OAuth1和OAuth2授权协议
OAuth 1 授权协议
1. 概述
OAuth1 是 OAuth 标准的第一个正式版本,它通过 签名和令牌 的方式,实现用户授权第三方访问其资源的功能。在 OAuth1 中,安全性依赖于签名机制,无需传递用户密码。
2. 核心特性
- 使用 签名(Signature) 来验证请求,提供高安全性。
- 每次请求需要签名,因此客户端和服务器必须具备一致的签名计算能力。
- 授权流程较复杂,尤其是在客户端上实现。
3. 授权流程
OAuth1 的流程包括以下步骤:
-
获取请求令牌(Request Token):
- 客户端向授权服务器请求一个临时的请求令牌。
- 授权服务器返回
oauth_token和oauth_token_secret。
-
用户授权(User Authorization):
- 用户被引导到授权页面(通过
oauth_token标识)。 - 用户授权后,授权服务器返回验证代码(
oauth_verifier)。
- 用户被引导到授权页面(通过
-
获取访问令牌(Access Token):
- 客户端用
oauth_token和oauth_verifier请求访问令牌。 - 授权服务器返回
access_token和access_token_secret。
- 客户端用
-
资源访问(Resource Access):
- 客户端使用
access_token访问资源。
- 客户端使用
4. 安全机制
- 签名机制:
- 使用 HMAC-SHA1 或 RSA-SHA1 对每个请求进行签名。
- 签名保护了请求头、参数和正文,防止数据篡改。
- 加密密钥:
- 客户端必须持有私钥用于签名。
OAuth 2 授权协议
1. 概述
OAuth2 是 OAuth1 的升级版本,设计上更简化,更灵活。OAuth2 使用 访问令牌(Access Token) 进行授权,与 OAuth1 的签名机制相比,OAuth2 更容易实现。
2. 核心特性
- 令牌驱动:
- OAuth2 通过短时有效的访问令牌授权资源访问。
- 多种授权模式:
- 支持多种授权模式(授权码、密码、简化模式、客户端模式),适应不同场景。
- 易于实现:
- 无需签名机制,减少实现的复杂度。
3. 授权流程
OAuth2 的授权流程根据授权模式不同而有所变化,以下是常用的 授权码模式 流程:
-
用户授权(Authorization):
- 用户通过浏览器被重定向到授权页面。
- 授权服务器返回一个 授权码(Authorization Code)。
-
获取访问令牌(Access Token):
- 客户端用授权码向授权服务器请求访问令牌。
- 授权服务器返回 访问令牌 和(可选)刷新令牌(Refresh Token)。
-
资源访问(Resource Access):
- 客户端使用访问令牌访问资源。
- 如果令牌过期,可用刷新令牌获取新的访问令牌。
4. 安全机制
- 使用 HTTPS 保证传输安全。
- 作用域(Scope) 控制令牌的访问范围。
- 刷新令牌(Refresh Token) 实现长期授权。
OAuth1 和 OAuth2 的对比
| 特性 | OAuth1 | OAuth2 |
|---|---|---|
| 标准化时间 | 2010 年正式发布 | 2012 年发布 |
| 安全机制 | 签名机制(HMAC-SHA1 或 RSA-SHA1) | HTTPS 传输、短时令牌机制 |
| 授权模式 | 仅支持一种流程 | 支持多种授权模式(授权码、简化模式、密码模式等) |
| 实现复杂性 | 高,需要实现签名计算和验证 | 低,基于令牌的简单传输 |
| 适用场景 | 安全性较高、敏感资源的访问 | 灵活、适应多种场景 |
| 传输安全 | 签名保护请求数据,传输可用 HTTP 或 HTTPS | 强制 HTTPS 保护数据传输 |
| 客户端密钥 | 需要客户端持有密钥用于签名 | 可选择是否需要客户端密钥 |
| 刷新令牌 | 不支持 | 支持,用于延长访问会话 |
| 使用广泛性 | 主要用于早期的服务(如 Twitter、JIRA Server) | 现代服务广泛支持(如 Google、Facebook、JIRA Cloud) |
| 学习曲线 | 较陡,签名计算较复杂 | 平缓,易于理解和使用 |
优劣势对比
OAuth1 优势
- 安全性更高:
- 使用签名保护数据,即使在非 HTTPS 环境中也具有较好的安全性。
- 数据完整性:
- 签名机制验证数据未被篡改。
OAuth1 劣势
- 实现复杂:
- 签名计算过程复杂,增加了开发和调试难度。
- 灵活性不足:
- 不支持多种授权模式,适用范围较窄。
OAuth2 优势
- 简单易用:
- 基于访问令牌的机制,无需计算签名。
- 灵活性高:
- 提供多种授权模式,适应不同类型的客户端和场景。
- 现代化设计:
- 支持刷新令牌,减少用户重复授权。
OAuth2 劣势
- 依赖 HTTPS:
- OAuth2 的安全性高度依赖 HTTPS,需保证传输层安全。
- 相对安全性低:
- 如果访问令牌泄露,可能导致资源被滥用。
总结
| 适用场景 | 推荐协议 |
|---|---|
| 高度安全、复杂的系统 | OAuth1 |
| 现代化服务、多样化应用场景 | OAuth2 |
- OAuth1 更适合需要高安全性的数据访问,但实现复杂度较高。
- OAuth2 是现代服务的主流选择,具有更强的灵活性和简单性,广泛应用于各种 Web 和移动应用中。
相关文章:
OAuth1和OAuth2授权协议
OAuth 1 授权协议 1. 概述 OAuth1 是 OAuth 标准的第一个正式版本,它通过 签名和令牌 的方式,实现用户授权第三方访问其资源的功能。在 OAuth1 中,安全性依赖于签名机制,无需传递用户密码。 2. 核心特性 使用 签名(…...
)
AI学习(vscode+deepseek+cline)
1、网页生成不成功时,直接根据提示让模型替你解决问题 2、http://localhost:3000 拒绝链接时,cmd输入命令InetMgr,网站右键新建-配置你的网页代码物理地址,这里我还输入本机登录名及密码了,并把端口地址由默认80修改为…...
04-机器学习-网页数据抓取
网络爬取(Web Scraping)深度指南 1. 网络爬取全流程设计 一个完整的网络爬取项目通常包含以下步骤: 目标分析: 明确需求:需要哪些数据(如商品价格、评论、图片)?网站结构分析&…...
计网week1+2
计网 一.概念 1.什么是Internet 节点:主机及其运行的应用程序、路由器、交换机 边:通信链路,接入网链路主机连接到互联网的链路,光纤、网输电缆 协议:对等层的实体之间通信要遵守的标准,规定了语法、语义…...
重定向与缓冲区
4种重定向 我们有如下的代码: #include <stdio.h> #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> #include <unistd.h> #include <string.h>#define FILE_NAME "log.txt"int main() {close(1)…...
练习题 - Django 4.x File 文件上传使用示例和配置方法
在现代的 web 应用开发中,文件上传是一个常见的功能,无论是用户上传头像、上传文档,还是其他类型的文件,处理文件上传都是开发者必须掌握的技能之一。Django 作为一个流行的 Python web 框架,提供了便捷的文件上传功能和配置方法。学习如何在 Django 中实现文件上传,不仅…...
[VSCode] vscode下载安装及安装中文插件详解(附下载链接)
VSCode 是一款由微软开发且跨平台的免费源代码编辑器;该软件支持语法高亮、代码自动补全、代码重构、查看定义功能,并且内置了命令行工具和Git版本控制系统。 下载链接:https://pan.quark.cn/s/3a90aef4b645 提取码:NFy5 通过上面…...
JVM常见知识点
在《深入理解Java虚拟机》一书中,介绍了JVM的相关特性。 1、JVM的内存区域划分 在真实的操作系统中,对于地址空间进行了分区域的设计,由于JVM是仿照真实的机器进行设计的,那么也进行了分区域的设计。核心区域有四个,…...
深入探索 Vue 3 Markdown 编辑器:高级功能与实现
目录 1. 为什么选择 Markdown 编辑器?2. 选择合适的 Markdown 编辑器3. 安装与基本配置安装 配置 Markdown 编辑器代码说明 4. 高级功能实现4.1 实时预览与双向绑定4.2 插入图片和图像上传安装图像上传插件配置图像上传插件 4.3 数学公式支持安装 KaTeX配置 KaTeX 插…...
vscode无法格式化go代码的问题
CTRLshiftp 点击Go:Install/Update Tools 点击全选,OK!...
《Java程序设计》课程考核试卷
一、单项选择题(本大题共10个小题,每小题2分,共20分) 1.下列用来编译Java源文件为字节码文件的工具是( )。 A.java B.javadoc C.jar D.javac 2…...
one-hot (独热编码)
一、目的 假设我们现在需要对猫、 狗、 人这三个类别进行分类。 若以 0 代表猫, 以 1 代表狗, 以 2 代表人,会发现那么猫和狗之间距离为 1, 狗和人之间距离为 1, 而猫和人之间距离为 2。 假设真实标签是猫࿰…...
寒假1.23
题解 web:[极客大挑战 2019]Secret File(文件包含漏洞) 打开链接是一个普通的文字界面 查看一下源代码 发现一个链接,点进去看看 再点一次看看,没什么用 仔细看,有一个问题,当点击./action.ph…...
unity 粒子系统设置触发
1、勾选Triggers选项 2、将作为触发器的物体拉入队列当中,物体上必须挂载collider 3、将想要触发的方式(Inide、Outside、Enter和Exit)选择为”Callback“,其他默认为”Ignore“ 4、Collider Query Mode 设置为All:…...
【C++】类和对象(五)
1、初始化列表 作用:C提供了初始化列表语法,用来初始化属性。 语法: 构造函数():属性1(值1),属性2(值2)...{}示例: #include<i…...
超分辨率体积重建实现术前前列腺MRI和大病理切片组织病理学图像的3D配准
摘要: 磁共振成像(MRI)在前列腺癌诊断和治疗中的应用正在迅速增加。然而,在MRI上识别癌症的存在和范围仍然具有挑战性,导致即使是专家放射科医生在检测结果上也存在高度变异性。提高MRI上的癌症检测能力对于减少这种变异性并最大化MRI的临床效用至关重要。迄今为止,这种改…...
第13章 深入volatile关键字(Java高并发编程详解:多线程与系统设计)
1.并发编程的三个重要特性 并发编程有三个至关重要的特性,分别是原子性、有序性和可见性 1.1 原子性 所谓原子性是指在一次的操作或者多次操作中,要么所有的操作全部都得到了执行并 且不会受到任何因素的干扰而中断,要么所有的操作都不执行…...
[STM32 标准库]定时器输出PWM配置流程 PWM模式解析
前言: 本文内容基本来自江协,整理起来方便日后开发使用。MCU:STM32F103C8T6。 一、配置流程 1、开启GPIO,TIM的时钟 /*开启时钟*/RCC_APB1PeriphClockCmd(RCC_APB1Periph_TIM2, ENABLE); //开启TIM2的时钟RCC_APB2PeriphClockC…...
web3py+flask+ganache的智能合约教育平台
最近在学习web3的接口文档,使用web3pyflaskganache写了一个简易的智能合约教育平台,语言用的是python,ganche直接使用的本地区块链网络,用web3py进行交互。 代码逻辑不难,可以私信或者到我的闲鱼号夏沫mds获取我的代码…...
< OS 有关 > 阿里云:轻量应用服务器 的使用 :轻量化 阿里云 vpm 主机
原因: < OS 有关 > 阿里云:轻量应用服务器 的使用 :从新开始 配置 SSH 主机名 DNS Tailscale 更新OS安装包 最主要是 清除阿里云客户端这个性能杀手-CSDN博客 防止 I/O 祸害系统 操作: 查看进程&#x…...
Vue记事本应用实现教程
文章目录 1. 项目介绍2. 开发环境准备3. 设计应用界面4. 创建Vue实例和数据模型5. 实现记事本功能5.1 添加新记事项5.2 删除记事项5.3 清空所有记事 6. 添加样式7. 功能扩展:显示创建时间8. 功能扩展:记事项搜索9. 完整代码10. Vue知识点解析10.1 数据绑…...
指令的指南)
在Ubuntu中设置开机自动运行(sudo)指令的指南
在Ubuntu系统中,有时需要在系统启动时自动执行某些命令,特别是需要 sudo权限的指令。为了实现这一功能,可以使用多种方法,包括编写Systemd服务、配置 rc.local文件或使用 cron任务计划。本文将详细介绍这些方法,并提供…...
鱼香ros docker配置镜像报错:https://registry-1.docker.io/v2/
使用鱼香ros一件安装docker时的https://registry-1.docker.io/v2/问题 一键安装指令 wget http://fishros.com/install -O fishros && . fishros出现问题:docker pull 失败 网络不同,需要使用镜像源 按照如下步骤操作 sudo vi /etc/docker/dae…...
Springboot社区养老保险系统小程序
一、前言 随着我国经济迅速发展,人们对手机的需求越来越大,各种手机软件也都在被广泛应用,但是对于手机进行数据信息管理,对于手机的各种软件也是备受用户的喜爱,社区养老保险系统小程序被用户普遍使用,为方…...
Go 语言并发编程基础:无缓冲与有缓冲通道
在上一章节中,我们了解了 Channel 的基本用法。本章将重点分析 Go 中通道的两种类型 —— 无缓冲通道与有缓冲通道,它们在并发编程中各具特点和应用场景。 一、通道的基本分类 类型定义形式特点无缓冲通道make(chan T)发送和接收都必须准备好࿰…...
为什么要创建 Vue 实例
核心原因:Vue 需要一个「控制中心」来驱动整个应用 你可以把 Vue 实例想象成你应用的**「大脑」或「引擎」。它负责协调模板、数据、逻辑和行为,将它们变成一个活的、可交互的应用**。没有这个实例,你的代码只是一堆静态的 HTML、JavaScript 变量和函数,无法「活」起来。 …...
零知开源——STM32F103RBT6驱动 ICM20948 九轴传感器及 vofa + 上位机可视化教程
STM32F1 本教程使用零知标准板(STM32F103RBT6)通过I2C驱动ICM20948九轴传感器,实现姿态解算,并通过串口将数据实时发送至VOFA上位机进行3D可视化。代码基于开源库修改优化,适合嵌入式及物联网开发者。在基础驱动上新增…...
raid存储技术
1. 存储技术概念 数据存储架构是对数据存储方式、存储设备及相关组件的组织和规划,涵盖存储系统的布局、数据存储策略等,它明确数据如何存储、管理与访问,为数据的安全、高效使用提供支撑。 由计算机中一组存储设备、控制部件和管理信息调度的…...
智能体革命:企业如何构建自主决策的AI代理?
OpenAI智能代理构建实用指南详解 随着大型语言模型(LLM)在推理、多模态理解和工具调用能力上的进步,智能代理(Agents)成为自动化领域的新突破。与传统软件仅帮助用户自动化流程不同,智能代理能够自主执行工…...
【R语言编程——数据调用】
这里写自定义目录标题 可用库及数据集外部数据导入方法查看数据集信息 在R语言中,有多个库支持调用内置数据集或外部数据,包括studentdata等教学或示例数据集。以下是常见的库和方法: 可用库及数据集 openintro库 该库包含多个教学数据集&a…...