OAuth1和OAuth2授权协议
OAuth 1 授权协议
1. 概述
OAuth1 是 OAuth 标准的第一个正式版本,它通过 签名和令牌 的方式,实现用户授权第三方访问其资源的功能。在 OAuth1 中,安全性依赖于签名机制,无需传递用户密码。
2. 核心特性
- 使用 签名(Signature) 来验证请求,提供高安全性。
- 每次请求需要签名,因此客户端和服务器必须具备一致的签名计算能力。
- 授权流程较复杂,尤其是在客户端上实现。
3. 授权流程
OAuth1 的流程包括以下步骤:
-
获取请求令牌(Request Token):
- 客户端向授权服务器请求一个临时的请求令牌。
- 授权服务器返回
oauth_token和oauth_token_secret。
-
用户授权(User Authorization):
- 用户被引导到授权页面(通过
oauth_token标识)。 - 用户授权后,授权服务器返回验证代码(
oauth_verifier)。
- 用户被引导到授权页面(通过
-
获取访问令牌(Access Token):
- 客户端用
oauth_token和oauth_verifier请求访问令牌。 - 授权服务器返回
access_token和access_token_secret。
- 客户端用
-
资源访问(Resource Access):
- 客户端使用
access_token访问资源。
- 客户端使用
4. 安全机制
- 签名机制:
- 使用 HMAC-SHA1 或 RSA-SHA1 对每个请求进行签名。
- 签名保护了请求头、参数和正文,防止数据篡改。
- 加密密钥:
- 客户端必须持有私钥用于签名。
OAuth 2 授权协议
1. 概述
OAuth2 是 OAuth1 的升级版本,设计上更简化,更灵活。OAuth2 使用 访问令牌(Access Token) 进行授权,与 OAuth1 的签名机制相比,OAuth2 更容易实现。
2. 核心特性
- 令牌驱动:
- OAuth2 通过短时有效的访问令牌授权资源访问。
- 多种授权模式:
- 支持多种授权模式(授权码、密码、简化模式、客户端模式),适应不同场景。
- 易于实现:
- 无需签名机制,减少实现的复杂度。
3. 授权流程
OAuth2 的授权流程根据授权模式不同而有所变化,以下是常用的 授权码模式 流程:
-
用户授权(Authorization):
- 用户通过浏览器被重定向到授权页面。
- 授权服务器返回一个 授权码(Authorization Code)。
-
获取访问令牌(Access Token):
- 客户端用授权码向授权服务器请求访问令牌。
- 授权服务器返回 访问令牌 和(可选)刷新令牌(Refresh Token)。
-
资源访问(Resource Access):
- 客户端使用访问令牌访问资源。
- 如果令牌过期,可用刷新令牌获取新的访问令牌。
4. 安全机制
- 使用 HTTPS 保证传输安全。
- 作用域(Scope) 控制令牌的访问范围。
- 刷新令牌(Refresh Token) 实现长期授权。
OAuth1 和 OAuth2 的对比
| 特性 | OAuth1 | OAuth2 |
|---|---|---|
| 标准化时间 | 2010 年正式发布 | 2012 年发布 |
| 安全机制 | 签名机制(HMAC-SHA1 或 RSA-SHA1) | HTTPS 传输、短时令牌机制 |
| 授权模式 | 仅支持一种流程 | 支持多种授权模式(授权码、简化模式、密码模式等) |
| 实现复杂性 | 高,需要实现签名计算和验证 | 低,基于令牌的简单传输 |
| 适用场景 | 安全性较高、敏感资源的访问 | 灵活、适应多种场景 |
| 传输安全 | 签名保护请求数据,传输可用 HTTP 或 HTTPS | 强制 HTTPS 保护数据传输 |
| 客户端密钥 | 需要客户端持有密钥用于签名 | 可选择是否需要客户端密钥 |
| 刷新令牌 | 不支持 | 支持,用于延长访问会话 |
| 使用广泛性 | 主要用于早期的服务(如 Twitter、JIRA Server) | 现代服务广泛支持(如 Google、Facebook、JIRA Cloud) |
| 学习曲线 | 较陡,签名计算较复杂 | 平缓,易于理解和使用 |
优劣势对比
OAuth1 优势
- 安全性更高:
- 使用签名保护数据,即使在非 HTTPS 环境中也具有较好的安全性。
- 数据完整性:
- 签名机制验证数据未被篡改。
OAuth1 劣势
- 实现复杂:
- 签名计算过程复杂,增加了开发和调试难度。
- 灵活性不足:
- 不支持多种授权模式,适用范围较窄。
OAuth2 优势
- 简单易用:
- 基于访问令牌的机制,无需计算签名。
- 灵活性高:
- 提供多种授权模式,适应不同类型的客户端和场景。
- 现代化设计:
- 支持刷新令牌,减少用户重复授权。
OAuth2 劣势
- 依赖 HTTPS:
- OAuth2 的安全性高度依赖 HTTPS,需保证传输层安全。
- 相对安全性低:
- 如果访问令牌泄露,可能导致资源被滥用。
总结
| 适用场景 | 推荐协议 |
|---|---|
| 高度安全、复杂的系统 | OAuth1 |
| 现代化服务、多样化应用场景 | OAuth2 |
- OAuth1 更适合需要高安全性的数据访问,但实现复杂度较高。
- OAuth2 是现代服务的主流选择,具有更强的灵活性和简单性,广泛应用于各种 Web 和移动应用中。
相关文章:
OAuth1和OAuth2授权协议
OAuth 1 授权协议 1. 概述 OAuth1 是 OAuth 标准的第一个正式版本,它通过 签名和令牌 的方式,实现用户授权第三方访问其资源的功能。在 OAuth1 中,安全性依赖于签名机制,无需传递用户密码。 2. 核心特性 使用 签名(…...
)
AI学习(vscode+deepseek+cline)
1、网页生成不成功时,直接根据提示让模型替你解决问题 2、http://localhost:3000 拒绝链接时,cmd输入命令InetMgr,网站右键新建-配置你的网页代码物理地址,这里我还输入本机登录名及密码了,并把端口地址由默认80修改为…...
04-机器学习-网页数据抓取
网络爬取(Web Scraping)深度指南 1. 网络爬取全流程设计 一个完整的网络爬取项目通常包含以下步骤: 目标分析: 明确需求:需要哪些数据(如商品价格、评论、图片)?网站结构分析&…...
计网week1+2
计网 一.概念 1.什么是Internet 节点:主机及其运行的应用程序、路由器、交换机 边:通信链路,接入网链路主机连接到互联网的链路,光纤、网输电缆 协议:对等层的实体之间通信要遵守的标准,规定了语法、语义…...
重定向与缓冲区
4种重定向 我们有如下的代码: #include <stdio.h> #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> #include <unistd.h> #include <string.h>#define FILE_NAME "log.txt"int main() {close(1)…...
练习题 - Django 4.x File 文件上传使用示例和配置方法
在现代的 web 应用开发中,文件上传是一个常见的功能,无论是用户上传头像、上传文档,还是其他类型的文件,处理文件上传都是开发者必须掌握的技能之一。Django 作为一个流行的 Python web 框架,提供了便捷的文件上传功能和配置方法。学习如何在 Django 中实现文件上传,不仅…...
[VSCode] vscode下载安装及安装中文插件详解(附下载链接)
VSCode 是一款由微软开发且跨平台的免费源代码编辑器;该软件支持语法高亮、代码自动补全、代码重构、查看定义功能,并且内置了命令行工具和Git版本控制系统。 下载链接:https://pan.quark.cn/s/3a90aef4b645 提取码:NFy5 通过上面…...
JVM常见知识点
在《深入理解Java虚拟机》一书中,介绍了JVM的相关特性。 1、JVM的内存区域划分 在真实的操作系统中,对于地址空间进行了分区域的设计,由于JVM是仿照真实的机器进行设计的,那么也进行了分区域的设计。核心区域有四个,…...
深入探索 Vue 3 Markdown 编辑器:高级功能与实现
目录 1. 为什么选择 Markdown 编辑器?2. 选择合适的 Markdown 编辑器3. 安装与基本配置安装 配置 Markdown 编辑器代码说明 4. 高级功能实现4.1 实时预览与双向绑定4.2 插入图片和图像上传安装图像上传插件配置图像上传插件 4.3 数学公式支持安装 KaTeX配置 KaTeX 插…...
vscode无法格式化go代码的问题
CTRLshiftp 点击Go:Install/Update Tools 点击全选,OK!...
《Java程序设计》课程考核试卷
一、单项选择题(本大题共10个小题,每小题2分,共20分) 1.下列用来编译Java源文件为字节码文件的工具是( )。 A.java B.javadoc C.jar D.javac 2…...
one-hot (独热编码)
一、目的 假设我们现在需要对猫、 狗、 人这三个类别进行分类。 若以 0 代表猫, 以 1 代表狗, 以 2 代表人,会发现那么猫和狗之间距离为 1, 狗和人之间距离为 1, 而猫和人之间距离为 2。 假设真实标签是猫࿰…...
寒假1.23
题解 web:[极客大挑战 2019]Secret File(文件包含漏洞) 打开链接是一个普通的文字界面 查看一下源代码 发现一个链接,点进去看看 再点一次看看,没什么用 仔细看,有一个问题,当点击./action.ph…...
unity 粒子系统设置触发
1、勾选Triggers选项 2、将作为触发器的物体拉入队列当中,物体上必须挂载collider 3、将想要触发的方式(Inide、Outside、Enter和Exit)选择为”Callback“,其他默认为”Ignore“ 4、Collider Query Mode 设置为All:…...
【C++】类和对象(五)
1、初始化列表 作用:C提供了初始化列表语法,用来初始化属性。 语法: 构造函数():属性1(值1),属性2(值2)...{}示例: #include<i…...
超分辨率体积重建实现术前前列腺MRI和大病理切片组织病理学图像的3D配准
摘要: 磁共振成像(MRI)在前列腺癌诊断和治疗中的应用正在迅速增加。然而,在MRI上识别癌症的存在和范围仍然具有挑战性,导致即使是专家放射科医生在检测结果上也存在高度变异性。提高MRI上的癌症检测能力对于减少这种变异性并最大化MRI的临床效用至关重要。迄今为止,这种改…...
第13章 深入volatile关键字(Java高并发编程详解:多线程与系统设计)
1.并发编程的三个重要特性 并发编程有三个至关重要的特性,分别是原子性、有序性和可见性 1.1 原子性 所谓原子性是指在一次的操作或者多次操作中,要么所有的操作全部都得到了执行并 且不会受到任何因素的干扰而中断,要么所有的操作都不执行…...
[STM32 标准库]定时器输出PWM配置流程 PWM模式解析
前言: 本文内容基本来自江协,整理起来方便日后开发使用。MCU:STM32F103C8T6。 一、配置流程 1、开启GPIO,TIM的时钟 /*开启时钟*/RCC_APB1PeriphClockCmd(RCC_APB1Periph_TIM2, ENABLE); //开启TIM2的时钟RCC_APB2PeriphClockC…...
web3py+flask+ganache的智能合约教育平台
最近在学习web3的接口文档,使用web3pyflaskganache写了一个简易的智能合约教育平台,语言用的是python,ganche直接使用的本地区块链网络,用web3py进行交互。 代码逻辑不难,可以私信或者到我的闲鱼号夏沫mds获取我的代码…...
< OS 有关 > 阿里云:轻量应用服务器 的使用 :轻量化 阿里云 vpm 主机
原因: < OS 有关 > 阿里云:轻量应用服务器 的使用 :从新开始 配置 SSH 主机名 DNS Tailscale 更新OS安装包 最主要是 清除阿里云客户端这个性能杀手-CSDN博客 防止 I/O 祸害系统 操作: 查看进程&#x…...
CRNN OCR文字识别镜像:开箱即用,轻松集成到你的项目中
CRNN OCR文字识别镜像:开箱即用,轻松集成到你的项目中 1. 项目概述 在现代数字化场景中,OCR(光学字符识别)技术已成为从图像中提取文本信息的关键工具。本镜像基于工业级CRNN(卷积循环神经网络࿰…...
TikTok音乐提取全攻略:3分钟学会用DouK-Downloader分离音频
TikTok音乐提取全攻略:3分钟学会用DouK-Downloader分离音频 【免费下载链接】TikTokDownloader JoeanAmier/TikTokDownloader: 这是一个用于从TikTok下载视频和音频的工具。适合用于需要从TikTok下载视频和音频的场景。特点:易于使用,支持多种…...
3大突破!开源RGB控制终极指南:从多软件混战到统一灯光管理
3大突破!开源RGB控制终极指南:从多软件混战到统一灯光管理 【免费下载链接】OpenRGB Open source RGB lighting control that doesnt depend on manufacturer software. Supports Windows, Linux, MacOS. Mirror of https://gitlab.com/CalcProgrammer1/…...
终极LoRaWAN服务器搭建指南:如何快速构建你的私有物联网网络
终极LoRaWAN服务器搭建指南:如何快速构建你的私有物联网网络 【免费下载链接】lorawan-server Compact server for private LoRaWAN networks 项目地址: https://gitcode.com/gh_mirrors/lo/lorawan-server 你是否想拥有一个完全可控的LoRaWAN物联网平台&…...
别再只盯着find提权了!盘点Linux下5种更隐蔽的权限维持姿势与排查手册
超越find提权:Linux系统下5种高阶权限维持技术与深度排查指南 当攻击者成功获取Linux系统权限后,权限维持(Persistence)往往成为攻防对抗的核心战场。传统安全培训常聚焦于SUID提权等基础手段,但真实APT攻击中…...
别再手动发卡了!2025新版ZFAKA搭配宝塔面板,30分钟搞定你的专属自动售卡站
2025年ZFAKA自动售卡系统:零基础30分钟搭建全攻略 在数字商品交易日益火爆的今天,手动处理订单不仅效率低下,还容易出错。想象一下凌晨三点被订单提醒吵醒,手忙脚乱地复制卡密发给买家——这种场景对于个体创业者来说再熟悉不过了…...
OpenClaw+Qwen3-32B内容创作流:从提纲到公众号发布的自动化
OpenClawQwen3-32B内容创作流:从提纲到公众号发布的自动化 1. 为什么需要自动化内容创作 作为一个技术博主,我每周至少要产出2-3篇深度文章。最痛苦的时刻不是写作本身,而是面对空白文档时的"冷启动"阶段——从选题构思到完成初稿…...
5个超实用技巧:用Awesome Adb实现手机调试效率倍增
5个超实用技巧:用Awesome Adb实现手机调试效率倍增 【免费下载链接】awesome-adb ADB Usage Complete / ADB 用法大全 项目地址: https://gitcode.com/gh_mirrors/aw/awesome-adb 副标题:告别繁琐操作,让Android设备管理效率提升10倍 …...
实战指南 | TSMaster 的 CAN UDS 诊断自动化流程与 BootLoader 刷写详解
1. TSMaster诊断控制台深度解析 诊断控制台是TSMaster进行UDS诊断的核心操作界面,相当于工程师与ECU对话的"翻译器"。我第一次接触这个界面时,被它清晰的四分区设计惊艳到了——就像汽车仪表盘把转速、车速、油量分区域显示一样直观。 服务命令…...
PP-DocLayoutV3效果惊艳:26类标签全覆盖+多边形框可视化热力图展示
PP-DocLayoutV3效果惊艳:26类标签全覆盖多边形框可视化热力图展示 1. 文档布局分析的新突破 在日常工作中,我们经常需要处理各种文档图像——扫描的合同、拍摄的表格、手写的笔记,甚至是倾斜拍摄的白板内容。传统的文档分析工具往往只能处理…...