OAuth2四种不同的标准模式

比眉伴天荒 2022-01-20 01:09 206阅读 0赞

OAuth2标准为了应对不同的场景，设计了四种不同的标准模式。

1、授权码模式

![1620][]

授权码模式是四种模式中最繁琐也是最安全的一种模式。

client向资源服务器请求资源，被重定向到授权服务器（AuthorizationServer）

浏览器向资源拥有者索要授权，之后将用户授权发送给授权服务器

授权服务器将授权码（AuthorizationCode）转经浏览器发送给client

client拿着授权码向授权服务器索要访问令牌

授权服务器返回Access Token和Refresh Token给cilent

这种模式是四种模式中最安全的一种模式。一般用于client是Web服务器端应用或第三方的原生App调用资源服务的时候。因为在这种模式中AccessToken不会经过浏览器或移动端的App，而是直接从服务端去交换，这样就最大限度的减小了AccessToken泄漏的风险。

2、简化模式

![1620 1][]

简化模式相对于授权码模式省略了，提供授权码，然后通过服务端发送授权码换取AccessToken的过程。

client请求资源被浏览器转发至授权服务器

浏览器向资源拥有者索要授权，之后将用户授权发送给授权服务器

授权服务器将AccessToken以Hash的形式存放在重定向uri的fargment中发送给浏览器

浏览器访问重定向URI

资源服务器返回一个脚本，用以解析Hash中的AccessToken

浏览器将Access Token解析出来

将解析出的Access Token发送给client

一般简化模式用于没有服务器端的第三方单页面应用，因为没有服务器端就无法使用授权码模式。

3、密码模式

密码模式是用户直接将自己的用户名密码交给client，client用用户的用户名密码直接换取AccessToken。

![1620 2][]

用户将认证密码发送给client

client拿着用户的密码向授权服务器请求Access Token

授权服务器将Access Token和Refresh Token发送给client

这种模式十分简单，但是却意味着直接将用户敏感信息泄漏给了client，因此这就说明这种模式只能用于client是我们自己开发的情况下。因此密码模式一般用于我们自己开发的，第一方原生App或第一方单页面应用。

4、客户端模式

这是一种最简单的模式，只要client请求，我们就将AccessToken发送给它。

client向授权服务器发送自己的身份信息，并请求AccessToken

确认client信息无误后，将AccessToken发送给client

这种模式是最方便但最不安全的模式。因此这就要求我们对client完全的信任，而client本身也是安全的。因此这种模式一般用来提供给我们完全信任的服务器端服务。在这个过程中不需要用户的参与。

我们来总结一下四种模式的应用场景：

1、授权码模式：第三方Web服务器端应用与第三方原生App

2、简化模式：第三方单页面应用

3、密码模式：第一方单页应用与第一方原生App

4、客户端模式：没有用户参与的，完全信任的服务器端服务

[1620]: https://ask.qcloudimg.com/http-save/developer-news/9rm1srh7cm.jpeg?imageView2/2/w/1620
[1620 1]: https://ask.qcloudimg.com/http-save/developer-news/v3310pbbdy.jpeg?imageView2/2/w/1620
[1620 2]: https://ask.qcloudimg.com/http-save/developer-news/dje9coorfq.jpeg?imageView2/2/w/1620

发表评论取消回复

表情：

评论列表（有 0 条评论，206人围观）

还没有评论，来说两句吧...

相关阅读

相关 OAuth2.0系列六：OAuth2.0四种授权模式总结

授权模式总结前面几节已经通过代码介绍了OAuth2.0四种授权模式的简单使用，现在来总结一下四种授权模式的特点 **授权码模式** 1. 通过前端渠道客户获取...

迷南。/ 2024年04月18日 21:34/ 0 赞/ 105 阅读

相关 OAuth2.0系列四：OAuth2.0简化模式

简化模式有些纯前端应用，必须将令牌储存在前端。那么可以使用简化模式（隐藏式）来申请授权，颁发令牌。 ![watermark_type_ZmFuZ3poZW5naG...

太过爱你忘了你带给我的痛/ 2024年04月18日 19:54/ 0 赞/ 77 阅读

相关 OAuth2四种授权登录之密码模式获取TOKEN

习地址: [https://www.majiaxueyuan.com/uc/play/65][https_www.majiaxueyuan.com_uc_play_65...

落日映苍穹つ/ 2024年04月18日 07:39/ 0 赞/ 71 阅读

相关 OAuth 2.0 的四种授权方式

RFC 6749 OAuth 2.0 的标准是 [RFC 6749][] 文件。该文件先解释了 OAuth 是什么。 > OAuth 引入了一个授权层，用来分离两种不同

ゝ一世哀愁。/ 2023年06月13日 06:07/ 0 赞/ 147 阅读

相关 Spring Security OAuth2 四种认证模式（含流程图）

什么是OAuth2 OAuth2 其实是一个关于授权的网络标准，允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息，而不需要将用户名和密码提供给第三方移动应

梦里梦外;/ 2022年12月21日 06:22/ 0 赞/ 193 阅读

相关 Spring--Security的oauth2四种授权模式使用

oauth2四种使用方式密码模式 localhost:8080/oauth/token?client_id=client_id_1&client_secr

拼搏现实的明天。/ 2022年12月15日 14:23/ 0 赞/ 226 阅读

相关身份认证系统 OAuth2的四种模式

OAuth2标准为了应对不同的场景，设计了四种不同的标准模式。 1、授权码模式 ![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10

分手后的思念是犯贱/ 2022年11月17日 13:39/ 0 赞/ 898 阅读

相关 OAuth 2.0 的四种方式

作者： [阮一峰][Link 1] 日期： [2019年4月 9日][2019_4_ 9] [上一篇文章][Link 2]介绍了 OAuth 2.0 是一种授权机制，主要用

曾经终败给现在/ 2022年10月15日 11:59/ 0 赞/ 147 阅读

相关 OAuth 2.0 的四种方式

OAuth 2.0 是一种授权机制，主要用来颁发令牌（token）。 RFC 6749 OAuth 2.0 的标准是 [RFC 6749][] 文件。该文件先解释了 O

Bertha 。/ 2022年02月15日 11:11/ 0 赞/ 165 阅读

相关 OAuth2四种不同的标准模式

OAuth2标准为了应对不同的场景，设计了四种不同的标准模式。 1、授权码模式 ![1620][] 授权码模式是四种模式中最繁琐也是最安全的一种模式。 clien

比眉伴天荒/ 2022年01月20日 01:09/ 0 赞/ 207 阅读