【编程开发】之OAuth2

1、OAuth2正式定义

2、令牌的核心

3、OAuth2的历史

4、OAuth2的优势

5、OAuth2的不足

6、Auth2涉及的角色

7、OAuth2术语

8、OAuth2 令牌的类型

9、OAuth2的误解

总结

1、OAuth2 解决的问题

• OAuth2 是针对特定问题的一种解决方案
• OAuth2 主要解决两个问题&＃xff1a;
  • 开发系统间的授权问题
  • 分布式微服务的安全

2、开发系统间的授权问题

比如&＃xff1a;用户想要在云冲印服务上打印照片&＃xff0c;云冲印服务需要访问云存储服务上的资源

我们知道图片资源的拥有者为用户&＃xff0c;用户可以使用密码登录访问&＃xff0c;而打印服务商是没有权限进行访问打印图片的&＃xff1a;

要解决这个问题我们有一下方法&＃xff1a;

方式一&＃xff1a;用户名密码复制

但这种方式会造成用户的密码泄露&＃xff0c;显示是行不通的。

方式二&＃xff1a;使用通用开发者key

但这种方式只适用于合作商或者授信的不同业务部门之间&＃xff0c;比如阿里巴巴和百度合作商&＃xff0c;但问题是如果你是创业公司&＃xff0c;想要和百度合作显然是不行的&＃xff0c;因为公司实力差距大不对等。

方式三&＃xff1a;颁发令牌

接近 OAuth2 方式&＃xff0c;需要考虑如何管理令牌、颁发令牌、吊销令牌&＃xff0c;需要统一的协议&＃xff0c;因此就有了OAuth2协议。所以解决授权问题的最佳方式就是使用令牌来授权。

3、分布式微服务安全

除了开放系统授权外&＃xff0c;OAuth2 还可以应用于现代分布式微服务安全

传统单块应用的安全&＃xff1a;

现代微服务安全&＃xff1a;

• 现代微服务中系统微服务化以及应用的形态和设备类型增多&＃xff0c;不能用传统的登录方式&＃xff1b;
• 核心的技术不是用户名和密码&＃xff0c;而是 token&＃xff0c;由 AuthServer 颁发 token&＃xff0c;用户使用 token 进行登录。

典型的 OAuth2 应用场景&＃xff1a;

4、总结

说白了 OAuth2 就是一种解决方案&＃xff1a;一种令牌机制&＃xff0c;按照一定规则生成字符串&＃xff0c;字符串中可包含用户信息。而具体的生产规则可以使用 JWT 工具来生成&＃xff0c;OAuth2 仅仅提供这种解决方案而已。