OAuth 2.0 和 OAuth 2.1

最新推荐文章于 2025-05-26 12:40:44 发布
最新推荐文章于 2025-05-26 12:40:44 发布
阅读量1.5k 收藏 25
点赞数 34
CC 4.0 BY-SA版权
分类专栏: 算法 文章标签: 前端 oneapi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wochunyang/article/details/138681860

OAuth 2.0 和 OAuth 2.1比较:

OAuth 2.0 和 OAuth 2.1 是授权框架的不同版本,它们用于允许应用程序安全地访问用户在另一个服务上的数据。以下是它们之间的一些主要区别:

  1. 安全性增强:OAuth 2.1 旨在提高安全性,它整合了自 OAuth 2.0 发布以来的最佳实践。它特别关注更好的默认安全性,并且不包含任何被认为是实验性的或仍在进行中的特性。
  2. 移除不安全的授权类型:在 OAuth 2.1 中,一些被认为是不安全的授权类型被移除,例如隐式授权("response_type=token")和资源所有者密码凭据授权。
  3. PKCE(Proof Key for Code Exchange)要求:OAuth 2.1 要求在授权代码授予时使用 PKCE,以增强移动应用和本地应用的安全性。
  4. 重定向 URI 的严格匹配:OAuth 2.1 要求使用精确字符串匹配来比较重定向 URI,而不是使用通配符或子字符串匹配。
  5. 持有者令牌的使用:在 OAuth 2.1 中,持有者令牌(访问令牌)不再通过 URI 查询字符串传输,以减少泄露的风险。
  6. 刷新令牌的保护:OAuth 2.1 要求刷新令牌必须受发件人限制或一次性使用,以增强刷新令牌的安全性。
  7. 规范的整合和精简:OAuth 2.1 根据安全最佳实践对 OAuth 2.0 协议进行整合和精简,移除了不安全的授权流程。
  8. 向后兼容性:尽管 OAuth 2.1 旨在提高安全性,但它并不是 OAuth 2.0 的完全重构,而是一个改进的版本。OAuth 2.1 建立在 OAuth 2.0 RFC 的基础上,继承了所有未明确省略或更改的行为。
  9. 实施状态:截至知识更新日期,OAuth 2.1 规范仍在讨论中,并没有最终确定。开发者可以遵循安全性最佳实践为 OAuth 2.1 的发布做好准备,但目前还不能使用正式的 OAuth 2.1 规范。

这些变化意味着 OAuth 2.1 将更加注重安全性和最佳实践的实施,同时保持与 OAuth 2.0 的兼容性,以便开发者可以平滑过渡到新版本。

OAuth 2.1

相关网址:

OAuth 2.1

It's Time for OAuth 2.1 • Aaron Parecki

OAuth 2.1: How Many RFCs Does it Take to Change a Lightbulb? | Okta Developer

OAuth 2.1 是 OAuth 2.0 的进化版,它旨在简化 OAuth 2.0 的实现,同时增强安全性。OAuth 2.1 整合了 OAuth 2.0 中的一些最佳实践和扩展,以提供一个更加安全且易于实施的框架。以下是学习 OAuth 2.1 的一些关键点:

1. OAuth 2.1 的核心组件

  • 授权服务器(Authorization Server):负责验证资源拥有者的身份,并颁发访问令牌。

  • 资源服务器(Resource Server):托管受保护的资源,能够使用访问令牌验证请求。

  • 资源拥有者(Resource Owner):通常是用户,拥有对受保护资源访问权限的实体。

  • 客户端(Client):代表资源拥有者并获得授权后访问受保护资源的软件应用。

  • 访问令牌(Access Token):授予客户端访问受保护资源的凭证。

2. OAuth 2.1 的授权流程

OAuth 2.1 定义了几种授权流程,包括:

  1. 授权码模式(Authorization Code Grant):这是最常用且安全性较高的流程,适用于有后端的应用程序。它涉及到一个前端重定向的过程,用户同意授权后,客户端通过后端服务器交换授权码以获取访问令牌(access token)。

  2. 客户端凭据模式(Client Credentials Grant):适用于没有前端的命令行应用或者服务端应用,客户端直接使用其凭证(client ID 和 client secret)向授权服务器请求访问令牌。

  3. 设备授权模式(Device Authorization Grant):适用于在设备上运行的应用程序,这些设备可能没有传统的输入机制(如智能电视、打印机等),用户通过设备上的说明在另一设备上完成授权。

3. OAuth 2.1 的安全增强

OAuth 2.1 引入了一些安全增强措施,包括:

  • 强制使用 HTTPS:确保所有通信都是加密的。

  • 禁止使用明文密码:不再推荐使用资源拥有者密码凭证流程。

  • 引入 PKCE(Proof Key for Code Exchange):用于增强授权码流程的安全性,防止授权码拦截攻击。

  • 访问令牌的生命周期管理:推荐使用短期访问令牌和刷新令牌。

5-OAuth2.1的已知变动
码农小胖哥
03-16 3146
OAuth2.0现在越来越流行了,特别在微服务大行其道的情况下。不过OAuth2.0太老了, 最初的OAuth2.0规范于 201210 月以RFC 6749文档为蓝本发布,取代了 2010 年 4 月发布的 OAuth1.0,在发布OAuth2.0的时候,Vue、React还没有兴起,甚至连跨域资源共享CORS还不是正式的W3C标准。OAuth2.0面对如今飞速发展的移动互联网已经老态龙钟,跟不上时代了。好在OAuth2.0非常开放,开发者可以做很多自定义操作,它把很多“设计权限”下放给了开发者,经
OAuth2.0 与 OpenID Connect 权威实战指南
s13596191285的博客
05-23 116
## Abstract 本指南旨在深入剖析 OAuth 2.0 OpenID Connect(OIDC)的核心原理与实现细节,涵盖经典与创新代码示例,结合多学科视角与案例分析,以学术化的写作风格呈现一份权威实战指南。文章包括协议架构、流程详解、加密机制、隐私合规、性能测试与结果分析,以及对未来趋势与挑战的前瞻性探讨,旨在帮助开发者、架构师安全专家全面掌握并创新应用 OAuth 2.0 与 OpenID Connect。 --- ## 1. 引言 OAuth 2.0 是一种授权框架,使第三方应用
OAuth 2.0OAuth 2.1 对比
深山技术宅的博客
05-10 662
OAuth 2.1OAuth 2.0 的改进版本,旨在修复其已知安全漏洞并整合最佳实践。核心区别在于安全性流程的优化。OAuth 2.1 强制使用 PKCE(Proof Key for Code Exchange)以防止授权码截获攻击,废除隐式授权模式密码模式,仅保留授权码模式客户端凭证模式。此外,OAuth 2.1 要求所有非公共客户端进行认证,并加强了刷新令牌的安全性。OAuth 2.1 整合了多项安全扩展,如 RFC 7636(PKCE) RFC 8414(授权服务器元数据),并移除了易
SpringBoot3集成Oauth2.1——6数据库存储客户端信息
最新发布
歪桃的博客
05-26 1048
获取SQL文件 oauth2-authorization-schema.sql oauth2-authorization-consent-schema.sql oauth2-registered-client-schema.sql 2添加客户端信息 2.1SQL语句添加(不推荐) 如下所示,可以提看到,其他的一些字段,基本都是我们知道的字符串,但是其中client_settings,则很难知道填写什么。 下面是一个示例:token_settings的示例,这种配置方式是挺奇葩的,不知道那天官方开始
OAuth 2 OAuth 2.1 之间的差异
ChaITSimpleLove的博客
12-06 2019
`OAuth 2.1` 整合了自 `Oauth 2` 发布以来八年来学到的最佳实践。最初的 `OAuth 2.0` 规范于 `2012` 年 `10` 月作为 `RFC6749` `RFC6750` 发布。它取代了 `2010` 年 `4` 月发布的 `OAuth 1.0`。在随后的几年中,对 `OAuth 2` 进行了许多扩展修改。新的 `OAuth` 规范已经提出,目前正在讨论中。目前,该规范最近一次更新是在 `2020` 年 `7` 月 `30` 日。如果获得批准...
[Oauth] OAuth 2.1整合简化OAuth 2.0
程序员老狼专注开发aigc或客服系统应用
04-17 721
OAuth 2.1是整合简化OAuth 2.0的一项正在进行中的工作。 自2012OAuth 2.0(RF​​C 6749)首次发布以来,已经发布了一些新的RFC,它们在核心规范中添加或删除了功能包括用于原生APP的OAuth 2.0(RF​​C 8252)用于代码交换的证明密钥(RFC 7636)。 ),用于基于浏览器的应用程序的OAuthOAuth 2.0安全性最佳实践。 OA...
微服务安全——OAuth2.1详解、授权码模式、SpringAuthorizationServer实战、SSO单点登录、Gateway整合OAuth2
zzz6583zz的博客
09-12 1783
Spring Authorization Server 是一个框架,它提供了OAuth 2.1规范以及其他相关规范的实现。它建立在 Spring Security 之上,为构建 OpenID Connect 1.0 身份提供者 OAuth2 授权服务器产品提供了一个安全、轻量级可定制的基础。说白了,Spring Authorization Server 就是一个认证(授权)服务器。
运维锅总详解OAuth 2.0协议
专注于输出大概有用的软硬件技术!
07-13 1484
OAuth 2.0 作用及工作流程是什么?OAuth 2.0 有哪些应用场景?OAuth 2.0历史又是如何演进的?希望读完本文,能帮您解答这些疑惑!
.net Core 2.1 控制台应用程序 实现宙斯API采用OAuth2.0授权调用
09-09
开放授权系统是基于OAuth2.0协议标准构建的京东开放平台授权系统.支持宙斯网关接口授权调用, 京东账号联合登录等功能 1.在进行京东开放系统对接的之前, 在京东开放平台注册开发者账号. 2.并拥有一个已审核通过的...
OAuth2.0授权码模式实战教程
kkchenjj的博客
07-17 1691
重定向用户至授权服务器:客户端应用将用户重定向到授权服务器的授权端点。用户授权:用户在授权服务器上登录并授权客户端应用访问其资源。授权码返回:授权服务器将用户重定向回客户端应用,并附带一个授权码。交换访问令牌:客户端应用使用授权码向授权服务器请求访问令牌。
OAuth2.0 动态注册客户端
new_ord的博客
11-03 1416
本篇博客介绍使用Spring Authorization ServerSpring Security OAuth2 Client实现OAuth 2.0动态注册,含自动注册、令牌获取资源访问。
OAuth2.1授权服务器Spring Authorization Server正式孵化成功进入Spring项目家族
码农小胖哥
08-17 2212
今天Spring官方宣布 Spring Authorization Server 已正式退出实验状态并进入Spring 项目的产品家族!官方声明此举恰逢本周的 0.2.0 版本发布,这是第...
Spring Authorization Server:OAuth 2.1与OpenID Connect实现
程序媛学姐的博客
04-25 1372
Spring Authorization Server为Java开发者提供了一个功能完备的OAuth 2.1OpenID Connect实现,满足了现代企业对认证授权的严格要求。通过灵活的架构设计丰富的扩展点,它支持从简单场景到复杂企业环境的各种需求。OAuth 2.1的安全增强特性,如PKCE、刷新令牌轮换重定向URI验证,提高了授权流程的安全性。OpenID Connect的支持简化了身份验证与授权的集成,使系统能够安全地识别用户并授予适当的访问权限。
微服务OAuth 2.1认证授权Demo方案(Spring Security 6)
m0_51390969的博客
02-13 4185
书接上文 微服务OAuth 2.1认证授权可行性方案(Spring Security 6)三个微服务以下是授权相关数据库。当我们知道,我们就可以知道这个用户可以访问哪些资源,并把这些权限(也就是里的字段)写成数组,写到的负载部分的字段中。当用户携带此JWT访问具有修饰的资源时,我们解析出中的字段,判断是否包含指定的权限,以此来完成所谓的的“授权”。 这里需要注意几点 这里需要注意几点这样,微服务颁发的,现在就会包含字段。示例如下 三、gateway微服务代码 1. 统一处理CORS问题 这里需要注意几点
[Oauth] OAuth 2.1废弃隐式验证方式
程序员老狼专注开发aigc或客服系统应用
04-17 382
oauth2.0中的隐式模式是下面这样的 , 直接通过前端页面访问授权服务获取token , 授权服务直接重定向回去 , 在浏览器//域名/回调url#access_token 把token以url哈希的形式 , 在#后面带回去了 这种方式非常不安全 , token容易泄露 一般的流程是在申请应用的地方 , 会自动生成client_id , 并且让填一个回调地址 , 那这俩参...
Spring Security OAuth2.0代码实现详解
标题中提到的“Oauth2.0 实现代码”以及描述中的“Spring-security-oauth2.0实现”,涉及了计算机安全领域中的一个重要的认证授权框架OAuth 2.0OAuth 2.0 是一个开放标准,允许用户授权第三方应用获取有限的资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值