OAuth2.0認證和受權原理
Springboot+Spring-Security+JWT+Redis實現restful Api的權限管理以及token管理
https://blog.csdn.net/lixiang987654321/article/details/83381494html
OAuth 2.0定義了四種受權方式:mysql
一.密碼模式(resource owner password credentials)(爲遺留系統設計)(支持refresh token)web
- 這種模式是最不推薦的,由於client可能存了用戶密碼
- 這種模式主要用來作遺留項目升級爲oauth2的適配方
- 固然若是client是自家的應用,也是能夠
- 支持refresh token
- 使用client_id和client_secret以及用戶名密碼直接獲取祕鑰
- 請求地址: http://localhost:7010/uaa/oauth/token?grant_type=password&username=lixx&password=dw123456
二.受權碼模式(authorization code)(正宗方式)(支持refresh token)spring
-
這種模式算是正宗的oauth2的受權模式sql
-
設計了auth code,經過這個code再獲取token數據庫
-
支持refresh token編程
-
請求地址:http://localhost:7010/uaa/oauth/authorize?response_type=code&client_id=wx_takeout_client_id&redirect_uri=http://localhost:7010/uaa/login後端
三.簡化模式(implicit)(爲web瀏覽器應用設計)(不支持refresh token)api
- 這種模式比受權碼模式少了code環節,回調url直接攜帶token
- 這種模式的使用場景是基於瀏覽器的應用
- 這種模式基於安全性考慮,建議把token時效設置短一些
- 不支持refresh token
- implicit模式(隱式模式)和受權碼模式(authorization_code)訪問差很少,相比之下,少了一步獲取code的步驟,而是直接獲取token
-
請求: 用瀏覽器(此時同受權碼模式,瀏覽器能跳轉到登陸頁面,postman不行)瀏覽器
-
http://localhost:7010/uaa/oauth/authorize?response_type=token&client_id=wx_takeout_client_id&redirect_uri=http://localhost:7010/uaa/login
四.客戶端模式(client credentials)(爲後臺api服務消費者設計)(不支持refresh token)
-
這種模式直接根據client的id和密鑰便可獲取token,無需用戶參與
-
這種模式比較合適消費api的後端服務,好比拉取一組用戶信息等
-
不支持refresh token,主要是沒有必要
- 請求參數:請求頭添加上 client_id和client_secret的basic編碼,請求提添加grant_type必須設置爲client_credentials
http://www.javashuo.com/article/p-aososazd-dp.html
springboot+springsecurity+oauth2整合(並用mysql數據庫實現持久化客戶端數據)
http://www.javashuo.com/article/p-xplpvhnj-dx.html
Spring Boot OAuth2 整合(受權碼和password的數據庫配置方式)
- 1. OAuth2.0認證和受權原理
- 2. [轉載] OAuth2.0認證和受權原理
- 3. OAuth2.0認證和受權原理(續)
- 4. OAuth2.0認證受權workflow
- 5. OAuth2.0認證和授權原理
- 6. OAuth2.0認證和受權機制講解
- 7. iOS開發- OAuth2.0認證和SSO受權
- 8. Oauth2.0認證原理
- 9. OAuth2.0認證原理
- 10. oAuth 認證和受權原理
- 更多相關文章...
- • MyBatis的工作原理 - MyBatis教程
- • BASE原理與最終一致性 - NoSQL教程
- • ☆技術問答集錦(13)Java Instrument原理
- • Java Agent入門實戰(三)-JVM Attach原理與使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。