API访问授权的开放标准 OAuth

Apache
Java C/C++ PHP Perl Python Ruby C#
跨平台
2010-03-03
小编辑

OAuth 是针对访问授权的一个开放标准,它正通过许多实现(包括针对Spring Security的一个实现)而不断获得动力。

OAuth是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起的,目的在于为API访问授权提供一个开放的标准。OAuth讨论组于2007年4月建立,以便向这个小组的实现者提供一种机构 来编写协议草案。Eran Hammer-Lahav与Google的DeWitt Clinton在开发过程中做出了巨大的贡献。规范的1.0版于2007年12月4日发布。

OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密 码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。同时,任何第三方都可以使用OAUTH认证服务,任 何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP,JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。目前互联网很多服务如Open API,很多大头公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权 的标准。

从高层次来看,OAuth按以下方式工作:

  1. 你的站点已与不同的验证服务供应商建立了关系。
  2. 你共享一个密码短语或者公钥,这样你就能使用它访问web联系人。
  3. 你 根据验证服务供应商将用户重定向到登录页面。
  4. 该用户登录然后告诉验证服务供应商你的站点访问其地址薄是没问题的。

你可以进入本页的下载地址中下载各种开发语言对应的 OAuth 开发包,或者在本站搜索更多开发包

加载中
此软件有 5 条评论,请先登录后再查看。

10 亿移动应用被发现账号易被劫持

香港中文大学的三名研究人员在 Black Hat EU 报告(PDF)发现了 OAuth 2.0 单点登录第三方移动应用实现的漏洞,允许攻击者通过恶意应用或网络中间人监听的方式在受害者不知情下远程劫持用户帐...

2016/11/14 07:24

OAuth 2.0 - 通往地狱的路

人们常说,通往地狱的路往往都是处于好心铺设的。我想 OAuth 2.0 就是这样。 上个月我做了一个痛苦的决定,彻底和 OAuth 2.0 标准断绝关系。我辞去了首席作者和编辑,从文档中删除了我的名字...

2012/07/29 14:18

OAuth 的权限问题与信息隐忧

核心提示:以 QQ 登陆和微博登陆为代表的“一键登陆”背后不仅仅是登陆这么简单,它还默认获取了你的其他隐私资料和账号的部分使用权限,我们在享受便利的同时一定不要忘记保护好我们的个人信...

2012/05/12 22:09

Google API测试对OAuth 2.0的支持

Google API测试对OAuth 2.0的支持 包括Google Calendar和Google Docs在内的一些Google API从2008年就开始支持OAuth,而今天随着OAuth 2.0技术细节的最终敲定,Google也开始测试对OAuth 2.0的...

2011/03/15 12:52

Google Apps API 开始支持 OAuth 验证

Google Apps管理员以前必须通过ClientLogin验证来通过发送请求到Google Apps API来使用用户名和密码登录,而这种跨网站的密码共享可能有潜在的安全隐患,于是今天Google Apps API开始支持OAu...

2010/09/28 06:39

Gmail宣布支持OAuth协议,推动创新应用开发

北京时间3月31日消息,据国外媒体报道,谷歌(Google)今日在一篇官方博客里宣布, 将为Gmail提供对OAuth认证协议的支持,这意味着用户将能在不透露帐户密码的情况下,授权第三方应用获取Gma...

2010/03/31 12:56

没有更多内容

加载失败,请刷新页面

没有更多内容

2
回答
gitlab和自己的sso认证中心集成

需要将gitlab和公司的认证系统对接,完成sso对接。 目前知道的是可以通过 omniauth来处理 但是不知道具体该怎么开发,公司的sso 提供了oa...

04/26 15:19
7
回答
使用oauth2时,用户和管理员是分开存的,不同的表,oauth2怎么配置

最近集成oauth2,原系统用户和管理员是分开存的,不同的表,不同的角色权限,不同的登陆入口 现在要集成进oauth2,登陆授权怎么处理?配置两个oauth2?

2019/04/24 17:31
1
回答
oauth2 多个client问题

大家好,我的oauth2授权服务器有两个client, client1 与 client2, 我用client1生成了一个access_token,比如:...

03/14 10:00
2
回答
两个通过Oauth2进行SSO的应用,如何在主应用登出或登入到另一个用户时,通知子应用重登?
bigbatcn 的回答 03/10 08:34
最佳答案
Oauth2只是一个协议过程,session的维护他是没有办法的。建议不要将认证和应用放在一起,建议独立出一个认证服务器。认证服务器同一管理session可以立即使session失效。也可以子应用中有拦截器判断认证的有效性时
4
回答
OAuth2.0 授权码模式相关问题

最近在做第三方登录,遇到一个问题,想问问大佬们怎么解决的。 1. 从我的服务点击我自己做的第三方登录跳转到我自己做的认证服务器上,通过用户名密码获取cod...

2019/12/19 13:13
1
回答
【一周】俄罗斯成功测试断开互联网、中国GPL诉讼第一案宣判

回顾一周社区热门资讯 第【五十四】期:20191221-20191227 点击相应标题,跳转阅读全文。 Linux 5.6 将正式支持 USB4 Linu...

2019/12/28 23:09
3
回答
请教一个oauth2 问题

@wotrd 你好,想跟你请教个问题:

2019/12/09 13:46
1
回答
spring cloud oauth2中exceptionTranslator问题

大佬们,请教一个问题,我在用spring cloud oauth2的时候使用了exceptionTranslator,请求/oauth/token的时候当...

2019/04/28 23:57
4
回答
最近要用springboot+oauth2.0+jwt做一个开放接口平台 管理api接口 授权验证的 但因没有接触过oauth2.0 没有思路 希望各位大捞指点一二 谢谢 感激不尽

最近要用springboot+oauth2.0+jwt做一个开放接口平台 管理api接口 授权验证的 但因没有接触过oauth2.0 没有思路 希望各位大...

2019/05/07 16:27
2
回答
学习了JWT,知道它是通过TOKEN实现安全验证,那么在restApi中,如何通过随机生成的api-key和api_secret对接口进行安全认证和鉴权?

我的想法就是,将api_key和api_secret告诉用户,让他发送请求的时候加上这2个参数,然后我再调用数据库的值,进行对比验证,就是不知道jwt或者...

2019/04/23 13:46

没有更多内容

加载失败,请刷新页面

[Oauth] OAuth 2.1整合简化OAuth 2.0

OAuth 2.1是整合和简化OAuth 2.0的一项正在进行中的工作。 自2012年OAuth 2.0(RFC 6749)首次发布以来,已经发布了一些新的RFC,它们在核心规范中添加或删除了功能 包括用于原生APP的OAuth...

04/18 16:31
82
0
OAuth 2与OAuth 1有何不同? - How is OAuth 2 different from OAuth 1?

问题: In very simple terms, can someone explain the difference between OAuth 2 and OAuth 1? 用非常简单的术语来说,有人可以解释OAuth 2和OAuth 1之间的区别吗? Is OAuth 1 obsolet...

05/16 00:14
71
0
OAuth 2与OAuth 1有何不同? - How is OAuth 2 different from OAuth 1?

问题: In very simple terms, can someone explain the difference between OAuth 2 and OAuth 1? 用非常简单的术语来说,有人可以解释OAuth 2和OAuth 1之间的区别吗? Is OAuth 1 obsolet...

07/21 00:41
48
0
oAuth

An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications . oAuth 协议为用户资源的授权提供了一个安全的,开放而又简易的...

2013/03/19 16:08
53
0
OAuth

OAuth的英文全称是Open Authorization,它是一种开放授权协议。OAuth目前共有2个版本,2007年12月的1.0版(之后有一个修正版1.0a)和2010年4月的2.0版,1.0版本存在严重安全漏洞,而2.0版解决...

2019/05/10 19:23
11
0

没有更多内容

加载失败,请刷新页面

返回顶部
顶部