OAuth是Open Authority的缩写,是令牌代替用户密码访问应用的又一标准,前面一期介绍过SSO单点登录(SpringBoot模拟单点登录),也是令牌登陆的一种方式。
OAuth2.0最典型的授权码认证方式:
资源服务器和鉴权服务器都是属于资源所有方,也就是最终的服务提供方,第三接入方需要先与鉴权服务器申请合作获取客户编码。
对于资源服务器来说,需要做的是
1 accessToken和clientId的校验
2 token校验通过后要对token访问权限做好限制
对于鉴权服务器来说,需要做的是
1 接受第三方应用的申请,维护clientId
2 提供登入页面,做用户、密码鉴权
3 授权码生成和验证
4 token的生成
5 clientId、token的维护,一般clientId入库,token入内存
OAuth2.0最主要的是授权码方式和简单方式,简单方式就是省略了上面客户端获取code然后交换token的过程。
OAuth2.0网上资料经常拿来跟SSO混为一谈,个人觉得这两个概念一定要区分开,根本是两回事。
SSO是为了解决一个用户在鉴权服务器登陆过一次以后,可以在任何应用中畅通无阻,一次登陆,多系统访问,操作用户是实打实的该应用的官方用户,用户的权限和分域以鉴权服务器的存储为准。
OAuth2.0 解决的是通过令牌获取某个系统的操作权限,因为有 clientId 的标识,一次登陆只能对该系统生效,第三方应用的操作用户不是鉴权系统的官方用户,授权权限鉴权中心可以做限制。OAuth是Open Authority的缩写,是令牌代替用户密码访问应用的又一标准,前面一期介绍过SSO单点登录(SpringBoot模拟单点登录),也是令牌登陆的一种方式。
OAuth2.0最典型的授权码认证方式:
资源服务器和鉴权服务器都是属于资源所有方,也就是最终的服务提供方,第三接入方需要先与鉴权服务器申请合作获取客户编码。
对于资源服务器来说,需要做的是
1 accessToken和clientId的校验
2 token校验通过后要对token访问权限做好限制
对于鉴权服务器来说,需要做的是
1 接受第三方应用的申请,维护clientId
2 提供登入页面,做用户、密码鉴权
3 授权码生成和验证
4 token的生成
5 clientId、token的维护,一般clientId入库,token入内存
OAuth2.0最主要的是授权码方式和简单方式,简单方式就是省略了上面客户端获取code然后交换token的过程。
OAuth2.0网上资料经常拿来跟SSO混为一谈,个人觉得这两个概念一定要区分开,根本是两回事。
SSO是为了解决一个用户在鉴权服务器登陆过一次以后,可以在任何应用中畅通无阻,一次登陆,多系统访问,操作用户是实打实的该应用的官方用户,用户的权限和分域以鉴权服务器的存储为准。
OAuth2.0 解决的是通过令牌获取某个系统的操作权限,因为有 clientId 的标识,一次登陆只能对该系统生效,第三方应用的操作用户不是鉴权系统的官方用户,授权权限鉴权中心可以做限制。