OAuth简介

OAuth是在不提供用户名和密码的情况之下,授权第三方应用访问Web资源的安全协议。

OAuth允许用户提供一个令牌给第三方网站,一个令牌对应一个特定的第三方网站,同时该令牌只能在特定的时间内访问特定的资源。

比如在FB上想要导入MSN好友,在没有OAuth时,可能需要用户向FB提供MSN的用户名和密码。

OAuth解决了这个信任问题。它使得用户不需要向FB提供MSN的用户名和密码的情况下,可以授权MSN将用户的好友名单提供给FB。

OAuth中的角色:

服务商(Server):用户使用服务的提供方,一般用来存消息、储照片、视频、联系人、文件等(比如Twitter、Sina等)。

用  户(Resource Owner):服务商的用户

消费方(Client):通常是网站,该网站想要访问用户存储在服务商那里的信息。

上面例子里面,Client是FB,Server是MSN,Resource Owner是用户。

另外一个实例:

Jane在f.com上有两张照片,她想要将这两张照片分享到b.com,这个过程如何实现?

Jane在b.com上选择要分享的两张照片.

在b.com的后台会创建一个临时凭证,稍后Jane将持此凭证前往f.com.

然后页面跳转到f.com的OAuth页面,并要求Jane登录。注意,这里是在f.com上登录。

登录成功后,f.com会询问Jane是否授权b.com访问Jane在f.com里面的私有照片。

如果Jane授权成功,f.com会将Jane带来的临时凭证标记为Jane已经授权,同时跳转回b.com,并带上临时凭证(Temporary Credentials),凭此,b.com知道它可以去获取Jane的照片了。

对于b.com来说,它首先通过Request Token去f.com来换取Access Token,然后就可以用Access Token访问资源了。Request Token只能用于获取用户的授权,Access Token才能用于访问用户的资源。

最终,Jane成功将照片从f.com分享到b.com上。

一个通用的流程:

1、用户访问Client网站,想对用户存放在Server的某些资源进行操作。

2、Client网站向服务商请求一个临时Token。

3、Server验证Client网站的身份后,授予一个临时Token。

4、Client网站获得临时令牌后,将用户导向至Server的授权页面请求用户授权,然后这个过程中将临时Token和Client网站的返回地址发送给Server。

5、用户在Server的授权页面上输入自己的用户名和密码,授权Client网站访问所相应的资源。

6、授权成功后,Server将用户导向Client网站的返回地址。

7、Client网站根据临时Token从Server那里获取访问Token。

8、Server根据Token和用户的授权情况授予Client网站访问Token。

9、Client网站使用获取到的访问Token访问存放在Server的对应的用户资源。

流程图如下

中小网站没有必要自己实现OAuth协议,可以使用一些比较成熟的库。具体的库可以查看:http://oauth.net/2/

参考:《白帽子讲web安全》

OAuth认证的更多相关文章

  1. OAuth认证原理及HTTP下的密码安全传输

    很多人都会问这样一个问题,我们在登录的时候,密码会不会泄露?随便进一个网站,登录时抓包分析,可以看到自己的密码都是明文传输的,在如此复杂的web环境下,我们没有百分的把握保证信息在传输过程中不被截获, ...

  2. HTTP下密码的安全传输、OAuth认证

    在复杂的web环境下,我们没有百分的把握保证信息在传输的过程中不被接货,那不是用明文如何告诉服务器自己的身份呢? 在一些高度通信安全的网络中,数据传输会使用HTTPS作为传输协议,但是通常情况下我们没 ...

  3. 拿nodejs快速搭建简单Oauth认证和restful API server攻略

    拿nodejs快速搭建简单Oauth认证和restful API server攻略:http://blog.csdn.net/zhaoweitco/article/details/21708955 最 ...

  4. 一步一步搭建 OAuth 认证服务器

    http://www.fising.cn/2011/03/%E4%B8%80%E6%AD%A5%E4%B8%80%E6%AD%A5%E6%90%AD%E5%BB%BA-oauth-%E8%AE%A4% ...

  5. JAVA Oauth 认证服务器的搭建

    http://blog.csdn.net/binyao02123202/article/details/12204411 1.软件下载 Oauth服务端: http://code.google.com ...

  6. Oauth认证简介

    Oauth是什么: 1.Oauth是一种安全认证的协议: 2.Oauth为用户资源的授权提供了一个安全的.开放而又简易的标准: 3.Oauth的授权不会使第三方触及到用户的账号信息(用户名和密码). ...

  7. 新浪微博客户端开发之OAuth认证篇

    新浪微博客户端开发之OAuth认证篇 2013年7月29日新浪微博客户端开发 OAuth2.0授权机制我在这里就不浪费口舌了,有很多大牛都发表过相关的文章解释OAuth2.0认证的流程,我就随便找了一 ...

  8. 服务端API的OAuth认证实现

    http://stackoverflow.com/questions/12499602/body-joints-angle-using-kinect?rq=1 新浪微博跟update相关的api已经挂 ...

  9. Oauth认证的时候报错:timestamp_refused

    今天server大规模报错,大部分用户无法登陆,小部分能够登陆,非常是奇怪. 查看log.调试代码,发现问题是在oauth认证的时候出了问题,报 timestamp_refused. google了下 ...

  10. 豆瓣api之OAuth认证

    豆瓣api通过OAuth允许第三方应用访问用户数据,所以OAuth认证就是我们整个project的基础了. OAuth认证听起来挺神秘,其实挺简单的. 现在的大型网站的开放平台的认证几乎都是采用OAu ...

随机推荐

  1. 【OPENGL】第三篇 着色器基础(一)

    在这一章,我们会学习什么是着色器(Shader),什么是着色器语言(OpenGL Shading Language-GLSL),以及着色器怎么和OpenGL程序交互. 首先我们先来看看什么叫着色器. ...

  2. 从DataTable获取Json数据

    public string GetJson(DataTable dt){ JavaScriptSerializer jss=new JavaScriptSerializer(); jss.MaxJso ...

  3. CentOS7关闭防火墙方法

    在之前的版本中关闭防火墙等服务的命令是 service iptables stop /etc/init.d/iptables stop 在RHEL7中,其实没有这个服务 [root@rhel7 ~]# ...

  4. window安装jekyll

    安装Ruby Ruby 切记添加环境变量: 安装 RubyGems RubyGems 解压后进入目录输入: ruby setup.rb 安装Jekyll gem install jekyll 安装je ...

  5. web三种跨域请求数据方法

    以下测试代码使用php,浏览器测试使用IE9,chrome,firefox,safari <!DOCTYPE HTML> <html> <head>     < ...

  6. Delphi写的DLL回调C#

    C#的调用Delphi的DLL没有问题,DLL回调时遇到了麻烦,网上找了个方法,解决了这个问题 Delphi部分,列举了三种回调函数定义 library test; uses SysUtils; {$ ...

  7. VR定制 AR定制 就找北京动软VR开发团队(VR案例 AR案例)

    我们长期承接丰交互软件.游戏项目外包: VR/AR内容应用定制.VR.AR游戏项目外包(有主流测试硬件设备) VR全景应用.视频外包 请提供贵公司的信息,我们将提供高大上的VR案例欢迎联系我们给您提供 ...

  8. Python使用struct处理二进制

    有的时候需要用python处理二进制数据,比如,存取文件,socket操作时.这时候,可以使用python的struct模块来完成.可以用 struct来处理c语言中的结构体. struct模块中最重 ...

  9. AMap编辑折线、多边形、圆

    <!doctype html> <html> <head> <meta charset="utf-8"> <meta http ...

  10. hive 基本语法

    本来想讲自己用到的写出来了,结果发现一个比较全面的文章已经介绍过了,那我就不在重新发明轮子了,我也跟着学习一下. 转自:http://jeffxie.blog.51cto.com/1365360/31 ...