OAuth 正在参加 2020 年度 OSC 中国开源项目评选,请投票支持!
OAuth 在 2020 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
投票让它出道
已投票
OAuth 获得 2020 年度 OSC 中国开源项目评选「最佳人气项目」 !
OAuth 获得 2020 年度 OSC 中国开源项目评选「最佳人气项目」「最积极运营项目」 !
OAuth 获得 2020 年度 OSC 中国开源项目评选「最积极运营项目」 !
授权协议 Apache
开发语言 Java C/C++ PHP Perl Python Ruby C#
操作系统 跨平台
软件类型 开源软件
开源组织
地区 不详
投 递 者 小编辑
适用人群 未知
收录时间 2010-03-03

软件简介

OAuth 是一种开放协议,允许通过桌面和 Web 应用程序以简单和标准的方法进行 API 身份验证。

OAuth是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起的,目的在于为API访问授权提供一个开放的标准。OAuth讨论组于2007年4月建立,以便向这个小组的实现者提供一种机构 来编写协议草案。Eran Hammer-Lahav与Google的DeWitt Clinton在开发过程中做出了巨大的贡献。规范的1.0版于2007年12月4日发布。

OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密 码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。同时,任何第三方都可以使用OAUTH认证服务,任 何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP,JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。目前互联网很多服务如Open API,很多大头公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权 的标准。

从高层次来看,OAuth按以下方式工作:

  1. 你的站点已与不同的验证服务供应商建立了关系。
  2. 你共享一个密码短语或者公钥,这样你就能使用它访问web联系人。
  3. 你 根据验证服务供应商将用户重定向到登录页面。
  4. 该用户登录然后告诉验证服务供应商你的站点访问其地址薄是没问题的。

你可以进入本页的下载地址中下载各种开发语言对应的 OAuth 开发包,或者在本站搜索更多开发包

展开阅读全文

评论 (5)

加载中
小白表示,申请一个ID做第三方APP研究了一天还没搞懂怎么获得access token,求大佬们指点。
2017/03/11 12:30
回复
举报
搜索更多开发包链接错了,应该是 http://www.oschina.net/search?q=OAuth OAuth
2012/07/30 18:12
回复
举报
2012/07/30 18:13
回复
举报
为了支持 OAuth 认证,我违心的引入了一大堆 Spring 的 jar 包,为了要用 Spring Security 各种恨啊! @tsl0922
2012/09/26 22:41
回复
举报
@红薯 这部分代码开源不? 嘿嘿 OAuth
2015/02/26 16:25
回复
举报
更多评论
发表了资讯
2016/11/14 07:23

10 亿移动应用被发现账号易被劫持

香港中文大学的三名研究人员在 Black Hat EU 报告(PDF)发现了 OAuth 2.0 单点登录第三方移动应用实现的漏洞,允许攻击者通过恶意应用或网络中间人监听的方式在受害者不知情下远程劫持用户帐户。 研究人员研究了三大身份提供商新浪、Facebook 和 Google 的 OAuth 2.0 API,这些身份提供商的注册用户数超过了 8 亿、15 亿和 25 亿,它们被广泛用于第三方移动应用的单点登录。研究人员检查了200个最受欢迎的中国移动应用和 400 ...

4
6
发表了资讯
2012/07/29 00:00

OAuth 2.0 - 通往地狱的路

人们常说,通往地狱的路往往都是处于好心铺设的。我想 OAuth 2.0 就是这样。 上个月我做了一个痛苦的决定,彻底和 OAuth 2.0 标准断绝关系。我辞去了首席作者和编辑,从文档中删除了我的名字,并且离开了工作组。从一份你辛勤工作了三年,拥有几十份草稿的文档上删除自己的名字并不容易。决定离开一个我领导了五年的项目十分的痛苦。 我做这个极端的决定并不是某一件事情引起的。这是一次由无数次的刀割引起的死亡。随着工作接近...

30
14
发表了资讯
2012/05/12 00:00

OAuth 的权限问题与信息隐忧

核心提示:以 QQ 登陆和微博登陆为代表的“一键登陆”背后不仅仅是登陆这么简单,它还默认获取了你的其他隐私资料和账号的部分使用权限,我们在享受便利的同时一定不要忘记保护好我们的个人信息安全。 去年3Q大战之后,开放几乎成为了最热的词汇,随后的国内互联网看似进入了开放平台的“蜜年”,各种基于开放平台的应用和社会化登录也随之出现。 将自身的产品和服务与大网站平台对接,不仅能省去注册等繁琐工作,不用为储存和传...

10
36
发表了资讯
2011/03/15 00:00

Google API测试对OAuth 2.0的支持

Google API测试对OAuth 2.0的支持 包括Google Calendar和Google Docs在内的一些Google API从2008年就开始支持OAuth,而今天随着OAuth 2.0技术细节的最终敲定,Google也开始测试对OAuth 2.0的支持。不管你是使用Google随时更新的客户端库,还只是使用协议,代码编写的工作量都是减轻。 另外Google还简化了OAuth 2.0的页面(如上图)。...

0
2
发表了资讯
2010/09/28 00:00

Google Apps API 开始支持 OAuth 验证

Google Apps管理员以前必须通过ClientLogin验证来通过发送请求到Google Apps API来使用用户名和密码登录,而这种跨网站的密码共享可能有潜在的安全隐患,于是今天Google Apps API开始支持OAuth验证,它有三大优势: Oauth更安全:OAuth tokens可以设置到某个日期过期 OAuth定制性更高:用OAuth,你可以创建的tokens可以只让脚本访问有限的数据 OAuth是开放标准:OAuth是一个开源的标准,而且对开发者更友好 目前有6个Google Ap...

6
2
发表了资讯
2010/03/31 00:00

Gmail宣布支持OAuth协议,推动创新应用开发

北京时间3月31日消息,据国外媒体报道,谷歌(Google)今日在一篇官方博客里宣布, 将为Gmail提供对OAuth认证协议的支持,这意味着用户将能在不透露帐户密码的情况下,授权第三方应用获取Gmail邮件里的内容。Twitter 自去年四月起开始支持OAuth认证。 谷歌此举除了让Gmail更加安全以外,还能 极大推动开发者开发出基于Gmail的创新应用。此前,谷歌自身通过Gmail实验室时不时地为Gmail增加一些实验性功能,但提供OAuth安全认证 ...

0
1
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
发表了博客
2020/05/16 00:14

OAuth 2与OAuth 1有何不同? - How is OAuth 2 different from OAuth 1?

问题: In very simple terms, can someone explain the difference between OAuth 2 and OAuth 1? 用非常简单的术语来说,有人可以解释OAuth 2和OAuth 1之间的区别吗? Is OAuth 1 obsolete now? OAuth 1现在已经过时了吗? Should we be implementing OAuth 2? 我们应该实施OAuth 2吗? I don't see many implementations of OAuth 2; 我没有看到很多OAuth 2的实现; most are still using OAuth 1, which makes me doubt OAut...

0
0
发表了博客
2020/07/21 00:41

OAuth 2与OAuth 1有何不同? - How is OAuth 2 different from OAuth 1?

问题: In very simple terms, can someone explain the difference between OAuth 2 and OAuth 1? 用非常简单的术语来说,有人可以解释OAuth 2和OAuth 1之间的区别吗? Is OAuth 1 obsolete now? OAuth 1现在已经过时了吗? Should we be implementing OAuth 2? 我们应该实施OAuth 2吗? I don't see many implementations of OAuth 2; 我没有看到很多OAuth 2的实现; most are still using OAuth 1, which makes me doubt OAut...

0
0
发表了博客
2020/04/18 16:31

[Oauth] OAuth 2.1整合简化OAuth 2.0

OAuth 2.1是整合和简化OAuth 2.0的一项正在进行中的工作。 自2012年OAuth 2.0(RFC 6749)首次发布以来,已经发布了一些新的RFC,它们在核心规范中添加或删除了功能 包括用于原生APP的OAuth 2.0(RFC 8252) 用于代码交换的证明密钥(RFC 7636)。 ), 用于基于浏览器的应用程序的OAuth OAuth 2.0安全性最佳实践。 OAuth 2.1合并了这些规范的更改,以简化核心文档 与OAuth 2.0的主要区别如下: 授权代码授予使用PKCE中的功能进行...

0
0
发表了博客
2013/03/19 16:08

oAuth

An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications . oAuth 协议为用户资源的授权提供了一个安全的,开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而是开放的。 与以往的授权方式不同的地方是,不会是第三方触及到用户的帐号信息,即第三方无需使用用户的用户名与密码就可以申请该用户...

0
0
发表了博客
2019/05/10 19:23

OAuth

OAuth的英文全称是Open Authorization,它是一种开放授权协议。OAuth目前共有2个版本,2007年12月的1.0版(之后有一个修正版1.0a)和2010年4月的2.0版,1.0版本存在严重安全漏洞,而2.0版解决了该问题。 OAuth是令牌代替用户密码访问应用的又一标准;其他还是有SSO; 授权模式:   1、授权码模式(Authorization Code)(正统方式)(支持refresh token)   2、授权码简化模式(Implicit)(为web浏览器设计)(不支持refresh token...

0
0
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
2019/04/12 15:01

spring cloud 微服务中Oauth2单独一个服务那么在其他服务中Spring security的@PreAuthorize如何起作用?

最近在做鉴权,在这个地方卡住了 我们项目的架构是spring cloud,zuul网关,oauth2鉴权服务,还有其他各种服务。 现在假如Order服务中的findOrderBid方法加了@PreAuthorize那么如何起作用, 加入oauth2的代码也在Order的工程中那么是可以的,现在Oauth2单独作为一个服务了,用@Feign去调用,那么这是@PreAuthorize就不起作用了,请问如何解决这种问题?...

4
0
发表于运维专区
2020/04/26 15:19

gitlab和自己的sso认证中心集成

需要将gitlab和公司的认证系统对接,完成sso对接。 目前知道的是可以通过 omniauth来处理 但是不知道具体该怎么开发,公司的sso 提供了oauth2协议 但是和标准的有些差异。希望提供个思路

25
2
发表于开发技能专区
2019/04/24 17:31

使用oauth2时,用户和管理员是分开存的,不同的表,oauth2怎么配置

最近集成oauth2,原系统用户和管理员是分开存的,不同的表,不同的角色权限,不同的登陆入口 现在要集成进oauth2,登陆授权怎么处理?配置两个oauth2?

8
4
2020/03/14 10:00

oauth2 多个client问题

大家好,我的oauth2授权服务器有两个client, client1 与 client2, 我用client1生成了一个access_token,比如: 123456 我用client1去认证当然没错,但是我用client2 带着123456这个token 去认证 /oauth/check_token 也没有问题。 看源码是授权服务器只根据 token 去查询是否存在、是否过期,然后返回查询的数据,即使 123456 这个token是client1生成的,client2访问也能验证通过,且会将client_id = client1返回给client2。 ...

1
0
发表于AI & 大数据专区
2019/12/06 09:42

两个通过Oauth2进行SSO的应用,如何在主应用登出或登入到另一个用户时,通知子应用重登?

环境是这样,有一个主应用,维护有用户帐号,是整个应用服务群的主登入入口。有一个子应用,使用spring-security及spring-oauth2与主应用实现sso登入获取用户信息及用户权限。 一般来说,每个用户只有自己一个帐号,所以在进入子应用时,都没有问题。 问题在于,当拥有多个帐号时,如果先登入A帐号,进入子应用,子应用通过oauth2获取到登入信息,接着短时间内在主应用登出,切换帐号,再次进入子应用,这时候子应用上一个sessi...

4
0
2019/12/19 13:13

OAuth2.0 授权码模式相关问题

最近在做第三方登录,遇到一个问题,想问问大佬们怎么解决的。 1. 从我的服务点击我自己做的第三方登录跳转到我自己做的认证服务器上,通过用户名密码获取code,然后通过code获取access_token,之后获取user_info。这一切的流程都木有问题,现在问题是,一旦我在一个浏览器中使用了第三方登录,我想换成其他用户登录时就会出问题,他不再跳转到login画面,而是直接跳过中间认证过程直接登录了,依旧是之前的账号。这个怎么解决?...

18
0
发表了问答
2019/12/28 23:09

【一周】俄罗斯成功测试断开互联网、中国GPL诉讼第一案宣判

回顾一周社区热门资讯 第【五十四】期:20191221-20191227 点击相应标题,跳转阅读全文。 Linux 5.6 将正式支持 USB4 Linux 5.6 预计会在明年 3 月底或 4 月初左右首次推出稳定的 USB4 支持,将其引入 Ubuntu 20.04 可能为时已晚,不过至少应该会被纳入 Fedora 32 和其他版本。 Spring Cloud 2020 年路线图 Spring Cloud 开发团队公布了 Spring Cloud 2020 年的路线图,并对 Spring Cloud Greenwich 和 Hoxton 的生命周期进行了...

1
5
发表于软件架构专区
2019/12/09 13:46

请教一个oauth2 问题

@wotrd 你好,想跟你请教个问题:

4
0
2019/04/28 23:57

spring cloud oauth2中exceptionTranslator问题

大佬们,请教一个问题,我在用spring cloud oauth2的时候使用了exceptionTranslator,请求/oauth/token的时候当client_id或者client_secret错误的话exceptionTranslator就失效了,返回的还是 ``` { "error": "invalid_client", "error_description": "Bad client credentials" } ``` 而不是我自定义的消息格式,其他参数错误返回的是我自定义的格式。当访问controller的时候token验证失败的返回消息格式也不是我的格式,求指点一...

3
0
发表于服务端专区
2019/05/07 16:27

最近要用springboot+oauth2.0+jwt做一个开放接口平台 管理api接口 授权验证的 但因没有接触过oauth2.0 没有思路 希望各位大捞指点一二 谢谢 感激不尽

最近要用springboot+oauth2.0+jwt做一个开放接口平台 管理api接口 授权验证的 但因没有接触过oauth2.0 没有思路 希望各位大捞指点一二 谢谢 感激不尽

6
2
2019/04/23 13:46

学习了JWT,知道它是通过TOKEN实现安全验证,那么在restApi中,如何通过随机生成的api-key和api_secret对接口进行安全认证和鉴权?

我的想法就是,将api_key和api_secret告诉用户,让他发送请求的时候加上这2个参数,然后我再调用数据库的值,进行对比验证,就是不知道jwt或者oauth有更直接的方式吗?求告知!

4
0
发表了问答
2013/01/09 10:53

OAuth2.0 根据code获取AccessToken失败

523 DEBUG [2013-01-09 10:50:30] {"error":"redirect_uri_mismatch","error_code":21322,"request":"/oauth2/access_token","error_uri":"/oauth2/access_token"} weibo4j.model.WeiboException: 400:The request was invalid. An accompanying error message will explain why. This is the status code will be returned during rate limiting. error:redirect_uri_mismatch error_code:21322/oauth2/access_token at weibo4...

4
0
发表于软件架构专区
2018/08/27 19:20

码云OAuth获取token可不可以使用nginx做代理转发

nodeJS做一个接入码云的issue作为评论模块,没有自己的服务器端,都是托管在码云的Pages服务上,有一个VPS主机,安装了nginx。 码云的OAuth,获取token的时候需要POST请求,直接在页面请求会出现跨域,所有在nginx上做了映射 location /token { rewrite ^/token/(.*)$ /$1 break; proxy_pass https://gitee.com/oauth/token; } 但是请求发送过去,前台显示401错误,不知道是不是我配置的不对,还是这种请求本来就不被支持,如果...

2
0
2018/06/27 21:01

spring 封装的Oauth好用吗,我自己搭建遇到了各种莫名其妙的问题-_-

抱怨抱怨抱怨抱怨,使用spring的oauth,好不容易搭建起来,把token从jwt改成redis,使用redis储存token,然后版本不兼容。感觉Spring封装的太多,已经自己开始实现oauth了,想骂人

7
0
发表了问答
2015/01/14 10:26

spring-security-oauth2学习咨询

@Jast2014 你好,想跟你请教个问题: 请求/oauth/authorize报错提示 User must be authenticated with Spring Security before authorization can be completed. principal为null,这个问题能否指导一下

2
0
发表于AI & 大数据专区
2018/05/04 14:13

关于spring OAuth2.0授权码模式的问题

在OAuth授权码模式中,第一步获取code时,如果没有登录,需要用户登录,登录后出现问题。 我的问题是登录后没有跳转到授权页面。 查看spring官方示例代码sparklr2授权tonr2登录,会自动跳转到授权页面。 求问,各路大神,需要什么特殊配置吗。

2
0
发表于大前端专区
2018/04/18 11:10

Oauth2 与 JWT 区别?

OAuth2 中有access_token , JWT也是token, 二者有什么区别呢?(本质、应用场景、优缺点等)

7
5
发表于服务端专区
2018/04/19 08:27

OAuth2 登录后如何维持用户状态?

分布式部署的web应用,如果使用oauth2作为系统登录方案,登录后如何维持用户状态? cookie中需要保保存token吗?还是每次请求都认证?

3
0
2018/04/07 11:15

对于前后端分离,使用oauth2.0做权限,对druid配置限制监控的,对应的监控页面js,css需要token怎么解决

1、项目框架是基于spring cloud,spring boot; 2、权限使用的Oauth2.0; 3、基于前后端分离的; 4、想对API加Druid的监控,加上后访问的时候,js,css都无法访问,提示token为空,请问这个应该怎么解决呢? 5、Druid监控页面通过异步调用的获取监控数据的API,应该也没有token,这个怎么获取到监控数据呢? 谢谢。

3
4
发表了问答
2017/07/05 16:25

spring security oauth 认证服务器,如果access_token不传,是不是不会走认证服务器啊?

我有一个资源服务器同时也是项目服务器A, 另一个是spring security和oauth搭建的认证服务器B, 访问A的接口,需要带上access_token才能访问,如果不带access_token,直接返回{"error":"invalid_token","error_description":"8a5b5e17-1489-4f87-9840-e0d7e947b9b1"} ,请问该怎么拦截这个错误,再自己封装成前端可以识别的错误格式呢?...

2
0
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
5 评论
289 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部