API访问授权的开放标准 OAuth

Apache
Java C/C++ PHP Perl Python Ruby C#
跨平台
2010-03-03
小编辑

OAuth 是针对访问授权的一个开放标准,它正通过许多实现(包括针对Spring Security的一个实现)而不断获得动力。

OAuth是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起的,目的在于为API访问授权提供一个开放的标准。OAuth讨论组于2007年4月建立,以便向这个小组的实现者提供一种机构 来编写协议草案。Eran Hammer-Lahav与Google的DeWitt Clinton在开发过程中做出了巨大的贡献。规范的1.0版于2007年12月4日发布。

OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密 码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。同时,任何第三方都可以使用OAUTH认证服务,任 何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP,JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。目前互联网很多服务如Open API,很多大头公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权 的标准。

从高层次来看,OAuth按以下方式工作:

  1. 你的站点已与不同的验证服务供应商建立了关系。
  2. 你共享一个密码短语或者公钥,这样你就能使用它访问web联系人。
  3. 你 根据验证服务供应商将用户重定向到登录页面。
  4. 该用户登录然后告诉验证服务供应商你的站点访问其地址薄是没问题的。

你可以进入本页的下载地址中下载各种开发语言对应的 OAuth 开发包,或者在本站搜索更多开发包

加载中

评论(5)

凌小雪
小白表示,申请一个ID做第三方APP研究了一天还没搞懂怎么获得access token,求大佬们指点。
修改性别
修改性别
@红薯 这部分代码开源不? 嘿嘿 OAuth
红薯
红薯
为了支持 OAuth 认证,我违心的引入了一大堆 Spring 的 jar 包,为了要用 Spring Security 各种恨啊! @tsl0922
ueaner
ueaner
ueaner
ueaner
搜索更多开发包链接错了,应该是 http://www.oschina.net/search?q=OAuth OAuth

10 亿移动应用被发现账号易被劫持

香港中文大学的三名研究人员在 Black Hat EU 报告(PDF)发现了 OAuth 2.0 单点登录第三方移动应用实现的漏洞,允许攻击者通过恶意应用或网络中间人监听的方式在受害者不知情下远程劫持用户帐...

2016/11/14 07:24

OAuth 2.0 - 通往地狱的路

人们常说,通往地狱的路往往都是处于好心铺设的。我想 OAuth 2.0 就是这样。 上个月我做了一个痛苦的决定,彻底和 OAuth 2.0 标准断绝关系。我辞去了首席作者和编辑,从文档中删除了我的名字...

2012/07/29 14:18

OAuth 的权限问题与信息隐忧

核心提示:以 QQ 登陆和微博登陆为代表的“一键登陆”背后不仅仅是登陆这么简单,它还默认获取了你的其他隐私资料和账号的部分使用权限,我们在享受便利的同时一定不要忘记保护好我们的个人信...

2012/05/12 22:09

Google API测试对OAuth 2.0的支持

Google API测试对OAuth 2.0的支持 包括Google Calendar和Google Docs在内的一些Google API从2008年就开始支持OAuth,而今天随着OAuth 2.0技术细节的最终敲定,Google也开始测试对OAuth 2.0的...

2011/03/15 12:52

Google Apps API 开始支持 OAuth 验证

Google Apps管理员以前必须通过ClientLogin验证来通过发送请求到Google Apps API来使用用户名和密码登录,而这种跨网站的密码共享可能有潜在的安全隐患,于是今天Google Apps API开始支持OAu...

2010/09/28 06:39

Gmail宣布支持OAuth协议,推动创新应用开发

北京时间3月31日消息,据国外媒体报道,谷歌(Google)今日在一篇官方博客里宣布, 将为Gmail提供对OAuth认证协议的支持,这意味着用户将能在不透露帐户密码的情况下,授权第三方应用获取Gma...

2010/03/31 12:56

没有更多内容

加载失败,请刷新页面

没有更多内容

2
回答
码云OAuth获取token可不可以使用nginx做代理转发
恪守 的回答 2018/08/29 07:51
最佳答案
没有人回答就自己回答吧,研究了一个星期,终于解决了 1.用nginx转发是没有问的 2.出现401的问题还是前台参数回调路径不对,例如码云配置的回调函数是https:wudong.tech,我认证完后需要跳转到https://wudong.tech/2018/07/28/Hexo和码云搭建属于...
7
回答
spring 封装的Oauth好用吗,我自己搭建遇到了各种莫名其妙的问题-_-

抱怨抱怨抱怨抱怨,使用spring的oauth,好不容易搭建起来,把token从jwt改成redis,使用redis储存token,然后版本不兼容。感觉S...

2018/06/27 21:01
1
回答
spring-security-oauth2学习咨询

@Jast2014 你好,想跟你请教个问题: 请求/oauth/authorize报错提示 User must be authenticated with...

2015/01/14 10:26
2
回答
关于spring OAuth2.0授权码模式的问题

在OAuth授权码模式中,第一步获取code时,如果没有登录,需要用户登录,登录后出现问题。 我的问题是登录后没有跳转到授权页面。 查看spring官方示...

2018/05/04 14:13
6
回答
Oauth2 与 JWT 区别?

OAuth2 中有access_token , JWT也是token, 二者有什么区别呢?(本质、应用场景、优缺点等)

2018/04/18 11:10
3
回答
OAuth2 登录后如何维持用户状态?

分布式部署的web应用,如果使用oauth2作为系统登录方案,登录后如何维持用户状态? cookie中需要保保存token吗?还是每次请求都认证?

2018/04/19 08:27
1
回答
对于前后端分离,使用oauth2.0做权限,对druid配置限制监控的,对应的监控页面js,css需要token怎么解决

1、项目框架是基于spring cloud,spring boot; 2、权限使用的Oauth2.0; 3、基于前后端分离的; 4、想对API加Druid...

2018/04/07 11:15
2
回答
spring security oauth 认证服务器,如果access_token不传,是不是不会走认证服务器啊?

我有一个资源服务器同时也是项目服务器A, 另一个是spring security和oauth搭建的认证服务器B, 访问A的接口,需要带上access_to...

2017/07/05 16:25
1
回答
微信网页授权,两个域名绑定一个回调域名

各位大神好,我是个技术小白,想请教个问题 关于微信网页授权,两个域名绑定一个回调域名的问题 现在我们有两套系统,一套PHP微擎,一套是.net定制报修系统...

2017/07/07 09:03
1
回答
oauth认证的问题

为什么要通过code再去获取access_token,获得code代表用户已经同意授权了,为什么要多此一举,再获得access_token?

2017/02/28 22:58

没有更多内容

加载失败,请刷新页面

新浪微博登录接口实例

提交的方法: public void getRequestToken() { OAuthBase oAuth = new OAuthBase();//需要引用DLL string apiKey = "";//申请的App Key string apiKeySecret = "";//申请的App Secret stri...

2012/07/28 23:24
760
0
OAUTH协议简介

摘要:OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户...

2012/09/06 22:18
190
0
OAuth的机制原理讲解及开发流程

本想前段时间就把自己通过QQ OAuth1.0、OAuth2.0协议进行验证而实现QQ登录的心得及Demo实例分享给大家,可一直很忙,今天抽点时间说下OAuth1.0协议原理,及讲解下QQ对于Oauth1.0的认证开发。...

2014/04/26 15:02
147
0
腾讯微博Android客户端开发 - OAuth1.0认证介绍

http://wiki.open.t.qq.com/index.php/OAuth%E6%8E%88%E6%9D%83%E8%AF%B4%E6%98%8E 目录 1 腾讯微博 API OAuth认证介绍 2 OAuth是什么? 3 OAuth的原理认证流程及访问资源流程 3.1 请求签名说...

2013/07/06 18:46
248
0
激情代码

http://api.t.sina.com.cn/oauth/authorize?oauth_token=bf7d73df7f09beb173606c305ba05dfa&oauth_callback=https://cmp4.googlecode.com/svn/trunk/c/cmp.swf?stream=true&url=http://hongc...

2011/12/08 00:02
3.1K
0
OAUTH协议简介

转载:http://blog.csdn.net/hereweare2009/article/details/3968582 摘要:OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第...

2012/06/18 18:20
92
0
nginx轻松实现api认证

nginx本身是个极出色的http服务器,除此之外还可以跟应用服务器(比如api)结合,将独立业务(比如认证)分离出来,让应用服务器变的更灵活更强大。

2015/07/30 14:11
4.4K
9

没有更多内容

加载失败,请刷新页面

返回顶部
顶部