今天学习了网易云课堂的 盛派的微信开发课程之OAuth微信网页授权:OAuth原理,边听边来波笔记;

1、什么是OAuth?

OAuth 你的接口提供给别人使用,你需要提供Oauth,可以让被人使用,也可以使用别人的OAuth
OAuth2.0安全性更高

OAuth2.0的流程

开发者服务器或APP  <---------------------------------------------------------->微信服务器

1、A:客户端(应用服务器)向服务器(对应微信服务器)发送验证请求,请求中一般会携带这些参数:

ID:标识,例如微信公众号的APPId,

验证后跳转到的URL(redirectUrl)

状态参数(可选)

授权作用域(可选)

响应类型(可选)

2、B:服务器端返回一个grant授权标识(微信默认情况下称之为Code),就像一个一次性的临时字符串密钥,如果A中提供了

redirectUrl,这里服务器会做一次跳转,带上grant和状态参数,访问redirectUtl.

3、C:客户端的redirectUrl对应页面,凭借grant再次发起请求,这次请求中通常会携带一些敏感信息:

ID:标识 (微信公众号的APPId)

密码

grant字符串(code)

grant类型(可选、微信中默认为code)

4、D:服务器验证ID标识、密码、grant都正确后,返回AccessToken(注意:这里的AccessToken和之前通用接口、高级接口介绍的AccessToken没有关系,不能交叉使用)

5、E:客户端凭借AccessToken请求一系列的API,在此过程中不会携带AppId,Secret,grant等敏感信息。

6、F:服务器返回请求结果
第一步是用户直接操作的,最后一步返回用户的基本信息

微信中两种授权方式:

1、显示授权 snsapi_userinfo 特点:有授权,无论用户有无关注公众号,都能得到详细的信息 如 openId,昵称、头像 性别 、所在地区等等
2、静默授权:  snsapi_userinfo 特点:如果用户没有关注,只能获得OpenId

混合使用:先用静默授权 获取openId,如果还没有关注,就显示的授权,

加强账号和密码的安全性:

1、客户端将密码加密后传输到服务器

2、服务器端使用”加盐“的方式进行混淆加密,严谨明文存储密码

3、尽量不要使用Cookie存储用户名、尤其是OpenId,更不要在Url中传输OpenId

4、你必须知道:Session常规情况下也是依赖Cookie才能起作用的,所以不要以为Session和客户端安全无关!

5、Https不能解决所有安全问题!

Senparc之OAuth原理的更多相关文章

  1. oauth简单使用

    一.oauth原理参考 理解OAuth 2.0 二.本例中采用授权码模式 大致流程 (A)用户访问客户端,后者将前者导向认证服务器. (B)用户选择是否给予客户端授权. (C)假设用户给予授权,认证服 ...

  2. shiro整合oauth

    一.基本思路脑图 二.客户端shiro配置 shiro配置文件 <?xml version="1.0" encoding="UTF-8"?> < ...

  3. 在Phonegap下实现oAuth认证

    原文:http://www.kuqin.com/mobile/20120719/322873.html 前段时间做过两次关于Phonegap的现场交流会议分享.基本上把Phonegap的一些特性和大家 ...

  4. Java爬虫工程师技能列表

    以下仅仅是自己一些粗浅认识.欢迎补充指正.欢迎进群交流! 掌握一半便能够熟练的开发爬虫玩了.自己正在努力中... 一.技能列表 1.掌握java.尤其编程网络部分:李刚的java基础至少看了三遍以上: ...

  5. OAuth2.0详解

    1.使用场景 A系统存放着订单信息 B系统需要查询A系统中的订单信息,但是必须要A系统验证通过后,才能查询. 此时,我们有两种验证方式: 1)拥有A系统的账户/密码 弊端是对A系统来说,直接提供账户/ ...

  6. C# 网络编程之豆瓣OAuth2.0认证具体解释和遇到的各种问题及解决

            近期在帮人弄一个豆瓣API应用,在豆瓣的OAuth2.0认证过程中遇到了各种问题,同一时候自己须要一个个的尝试与解决,终于完毕了豆瓣API的訪问.作者这里就不再吐槽豆瓣的认证文档了,毕 ...

  7. 基于OWIN+DotNetOpenOAuth实现OAuth2.0

    这几天时间一直在研究怎么实现自己的OAuth2服务器,对于太了解OAuth原理以及想自己从零开始实现的,我建议可以参考<Apress.Pro ASP.NET Web API Security&g ...

  8. php常见面试题

    1.如何取得来访者的IP地址? $_SERVER['RRMOTE_ADDR']; $_SERVER['CLIENT_IP']; $_SERVER['HTTP_X_FORWARED_FOR']; 2.$ ...

  9. Java的oauth2.0 服务端与客户端的实现

    oauth原理简述 oauth本身不是技术,而是一项资源授权协议,重点是协议!Apache基金会提供了针对Java的oauth封装.我们做Java web项目想要实现oauth协议进行资源授权访问,直 ...

随机推荐

  1. QT删除非空文件夹

    int choose; choose = QMessageBox::warning(NULL,"warning","确定删除该文件?",QMessageBox: ...

  2. 高可用Redis(十二):Redis Cluster

    Redis Cluster是Redis官方提供的Redis集群功能 1.为什么要实现Redis Cluster 1.主从复制不能实现高可用 2.随着公司发展,用户数量增多,并发越来越多,业务需要更高的 ...

  3. P2419 [USACO08JAN]牛大赛Cow Contest(dfs走天下/)

    题目描述 FJ的N(1 <= N <= 100)头奶牛们最近参加了场程序设计竞赛:).在赛场上,奶牛们按1..N依次编号.每头奶牛的编程能力不尽相同,并且没有哪两头奶牛的水平不相上下,也就 ...

  4. shell 运算符章节笔记

    // 运算符 算数运算符 关系运算符 布尔运算符 字符串运算符 文件运算符 1.算数运算符 + - * / % = == != echo `expr 1 + 1`; echo `expr 1 - 2` ...

  5. Linux安装docker

    1.检查内核版本,必须是3.10及以上 uname ‐r 2.安装docker yum install docker 3.输入y确认安装 4.启动docker [root@localhost ~]# ...

  6. jQuery之cookie操作

    Cookies 定义:让网站服务器把少量数据储存到客户端的硬盘或内存,从客户端的硬盘读取数据的一种技术: 下载与引入:jquery.cookie.js基于jquery:先引入jquery,再引入:jq ...

  7. window10 蓝牙只能发不能收文件解决办法

    打开“通过蓝牙发送和接收文件”,在“接收文件”界面中无法接收蓝牙发送的文件 解决办法: 1. win+R后,输入msconfig,回车 2. 点击服务,勾选隐藏Microsoft服务,点击全部禁用 3 ...

  8. Charles SSL

    1 enable SSL 2 chls.pro/ssl  to install certificate 3 General -> About -> Certificate Trust Se ...

  9. 使用Windows Service Wrapper快速创建一个Windows Service 如nginx

    前言 今天介绍一个小工具的使用.我们都知道Windows Service是一种特殊的应用程序,它的好处是可以一直在后台运行,相对来说,比较适合一些需要一直运行同时不需要过多用户干预的应用程序,这一类我 ...

  10. 设置和取消git代理

    # 设置socket5代理 git config --global http.proxy 'socks5://127.0.0.1:1087' git config --global https.pro ...