OAuth 2.0 与 OAuth 2.1 对比

最新推荐文章于 2025-06-07 18:47:15 发布
原创 最新推荐文章于 2025-06-07 18:47:15 发布 · 662 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#laravel #php

OAuth 2.0 和 OAuth 1.0 的核心区别在于协议的设计理念和安全性,而 OAuth 2.1 则是 OAuth 2.0 的改进版本,主要目的是修复 OAuth 2.0 的已知安全漏洞,并整合近年来提出的最佳实践。以下是两者的关键对比:

1. 安全性增强

OAuth 2.0
  • 授权码模式(Authorization Code Flow):允许公共客户端(如单页应用或移动应用)在未使用 PKCE(Proof Key for Code Exchange)的情况下使用授权码流程,存在授权码截获漏洞。
  • 隐式授权模式(Implicit Flow):直接将访问令牌(Access Token)返回给前端(通过 URL 片段),容易因 Token 泄漏导致安全风险。
  • Bearer Token 默认使用:未强制要求对访问令牌进行加密或签名,依赖传输层安全(如 HTTPS),存在中间人攻击风险。
OAuth 2.1
  • 强制使用 PKCE:所有使用授权码模式的客户端(包括公共客户端和机密客户端)必须使用 PKCE,防止授权码截获攻击(如 Authorization Code Injection)。
  • 废除隐式授权模式:不再推荐隐式授权流程,改为优先使用授权码模式(结合 PKCE)。
  • 更严格的客户端认证:所有非公共客户端(机密客户端,如服务器端应用)必须进行客户端认证(如 Client ID + Secret 或证书)。
  • 令牌绑定(Token Binding):建议对令牌进行加密或签名,降低令牌泄漏风险。

2. 废弃或修改的流程

OAuth 2.0
  • 隐式授权模式(Implicit Flow)允许,但存在安全隐患。
  • 资源所有者密码模式(Password Grant):允许直接传递用户名/密码,不推荐但未强制废除。
OAuth 2.1
  • 废除隐式授权模式:完全移除隐式授权流程。
  • 废除密码模式:不再允许资源所有者密码模式(ROPC)。
  • 仅保留两种核心流程
    1. 授权码模式(Authorization Code Flow + PKCE):用于所有客户端(公共和机密)。
    2. 客户端凭证模式(Client Credentials Flow):用于服务端到服务端的认证。

3. 新增规范整合

  • OAuth 2.0:基于 RFC 6749 和 RFC 6750,但未整合后续的安全扩展(如 PKCE)。
  • OAuth 2.1
    • 整合 RFC 7636(PKCE)。
    • 整合 RFC 8252(针对移动和单页应用的最佳实践)。
    • 整合 RFC 8414(授权服务器元数据)。
    • 移除过时或易被滥用的功能(如密码模式和隐式模式)。

4. 令牌生命周期

  • OAuth 2.0:未严格要求刷新令牌(Refresh Token)的使用方式,部分实现可能暴露刷新令牌。
  • OAuth 2.1
    • 限制刷新令牌的范围:刷新令牌只能用于获取新的访问令牌,不能直接访问资源。
    • 强制要求刷新令牌绑定到客户端(防止跨客户端滥用)。

5. 对开发者的影响

  • OAuth 2.0
    • 灵活性高,但需要开发者自行实现安全最佳实践(如 PKCE)。
    • 需自行防范常见攻击(如 CSRF、Token 泄漏)。
  • OAuth 2.1
    • 更严格的安全约束,简化开发者的安全设计负担。
    • 强制使用 PKCE 和客户端认证,要求代码升级。

总结对比表

特性OAuth 2.0OAuth 2.1
PKCE可选(仅公共客户端推荐)强制所有客户端使用
隐式模式支持废除
密码模式支持(不推荐)废除
客户端认证仅机密客户端需要所有非公共客户端强制认证
刷新令牌安全性弱约束强绑定到客户端
授权码劫持防护依赖开发者实现强制 PKCE 防护

何时使用?

  • OAuth 2.0:仅适用于旧系统维护,或需要兼容不支持 OAuth 2.1 的遗留服务。
  • OAuth 2.1:推荐用于所有新项目,尤其是需要高安全性的场景(如金融、医疗应用)。

迁移建议

  1. 移除隐式授权和密码模式。
  2. 为所有客户端启用 PKCE。
  3. 强制机密客户端进行认证(如使用 Client Secret)。
  4. 升级授权服务器(如 Keycloak、Auth0、Okta)到支持 OAuth 2.1 的版本。

OAuth 2.1 本质上是 OAuth 2.0 的安全加固版本,旨在简化协议复杂性并修复已知漏洞,是未来趋势。

5-OAuth2.1的已知变动
码农小胖哥
03-16 3146
OAuth2.0现在越来越流行了,特别在微服务大行其道的情况下。不过OAuth2.0太老了, 最初的OAuth2.0规范于 201210 月以RFC 6749文档为蓝本发布,取代了 2010 年 4 月发布的 OAuth1.0,在发布OAuth2.0的时候,Vue、React还没有兴起,甚至连跨域资源共享CORS还不是正式的W3C标准。OAuth2.0面对如今飞速发展的移动互联网已经老态龙钟,跟不上时代了。好在OAuth2.0非常开放,开发者可以做很多自定义操作,它把很多“设计权限”下放给了开发者,经
OAuth2.0 OpenID Connect 权威实战指南
s13596191285的博客
05-23 116
## Abstract 本指南旨在深入剖析 OAuth 2.0 和 OpenID Connect(OIDC)的核心原理实现细节,涵盖经典创新代码示例,结合多学科视角案例分析,以学术化的写作风格呈现一份权威实战指南。文章包括协议架构、流程详解、加密机制、隐私合规、性能测试结果分析,以及对未来趋势挑战的前瞻性探讨,旨在帮助开发者、架构师和安全专家全面掌握并创新应用 OAuth 2.0 OpenID Connect。 --- ## 1. 引言 OAuth 2.0 是一种授权框架,使第三方应用
OAuth 2OAuth 2.1 之间的差异
ChaITSimpleLove的博客
12-06 2019
`OAuth 2.1` 整合了自 `Oauth 2` 发布以来八年来学到的最佳实践。最初的 `OAuth 2.0` 规范于 `2012` 年 `10` 月作为 `RFC6749` 和 `RFC6750` 发布。它取代了 `2010` 年 `4` 月发布的 `OAuth 1.0`。在随后的几年中,对 `OAuth 2` 进行了许多扩展和修改。新的 `OAuth` 规范已经提出,目前正在讨论中。目前,该规范最近一次更新是在 `2020` 年 `7` 月 `30` 日。如果获得批准...
OAuth 2.1 协议介绍
最新发布
m0_37242314的博客
06-07 464
客户端向认证服务器发起获取授权码请求时,跳转至授权确认页面,用户通过用浏览器在授权页 面进行授权确认。)认证服务器返回授权码的过程中,如果恶意程序截取到授权码,那么他接下来就可 以继续操作步骤(5。在授权码模式的交互工程中,有一个环节比较薄弱,这个环节就是用户在代理页面确认授权的时候,容易受到恶意程序的攻击,从而导致授权码被恶意程序窃取,进而通过授权码窃取令牌,当然这个前。中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增 加了PKCE。的值,因此在认证服务器无法校验通过,从而获取。
SpringBoot3集成Oauth2.1——6数据库存储客户端信息
歪桃的博客
05-26 1048
获取SQL文件 oauth2-authorization-schema.sql oauth2-authorization-consent-schema.sql oauth2-registered-client-schema.sql 2添加客户端信息 2.1SQL语句添加(不推荐) 如下所示,可以提看到,其他的一些字段,基本都是我们知道的字符串,但是其中client_settings,则很难知道填写什么。 下面是一个示例:token_settings的示例,这种配置方式是挺奇葩的,不知道那天官方开始
OAuth 2.0OAuth 2.1
一个写了10年bug的程序员日常笔记。
05-10 1507
OAuth 2.1OAuth 2.0 的进化版,它旨在简化 OAuth 2.0 的实现,同时增强安全性。OAuth 2.0OAuth 2.1 是授权框架的不同版本,它们用于允许应用程序安全地访问用户在另一个服务上的数据。这些变化意味着 OAuth 2.1 将更加注重安全性和最佳实践的实施,同时保持 OAuth 2.0 的兼容性,以便开发者可以平滑过渡到新版本。:适用于在设备上运行的应用程序,这些设备可能没有传统的输入机制(如智能电视、打印机等),用户通过设备上的说明在另一设备上完成授权。
[Oauth] OAuth 2.1整合简化OAuth 2.0
程序员老狼专注开发aigc或客服系统应用
04-17 721
OAuth 2.1是整合和简化OAuth 2.0的一项正在进行中的工作。 自2012OAuth 2.0(RF​​C 6749)首次发布以来,已经发布了一些新的RFC,它们在核心规范中添加或删除了功能包括用于原生APP的OAuth 2.0(RF​​C 8252)用于代码交换的证明密钥(RFC 7636)。 ),用于基于浏览器的应用程序的OAuthOAuth 2.0安全性最佳实践。 OA...
微服务安全——OAuth2.1详解、授权码模式、SpringAuthorizationServer实战、SSO单点登录、Gateway整合OAuth2
zzz6583zz的博客
09-12 1783
Spring Authorization Server 是一个框架,它提供了OAuth 2.1和规范以及其他相关规范的实现。它建立在 Spring Security 之上,为构建 OpenID Connect 1.0 身份提供者和 OAuth2 授权服务器产品提供了一个安全、轻量级和可定制的基础。说白了,Spring Authorization Server 就是一个认证(授权)服务器。
OauthOauth2.0区别
Cola
03-13 2600
一、       Oauth的概念 Oauth的官方简介是: An open protocol to allow secure API authorization in a simple andstandard method from web, mobile and desktop applications. 随着大量开放平台的出现,建立在开放平台之上的各种第三方应用也在大量冒出,出对安全性
Spring Authorization Server入门 (一) 初识SpringAuthorizationServer和OAuth2.1协议
热门推荐
云逸的博客
06-01 1万+
Spring authorization server是由社区推动的一个项目,在Spring security团队的领导下基于Nimbus库重头编写,其目的主要是为 Spring 社区提供 OAuth 2.0 授权服务器支持,替代已被废弃的Spring Security OAuth框架。Spring authorization server提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现。
OAuth2.0 动态注册客户端
new_ord的博客
11-03 1416
本篇博客介绍使用Spring Authorization Server和Spring Security OAuth2 Client实现OAuth 2.0动态注册,含自动注册、令牌获取和资源访问。
运维锅总详解OAuth 2.0协议
专注于输出大概有用的软硬件技术!
07-13 1484
OAuth 2.0 作用及工作流程是什么?OAuth 2.0 有哪些应用场景?OAuth 2.0历史又是如何演进的?希望读完本文,能帮您解答这些疑惑!
.net Core 2.1 控制台应用程序 实现宙斯API采用OAuth2.0授权调用
09-09
该流程采用国际通用的OAuth2.0标准协议作为用户身份验证授权协议。 前期准备 开放授权系统是基于OAuth2.0协议标准构建的京东开放平台授权系统.支持宙斯网关接口授权调用, 京东账号联合登录等功能 1.在进行京东...
OAuth2.0授权码模式实战教程
kkchenjj的博客
07-17 1691
重定向用户至授权服务器:客户端应用将用户重定向到授权服务器的授权端点。用户授权:用户在授权服务器上登录并授权客户端应用访问其资源。授权码返回:授权服务器将用户重定向回客户端应用,并附带一个授权码。交换访问令牌:客户端应用使用授权码向授权服务器请求访问令牌。
SpringCloud搭建微服务之OAuth2.1认证和授权
liu320yj的博客
10-10 7319
Spring Boot新版本已经不在支持Spring Security OAuth,而是将资源服务和客户端集成到Spring Security 5.2.x版本中,认证服务单独成一个项目为Spring Authorization Server
什么是oAuth(开放式授权)?OAUTH协议特点和授权流程?
一亩地的专栏
05-02 1422
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名密码),即第三方无需使用用户的用户名密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。oAuth是Open Authorization的简写。定义OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可...
谈谈OAuth1,OAuth2异同
mmzz_tsz的博客
08-01 4057
一、写在前面 在收集资料时,我查询和学习了许多介绍OAuth的文章,这些文章有好有坏,但大多是从个例出发。因此我想从官方文档出发,结合在stackoverflow上的一些讨论,一并整理一下。整理的内容分为OAuth1.0a和OAuth2两部分。 OAuth 1.0a:One Leg ->Two Leg -> Three Legged OAuth 2:Two Leg ->Th...
oauthoauth2
weixin_34402090的博客
11-21 167
*Oauth只有一种授权流程。除了web应用,对桌面,移动应用不够友好。签名过于复杂。对开发者不够友好。Oauth2定义了四种角色:Resource Owner, Resource Server, Client, Authorization Server,提供四种流程,可以根据不同的应用场景使用不同的流程。去掉签名,改用SSL确保安全性,所以的token不再有对应的secret存在。这也直接导致o...
手把手教你搭建一个基于OAuth2.1规范的授权认证服务器(一):附源码
Java开发者,专注后端技术分享,深耕框架实战与架构优化,持续输出优质技术干货。
12-23 1297
技术更新:Spring Security OAuth已经逐渐被淘汰,而Spring Authorization Server是其官方推荐的替代方案。它提供了更现代、更安全的授权服务器实现,符合最新的OAuth 2.1规范。项目需求:小灰工作上的项目需要搭建一个授权服务器,而原先使用的Spring Security OAuth,而该项目已经逐渐被淘汰,虽然网上有很多相关教程和资料,但考虑到技术的更新迭代,决定采用Spring Authorization Server来实现。功能实现。
Spring Security OAuth2.0代码实现详解
标题中提到的“Oauth2.0 实现代码”以及描述中的“Spring-security-oauth2.0实现”,涉及了计算机安全领域中的一个重要的认证授权框架OAuth 2.0OAuth 2.0 是一个开放标准,允许用户授权第三方应用获取有限的资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值