持有RefreshToken的应用可以用来请求新的AccessToken,而无需再次请求用户授权。这大大简化了流程,并确保了应用的连续访问权限。

refresh token的工作原理

让我们通过一个流程图来详细了解refresh token的工作原理:

【揭秘OAuth协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OAuth协议的奥秘,告别SSO的迷茫与困惑_服务器_04

OAuth Refresh Token流程步骤
  1. 检测Token状态:客户端在后续访问资源时,会检查其持有的access token是否过期。
  2. 发送Refresh请求:如果发现access token已过期,客户端会立即向认证服务器发送refresh token的请求。
  3. 生成新Token:认证服务器在收到refresh请求后,会生成一个新的access token。
  4. 返回新Token:认证服务器将新生成的access token返回给客户端。
  5. 使用新Token:客户端使用新获取的access token继续访问资源。
  6. 持续访问:这个过程确保了客户端可以持续地访问资源,不会因access token过期而中断。

OAuth2.0授权类型

经过上述的讲解,相信您对OAuth2.0协议的基本框架有了初步的了解。但值得注意的是,真正的OAuth2.0协议还包含四种不同场景下的模式,而不仅仅是基础框架。这些模式在具体的实现和应用上存在差异,旨在满足不同的安全和授权需求。因此,为了更全面地掌握OAuth2.0,了解这些不同模式的特点和应用场景也是非常重要的。

四种模式

【揭秘OAuth协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OAuth协议的奥秘,告别SSO的迷茫与困惑_Access_05

授权码(Authorization Code)模式

在之前提到的案例中,Client会负责保存Authorization Grant信息,并据此向授权服务器请求Access Token。然而,这种做法对Client有一定的安全限制。当考虑到web环境下的应用场景时,Client通常会借助user-agent(如web浏览器)来进行访问。这种情况下,直接保存和传输Authorization Grant信息可能带来安全风险。

为了解决这个问题,我们可以采用Authorization Code模式。这种模式通过引入user-agent作为中间人,增强了安全性,同时确保了用户的授权信息不被泄露。

流程分析

Client通过User-Agent发起请求,并附带必要的跳转链接。一旦完成了用户的授权认证信息提交,授权服务器会返回一个authorization code,而不是直接生成access token或refresh token。有了这个authorization code,Client便可以凭此向授权服务器请求获取access Token或refresh Token。

【揭秘OAuth协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OAuth协议的奥秘,告别SSO的迷茫与困惑_Access_06

案例分析

为了更直观地理解上述授权流程,我们可以通过一个实例来详细说明:在这个场景中,resource owner代表我们要访问的资源,Authorization Server则是指第三方授权服务器。

例如,GitHub的授权服务。而User-Agent,当然就是指我们日常使用的浏览器了。

【揭秘OAuth协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OAuth协议的奥秘,告别SSO的迷茫与困惑_服务器_07

access token返回值
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

     {
       "access_token":"213YotnFZFEjr1zCsicMWA",
       "token_type":"application",
       "expires_in":3600,
       "refresh_token":"433YotnFZFEyu1zCsicMWA",
       "example_parameter":"value"
     }

隐式授权模式

在传统的OAuth流程中,Client确实需要直接与授权服务器进行通信以获取Access Token。然而,有一些方法可以实现间接通信,从而避免Client直接与授权服务器交互。

【揭秘OAuth协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OAuth协议的奥秘,告别SSO的迷茫与困惑_服务器_08

上图展示了隐式授权的一个实例。与Authorization Code模式不同,授权服务器在此模式下返回的是一个access token片段。这个片段本身并不足以提供完整的access token。

为了获取完整的access token,我们需要额外向client resource服务器发起一次请求。当请求被接受后,服务器将返回一个script脚本。利用这个script脚本,我们能够对先前收到的access token片段进行解析,从而获得最终的access token。这种方法在流程上稍微复杂一些,但为client提供了一种在不直接与授权服务器交互的情况下获取access token的途径。

一种常见的方法是通过使用第三方库或服务来实现OAuth流程的自动化。这些库通常已经与各大OAuth提供商进行了集成,并简化了通信和Token获取的过程。通过使用这些库,Client可以间接地通过库与授权服务器进行通信,而无需直接处理OAuth流程的细节。

授权密码认证

Resource Owner授权密码认证模式实际上相当于用户将密码交给client保管,由client使用保存好的用户名密码向授权服务器请求资源。

通常出现在以下情况:

当 Resource Owner 对 Client 高度信任,或者二者之间存在某种紧密的关系时,Resource Owner 可以选择通过密码认证的方式将其权限授予 Client。在这种模式下,Resource Owner 需要提供用户名和密码,Client 则使用这些凭据来请求 Access Token。

【揭秘OAuth协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OAuth协议的奥秘,告别SSO的迷茫与困惑_Access_09

  • 优点:由于省略了Authorization Code的交换步骤,因此流程相对简单。
  • 缺点:它也有一些潜在的安全风险。例如,如果 Client 泄露了用户的凭据,Hit者可能会利用这些信息获取 Access Token 并假冒 Resource Owner 的身份进行非法访问。

Resource Owner 授权密码认证模式适用于那些高度信任的、需要简化流程的场景。在使用这种模式时,应当确保 Client 的安全性和保密性,并采取额外的安全措施来保护用户的凭据和访问权限。

Client认证授权

Client 在与授权服务器进行交互时,可以证明自己的身份并获得相应的授权。通过 Client 认证授权,Client 可以直接获取到授权服务器的 Access Token,而无需用户参与认证过程。

Client认证授权几个步骤

Client 认证授权是一种机制,通过这种机制,Client 在与授权服务器进行交互时,可以证明自己的身份并获得相应的授权。通过 Client 认证授权,Client 可以直接获取到授权服务器的 Access Token,而无需用户参与认证过程。

【揭秘OAuth协议 — Java安全认证框架的核心基石】 从初识到精通,带你领略OAuth协议的奥秘,告别SSO的迷茫与困惑_服务器_10

  1. Client 注册:在 Client 认证授权中,首先需要在授权服务器上注册 Client。这一步通常涉及提供有关 Client 的信息,如标识、类型、授权范围等。
  2. Client 认证:在与授权服务器进行通信之前,Client 需要通过某种形式的认证来证明其身份。这可以通过多种方式实现,例如使用客户端标识和密钥、数字签名或其他安全机制。
  3. 获取 Access Token:一旦 Client 通过认证,授权服务器将验证其身份并授予相应的权限。然后,Client 可以直接从授权服务器获取 Access Token,用于后续的资源访问。
  4. 使用 Access Token:Client 在获得 Access Token 后,可以使用它来访问受保护的资源。Access Token 通常包含有关 Client 的授权信息,以便资源服务器验证其有效性。

总结介绍

OAuth2.0是一种授权协议,允许用户授权第三方应用程序访问其存储在另一个服务提供商上的受保护资源,而无需共享其用户名和密码。它提供了灵活的授权模式,以满足不同的安全和功能需求。

OAuth2.0的基本组成

  1. 授权流程:OAuth2.0使用授权流程来允许用户授权第三方应用程序访问其受保护的资源。该流程涉及四个角色:资源所有者(User)、资源服务器(Resource Server)、客户端(Client)和授权服务器(Authorization Server)。
  2. 授权模式:OAuth2.0提供了四种授权模式,分别是隐式授权、授权码模式、密码模式和客户端凭据模式。每种模式都有不同的使用场景和安全要求。

OAuth2.0的4种模式

  1. 隐式授权模式:在这种模式下,客户端通过用户代理(如浏览器)向用户显示认证页面,并自动将访问令牌放在URL中返回给客户端。客户端可以直接使用令牌来访问受保护的资源。
  2. 授权码模式:这是OAuth2.0协议中最常用的模式。客户端通过用户代理向用户显示认证页面,用户授权后,授权服务器将访问令牌作为对客户端的响应返回给客户端。客户端然后使用该访问令牌来访问受保护的资源。
  3. 密码模式:在这种模式下,客户端直接从用户那里获取用户名和密码,然后使用这些凭据来从授权服务器获取访问令牌。这种模式存在安全风险,因为它暴露了用户的凭证信息。
  4. 客户端凭据模式:在这种模式下,客户端使用自己的凭证信息(如客户端ID和客户端密钥)来从授权服务器获取访问令牌。这种模式通常用于机器对机器之间的通信,例如API调用。

版权声明

注意:特此声明:本文首发在掘金:https://juejin.cn/spost/7331369945056002067,未经允许,请勿进行侵权私自转载

标签:Java,Token,SSO,Client,token,服务器,OAuth,授权,客户端
From: https://blog.51cto.com/alex4dream/9602186

相关文章

  • Redis的Java客户端-Jedis
    Redis的Java客户端-Jedis在Redis官网中提供了各种语言的客户端,地址:https://redis.io/docs/clients/其中Java客户端也包含很多:标记为❤的就是推荐使用的java客户端,包括:Jedis和Lettuce:这两个主要是提供了Redis命令对应的API,方便我们操作Redis,而SpringDataRedis是对这两种做了......
  • java 8 接口默认方法多继承
    已知:publicinterfaceA{defaultvoidfun(){System.out.println("A");}}publicinterfaceBextendsA{defaultvoidfun(){System.out.println("B");}}publicinterfaceC{defaultvoidfun(){......
  • SpringBoot中使用Spring自带线程池ThreadPoolTaskExecutor与Java8CompletableFuture实
    场景关于线程池的使用:Java中ExecutorService线程池的使用(Runnable和Callable多线程实现):https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/126242904Java中创建线程的方式以及线程池创建的方式、推荐使用ThreadPoolExecutor以及示例:https://blog.csdn.net/BADAO_......
  • Java Integer包装类缓存(cache)
    ​ Java的Integer类有一个内部的缓存机制,主要用于优化自动装箱(autoboxing)和拆箱(unboxing)的性能。这个特性首次引入于Java5,旨在减少对频繁使用的小整数值的重复对象创建,从而提高性能和减少内存使用。 参数文档:JavaInteger包装类缓存(cache)-CJavaPy1、缓存范围默认情况下,I......
  • R语言LASSO特征选择、决策树CART算法和CHAID算法电商网站购物行为预测分析
    全文链接:http://tecdat.cn/?p=32275原文出处:拓端数据部落公众号本文通过分析电子商务平台的用户购物行为,帮助客户构建了一个基于决策树模型的用户购物行为预测分析模型。该模型可以帮助企业预测用户的购物意愿、购物频率及购买金额等重要指标,为企业制定更有针对性的营销策略提供......
  • java----多线程
    1.什么是线程和进程?进程好比一个软件,线程好比软件中的一个功能。一个进程包含了多个线程,举例:比如360软件中木马查杀;买票的时候,火车站就是一个进程,各个窗口表示线程。并行与并发之间的区别:好比做饭吧,几个厨师分别同时做不同的食物-------------------并行---------------......
  • 【Java基础】Java线程的六种状态详解
    NEW状态当创建一个Thread对象但尚未调用其start()方法时,线程处于NEW状态。在这个状态下,线程并未启动,仅完成了初始化阶段。RUNNABLE状态RUNNABLE是Java中较为特殊的一个状态,它涵盖了传统操作系统中的就绪和运行两种状态。当线程已启动且CPU调度器为其分配了时间片或线程正在等待系......
  • Java 运算符详解与字符串处理技巧
    Java运算符算术运算符算术运算符用于执行常见的数学运算。运算符名称描述示例+加法将两个值相加x+y-减法从一个值中减去另一个值x-y*乘法将两个值相乘x*y/除法将一个值除以另一个值x/y%取模返回除法余数x%y++自增将变量......
  • Java并发(二十三)----同步模式之保护性暂停
    1、定义即GuardedSuspension,用在一个线程等待另一个线程的执行结果要点有一个结果需要从一个线程传递到另一个线程,让他们关联同一个GuardedObject如果有结果不断从一个线程到另一个线程那么可以使用消息队列JDK中,join的实现、Future的实现,采用的就是此模式因......
  • java Atomic原子类&&常见并发容器
    Atomic原子类Atomic原子类介绍Atomic翻译成中文是原子的意思。在这里Atomic是指一个操作是不可中断的。即使是在多个线程一起执行的时候,一个操作一旦开始,就不会被其他线程干扰。所以,所谓原子类说简单点就是具有原子/原子操作特征的类。并发包 java.util.concurrent 的原......