首页
|
新闻
|
新品
|
文库
|
方案
|
视频
|
下载
|
商城
|
开发板
|
数据中心
|
座谈新版
|
培训
|
工具
|
博客
|
论坛
|
百科
|
GEC
|
活动
|
主题月
|
电子展
注册
登录
论坛
博客
搜索
帮助
导航
默认风格
uchome
discuz6
GreenM
»
MCU 单片机技术
»
PowerPC
» 基于 OAuth 安全协议的 Java 应用编程(2)OAuth 认证授权流程
返回列表
回复
发帖
发新话题
发布投票
发布悬赏
发布辩论
发布活动
发布视频
发布商品
基于 OAuth 安全协议的 Java 应用编程(2)OAuth 认证授权流程
发短消息
加为好友
look_w
当前离线
UID
1066743
帖子
8283
精华
0
积分
4142
阅读权限
90
在线时间
233 小时
注册时间
2017-6-23
最后登录
2019-5-18
论坛元老
UID
1066743
1
#
打印
字体大小:
t
T
look_w
发表于 2018-9-3 11:46
|
只看该作者
基于 OAuth 安全协议的 Java 应用编程(2)OAuth 认证授权流程
OAuth 认证授权流程在了解 OAuth 认证流程之前,我们先来了解一下 OAuth 协议的一些基本术语定义:
Consumer Key:消费方对于服务提供方的身份唯一标识。
Consumer Secret:用来确认消费方对于 Consumer Key 的拥有关系。
Request Token:获得用户授权的请求令牌,用于交换 Access Token。
Access Token:用于获得用户在服务提供方的受保护资源。
Token Secret:用来确认消费方对于令牌(Request Token 和 Access Token)的拥有关系。
图 2. OAuth 授权流程(摘自 OAuth 规范)
对于图 2 具体每一执行步骤,解释如下:
消费方向 OAuth 服务提供方请求未授权的 Request Token。
OAuth 服务提供方在验证了消费方的合法请求后,向其颁发未经用户授权的 Request Token 及其相对应的 Token Secret。
消费方使用得到的 Request Token,通过 URL 引导用户到服务提供方那里,这一步应该是浏览器的行为。接下来,用户可以通过输入在服务提供方的用户名 / 密码信息,授权该请求。一旦授权成功,转到下一步。
服务提供方通过 URL 引导用户重新回到消费方那里,这一步也是浏览器的行为。
在获得授权的 Request Token 后,消费方使用授权的 Request Token 从服务提供方那里换取 Access Token。
OAuth 服务提供方同意消费方的请求,并向其颁发 Access Token 及其对应的 Token Secret。
消费方使用上一步返回的 Access Token 访问用户授权的资源。
总的来讲,在 OAuth 的技术体系里,服务提供方需要提供如下基本的功能:
第 1、实现三个 Service endpoints,即:提供用于获取未授权的 Request Token 服务地址,获取用户授权的 Request Token 服务地址,以及使用授权的 Request Token 换取 Access Token 的服务地址。
第 2、提供基于 Form 的用户认证,以便于用户可以登录服务提供方做出授权。
第 3、授权的管理,比如用户可以在任何时候撤销已经做出的授权。
而对于消费方而言,需要如下的基本功能:
第 1、从服务提供方获取 Customer Key/Customer Secret。
第 2、提供与服务提供方之间基于 HTTP 的通信机制,以换取相关的令牌。
我们具体来看一个使用 OAuth 认证的例子。
在传统的网站应用中,如果您想在网站 A 导入网站 B 的联系人列表,需要在网站 A 输入您网站 B 的用户名、密码信息。例如,您登陆 Plaxo (
https://www.plaxo.com
),一个联系人管理网站,当您想把 GMail 的联系人列表导入到 Plaxo,您需要输入您的 GMail 用户名 / 密码,如图 3 所示:
图 3. 在 Plaxo 获得 GMail 联系人
在这里,Plaxo 承诺不会保存您在 Gmail 的密码。
如果使用 OAuth 认证,情况是不同的,您不需要向网站 A(扮演 Consumer 角色)暴露您网站 B(扮演 Service Provider 角色)的用户名、密码信息。例如,您登录
http://lab.madgex.com/oauth-net/googlecontacts/default.aspx
网站, 如图 4 所示:
图 4. 在 lab.madgex.com 获得 GMail 联系人
点击“Get my Google Contacts”,浏览器将会重定向到 Google,引导您登录 Google,如图 5 所示:
图 5. 登录 Google
登录成功后,将会看到图 6 的信息:
图 6. Google 对 lab.madgex.com 网站授权
在您登录 Google,点击“Grant access”,授权 lab.madgex.com 后,lab.madgex.com 就能获得您在 Google 的联系人列表。
在上面的的例子中,网站 lab.madgex.com 扮演着 Consumer 的角色,而 Google 是 Service Provider,lab.madgex.com 使用基于 OAuth 的认证方式从 Google 获得联系人列表。
下一节,本文会给出一个消费方实现的例子,通过 OAuth 机制请求 Google Service Provider 的 OAuth Access Token,并使用该 Access Token 访问用户的在 Google 上的日历信息 (Calendar)。
收藏
分享
评分
回复
引用
订阅
TOP
返回列表
电商论坛
Pine A64
资料下载
方案分享
FAQ
行业应用
消费电子
便携式设备
医疗电子
汽车电子
工业控制
热门技术
智能可穿戴
3D打印
智能家居
综合设计
示波器技术
存储器
电子制造
计算机和外设
软件开发
分立器件
传感器技术
无源元件
资料共享
PCB综合技术
综合技术交流
EDA
MCU 单片机技术
ST MCU
Freescale MCU
NXP MCU
新唐 MCU
MIPS
X86
ARM
PowerPC
DSP技术
嵌入式技术
FPGA/CPLD可编程逻辑
模拟电路
数字电路
富士通半导体FRAM 铁电存储器“免费样片”使用心得
电源与功率管理
LED技术
测试测量
通信技术
3G
无线技术
微波在线
综合交流区
职场驿站
活动专区
在线座谈交流区
紧缺人才培训课程交流区
意见和建议
对于图 2 具体每一执行步骤,解释如下:
在这里,Plaxo 承诺不会保存您在 Gmail 的密码。
点击“Get my Google Contacts”,浏览器将会重定向到 Google,引导您登录 Google,如图 5 所示:
登录成功后,将会看到图 6 的信息:
在您登录 Google,点击“Grant access”,授权 lab.madgex.com 后,lab.madgex.com 就能获得您在 Google 的联系人列表。