安全认证:oath2

原创 于 2024-10-12 17:35:39 发布 · 368 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

一、一些概念:

1、认证:主要解决的是你是谁的问题。

三个层面认证:信道认证(SSL等),协议认证(例如用http协议的时候的格式),内容认证(比如浏览网页的时候,网页对访问者的认证)

2、授权:是要解决你能干什么。

①授权过程可靠:oath2

②授权结果可靠:

基于属性的访问控制(Attribute-Based Access Control,ABAC)
基于角色的访问控制(Role-Based Access Control,RBAC)

3、凭证:用什么去证明(什么样的令牌不同加密算法得到的令牌不一样)

二、oath2:面向于解决第三方应用(Third-Party Application)的认证授权协议。

1、例子:

比如你是某个景点的管理员,拥有对这个景点的所有权限。你进入的时候刷脸可以进景点的任意地方。
小明想来参观,对于你来说,就是第三方。
小明想来景点参观,他总不能用你的脸,所以会在你这买票,然后凭借门票进景点参观。(用门票代替管理员的人脸)
但是他不能去景点中的任意地方,因为不同的门票可能权限不同。

2、大概流程:

在这里插入图片描述

授权模式是什么:

例子中通过门票代替管理员人脸,在应用中通过令牌代替密码给第三方应用,让它可以操作。
具体就是:要求 / 同意授权”“要求 / 同意发放令牌”“要求 / 同意开放资源 这几个动作。
那么这几个服务请求、响应要如何设计衍生出了四种模式:
授权码模式、简化模式(Implicit)、密码模式、客户端模式(Client Credentials)

海滩超人
关注
构建一个安全可靠的身份认证中心和资源服务中心:SpringSecurity+OAuth2.0的完美结合(一)
凛鼕将至的博客
01-24 1367
Spring Security是一个开源框架,用于为Java应用程序提供身份验证和授权功能。它是基于Servlet过滤器和Spring框架的安全层的扩展。Spring Security提供了一种简单的方法来保护应用程序的安全性,包括用户认证、权限管理和攻击防御。OAuth 2.0是一种开放标准的授权协议,用于授权第三方应用程序访问用户在资源所有者(如Facebook、Google等)上存储的受保护资源。OAuth 2.0通过授权服务器颁发访问令牌,允许第三方应用程序以受限的方式访问受保护的资源。
OAuth2的四种认证方式
你的指尖有改变世界的力量
08-01 2612
介绍了OAuth2常见的四种认证方式
oath认证过程
important0534的专栏
05-14 4241
转载: http://blog.unvs.cn/archives/oauth-qq1.0-developer.html 本想前段时间就把自己通过qq OAuth1.0、OAuth2.0协议进行验证而实现QQ登录的心得及Demo实例分享给大家,可一直很忙,今天抽点时间说下OAuth1.0协议原理,及讲解下QQ对于Oauth1.0的认证开发。闲话多说了点,下面直接进入主题。 1、
OAuth认证入门
Sunday06的博客
08-22 501
OAuth认证入门 一、OAuth简介 ​ OAuth 通过开放标准、允许用户让第三方应用获取用户的私密数据、但不会获取用户的账号和密码( 因为知道账号和密码就会知道所有的数据) 二、OAuth角色 1)资源、所有者:资源的拥有者(用户) 2)客户端:第三方应用 3)授权服务器:用来验证用户的信息是否正确,并返回一个令牌给第三方应用 4)资源服务器:提供给用户资源的服务器 注意:授权服务器 、资源服务器可以是同台服务器 三、OAuth授权流程 四、授权模式 1)授权码模式:功能最完整、流程最严谨(使用广
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 5375
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
简单谈谈OAuth 2.0的四种认证方式
Armandhe的博客
06-06 4818
让我来康康oauth2有啥不一样
OAuth2.0
最新发布
qq_41893505的博客
09-22 2139
OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。互联网应用中最常见的 OAuth2 就是各种第三方登录,例如:QQ 授权登录、微信授权登录等。它们允许用户通过 QQ 或微信账号来登录其他网站或应用,而不需要为这些网站或
打造POSIX Shell脚本:集成OATH 2FA工具实现双因素认证
资源摘要信息:"本资源主要介绍了一个名为2fa_scripts的POSIX Shell脚本集合,这些脚本可以与OATH 2FA(双因素认证)工具配合使用。OATH(开放认证标准)定义了一套标准的双因素认证机制,常见的如时间一次性密码...
项目总结: OAuth2认证
weixin_46117680的博客
07-25 794
微信扫码认证,这是一种第三方认证的方式,这种认证方式是基于OAuth2协议实现,OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。Oauth协议目前发展到2.0版本,1.0版本过于复杂,2.0版本已得到广泛应用。
shiro oath2
11-21
标题 "shiro oath2" 涉及到的是Spring MVC、Swagger、Shiro以及OAuth2这四个关键领域的整合。在现代Web开发中,这些技术分别承担着不同的职责,以构建安全、可交互的Web应用程序。 1. **Spring MVC**:这是一个Java...
安全性与认证机制】令牌认证:实现基于令牌的认证机制
![【安全性与认证机制】令牌认证:实现基于令牌的认证机制]...# 1. 令牌认证机制概述 在数字化时代,身份验证是信息安全的关键环节之一。令牌认证机制作为一种重要的身份验证手段,通过生成和验证令牌(Token)来确保...
对比三种认证方式:传统token认证,jwt认证,oauth认证
qq1319713925的博客
12-11 5188
详解几种认证方式的原理和区别
OAuth2.0协议入门
Daniel462038751的专栏
10-20 2449
OAuth2.0 协议原理 OAuth 2.0 协议是一种三方授权协议,目前大部分的第三方登录与授权都是基于该协议的标准或改进实现。OAuth 1.0 的标准在 2007 年发布,2.0 的标准则在 2011 年发布,其中 2.0 的标准取消所有 Token 的加密过程,并简化了授权流程,但因强制使用 HTTPS 协议,被认为安全性高于 1.0 的标准。 一. 基础应用:第三方登录 ​ 对于 OAuth2.0 协议(以下简称 OAuth 协议)的第一次接触,我相信大部分开发者都是通过对接第三方登录
为什么要使用oath协议?
weixin_34198881的博客
12-15 181
一.如何查看用户是否登录? 通过cookie和session来查看用户是否登录. 如果cookie对应的session中保存了用户登录信息,则判定用户已登录 Jsessionid,也就是tomcat自动生成的cookie,用来匹配session,默认的domain,path以及expires都是N/A 这个N/A的意思是默认,domain和path都是/,expires关闭浏览器过期. ...
OAuth的三种认证方式
poison_biti的博客
07-31 8808
三种认证方式: (1)Resource Owner Password Credentials Grant(资源所有者密码凭据许可) (2)Implicit Grant(隐式许可) (3)Authorization Code Grant(授权码许可) 资源所有者密码凭据许可:      比如说,你有某个网站的账号和密码,你就可以通过账号密码登陆以后在这个网站上你自己
OAuth 2.0 认证的原理与实践
weixin_34138056的博客
03-24 668
原文同步至https://waylau.com/principle...
OAuth2.0认证原理浅析
热门推荐
张胜楠的博客
03-14 8万+
一.OAuth是什么?         OAuth的英文全称是Open Authorization,它是一种开放授权协议。OAuth目前共有2个版本,2007年12月的1.0版(之后有一个修正版1.0a)和2010年4月的2.0版,1.0版本存在严重安全漏洞,而2.0版解决了该问题,下面简单谈一下我对OAuth2.0的理解。 二.OAuth2.0有什么用?            引用一下O...
使用oath作totp一次性口令openssh认证
weixin_44053794的博客
11-23 2626
官方地址 https://www.nongnu.org/oath-toolkit/ 实现: 使用 google-authenticator 产生totp token 然后使用 oath的pam模块认证 安装 debian系安装 sudo apt install oathtool libpam-oath libpam0g-dev centos 系安装 需要epel sudo yum install liboath liboath-devel liboath-doc pam_oath oathtool p
OAuth2.0认证和授权原理
Just Code
10-04 2087
什么是OAuth授权?   一、什么是OAuth协议 OAuth(开放授权)是一个开放标准。 允许第三方网站在用户授权的前提下访问在用户在服务商那里存储的各种信息。 而这种授权无需将用户提供用户名和密码提供给该第三方网站。 OAuth允许用户提供一个令牌给第三方网站,一个令牌对应一个特定的第三方网站,同时该令牌只能在特定的时间内访问特定的资源。   二、OAuth的原理和授...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值