首页 > 其他分享 >OAuth 2.0 的一个简单解释

OAuth 2.0 的一个简单解释

时间:2023-06-04 19:56:31浏览次数:45  
标签:解释 令牌 快递 门禁系统 密码 小区 OAuth 2.0

转发自:http://www.ruanyifeng.com/blog/2019/04/oauth_design.html
 
 
 

OAuth 2.0 是目前最流行的授权机制,用来授权第三方应用,获取用户数据。

这个标准比较抽象,使用了很多术语,初学者不容易理解。其实说起来并不复杂,下面我就通过一个简单的类比,帮助大家轻松理解,OAuth 2.0 到底是什么。

一、快递员问题

我住在一个大型的居民小区。

小区有门禁系统。

进入的时候需要输入密码。

我经常网购和外卖,每天都有快递员来送货。我必须找到一个办法,让快递员通过门禁系统,进入小区。

如果我把自己的密码,告诉快递员,他就拥有了与我同样的权限,这样好像不太合适。万一我想取消他进入小区的权力,也很麻烦,我自己的密码也得跟着改了,还得通知其他的快递员。

有没有一种办法,让快递员能够自由进入小区,又不必知道小区居民的密码,而且他的唯一权限就是送货,其他需要密码的场合,他都没有权限?

二、授权机制的设计

于是,我设计了一套授权机制。

第一步,门禁系统的密码输入器下面,增加一个按钮,叫做"获取授权"。快递员需要首先按这个按钮,去申请授权。

第二步,他按下按钮以后,屋主(也就是我)的手机就会跳出对话框:有人正在要求授权。系统还会显示该快递员的姓名、工号和所属的快递公司。

我确认请求属实,就点击按钮,告诉门禁系统,我同意给予他进入小区的授权。

第三步,门禁系统得到我的确认以后,向快递员显示一个进入小区的令牌(access token)。令牌就是类似密码的一串数字,只在短期内(比如七天)有效。

第四步,快递员向门禁系统输入令牌,进入小区。

有人可能会问,为什么不是远程为快递员开门,而要为他单独生成一个令牌?这是因为快递员可能每天都会来送货,第二天他还可以复用这个令牌。另外,有的小区有多重门禁,快递员可以使用同一个令牌通过它们。

三、互联网场景

我们把上面的例子搬到互联网,就是 OAuth 的设计了。

首先,居民小区就是储存用户数据的网络服务。比如,微信储存了我的好友信息,获取这些信息,就必须经过微信的"门禁系统"。

其次,快递员(或者说快递公司)就是第三方应用,想要穿过门禁系统,进入小区。

最后,我就是用户本人,同意授权第三方应用进入小区,获取我的数据。

简单说,OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。

四、令牌与密码

令牌(token)与密码(password)的作用是一样的,都可以进入系统,但是有三点差异。

(1)令牌是短期的,到期会自动失效,用户自己无法修改。密码一般长期有效,用户不修改,就不会发生变化。

(2)令牌可以被数据所有者撤销,会立即失效。以上例而言,屋主可以随时取消快递员的令牌。密码一般不允许被他人撤销。

(3)令牌有权限范围(scope),比如只能进小区的二号门。对于网络服务来说,只读令牌就比读写令牌更安全。密码一般是完整权限。

上面这些设计,保证了令牌既可以让第三方应用获得权限,同时又随时可控,不会危及系统安全。这就是 OAuth 2.0 的优点。

注意,只要知道了令牌,就能进入系统。系统一般不会再次确认身份,所以令牌必须保密,泄漏令牌与泄漏密码的后果是一样的。 这也是为什么令牌的有效期,一般都设置得很短的原因。

(完)

标签:解释,令牌,快递,门禁系统,密码,小区,OAuth,2.0
From: https://www.cnblogs.com/shigongp/p/17456185.html

相关文章

  • 电梯演讲2.0
    电梯演讲2.0:电梯演讲和原型展示说明【智能排班系统电梯演讲-哔哩哔哩】https://b23.tv/tEymGh6 原型展示说明:我们的团队在过去的几个月里,根据我们认为是目标客户,即需要排班的职业人员们的所需求,不断地研发和改进这个系统,希望能够解决他们的痛点和需求。在系统的主页面,你们可以看......
  • 基于2.8版本redis配置文件中文解释
        在Redis中直接启动redis-server服务时,采用的是默认的配置文件。采用redis-server xxx.conf这样的方式可以按照指定的配置文件来运行Redis服务。下面是Redis2.8.9的配置文件各项的中文解释。1#daemonizeno默认情况下,redis不是在后台运行的,如果需要在后台运......
  • SMB 1.0 2.0 3.0 协议 传输速度 对比
    在SMB1.0中,数据传输速度的上限受到多种因素的制约,例如网络带宽、硬件配置、文件大小和数量等等。通常情况下,SMB1.0的最大传输速度约为100Mbps(每秒传输1亿位),这主要取决于以太网硬件的限制。但需要注意的是,由于SMB1.0已经过时,并存在安全漏洞,因此不建议使用它进行数据传输。如果......
  • 解释器模式
    Givealanguage,theInterpreterdesignpatterndefinesarepresentationforitsgrammaralongwithaninterpreterthatusestherepresentationtointerpretsentencesinthelanguage.TheInterpreterDesignPatternprovidesawaytoevaluatelanguagegram......
  • SSO2.0 10-20230529
                           ......
  • SSO2.0 11-20230530
           ......
  • 【OAuth】OAuth 和 OAuth2.0 的区别
    OAuth和OAuth2.0的区别OAuth(OpenAuthorization)和OAuth2.0都是授权协议,用于允许第三方应用程序访问用户在另一个服务提供商上存储的资源。它们的主要区别在于以下几个方面:授权流程:OAuth2.0将授权流程分为了多种授权方式,不同的授权方式对应不同的应用场景和安全需求,包括授权码......
  • 【自用】修机 2.0 小结
    修机2.0小结目录修机2.0小结1.1激活office20161.2office2016安装教程1.3蠕虫病毒1.4错误0x800700E1:无法成功完成操作,因为文件包含病毒或潜在的垃圾软件。1.5RAVendpointprotection简单粗暴卸载法1.1激活office2016office的资源文件在下面的百度网盘中,有需要的伙......
  • SSO2.0 12-20230602
                 ......
  • ubuntu 22.04配置powerline
    1、安装python3和pip3sudoaptinstallpython3python3-pip2、安装powerlinesudoaptinstallpowerline3、配置powerline#powerlineconfig                                             powerline-daemon-qPOWER......