- 我画了一个简单的图来了解一下OAUTH1.0请求的交互过程,附图如下:
简单解释一下:OAuth2.0是基于http实现,为了交互的安全性设计上看起来会稍微复杂,OAuth2.0获得的access_token有效期时间比较长,有安全隐患。具体可以参考一下文章:第三方登录access token过期问题和ACCESS_TOKEN与FRESH_TOKEN - 解释一下应用场景是参与者:
- 客户端:访问你应用网站的用户和浏览器
- 服务端:你的应用功能服务器
- 授权端:用户账户等资源所在的服务器
用户想通过可信的授权端账户登录并且使用你的服务器功能,但是为了安全起见又不想直接通过授权服务器的账号密码去登录你的服务,此时就要用到OAuth授权认证服务来实现。
- OAuth2.0模拟过程:
- WEB注册会获得appkey和secret
- CLIENT请求WEB
- WEB请求request_token(API:/oauth/request_token)(请求临时的request_token)
- SERVER生产request_token和request_secret存储并返回
- WEB申请SERVER授权(API:/oauth/authorize)(请求用户授权的token)
- SERVER重定向CLIENT去SERVER认证授权页面
- CLIENT认证授权到SERVER
- SERVER生成将oauth_verifier后将request_token和用户ID,应用ID,验证码oauth_verifier进行映射,并存储之后重定向到WEB
- WEB通过前面获取的oauth_verifier以及secret,request_secret等来请求access_token(获得获取资源的token,oauth_verifier是1.0a版本修复1.0存在的会话固化×××的漏洞时加入的,详情请阅读OAuth的改变)
- SERVER校验前面的参数,生成access_token和access_token_secret,然后将access_token,access_token_secret,用户ID,应用ID进行映射,并存在服务器数据库(长期有效)
- WEB获得并存储access_token等,然后通过access_token等向SERVER请求用户openId或者其他的用户信息
- WEB获得用户信息重定向用户去主页或者指定页面...
具体参考链接:
开放平台_OAuth2.0
OAuth的改变(文章很好的描述从1.0到1.0a防止会话固化×××所做的改进)
OAuth 1.0 协议学习
对OAuth2.0协议的理解
创新互联www.cdcxhl.cn,专业提供香港、美国云服务器,动态BGP最优骨干路由自动选择,持续稳定高效的网络助力业务部署。公司持有工信部办法的idc、isp许可证, 机房独有T级流量清洗系统配攻击溯源,准确进行流量调度,确保服务器高可用性。佳节活动现已开启,新人活动云服务器买多久送多久。
我们是2013年至今的成都网站建设公司,提供网站建设,电商网站设计开发,外贸营销网站建设,响应式网页设计,
小程序定制开发、等服务。为客户创造有价值的品牌营销体验,让互联网提升企业的竞争力!
网页标题:个人对OAUTH1.0简单理解-创新互联
文章来源:
http://bjjierui.cn/article/epjhj.html
