你管这破玩意叫 OAuth

沙海 2021年6月1日01:09:32Java评论57字数 2700阅读9分0秒阅读模式
摘要

智能摘要

智能摘要文章源自JAVA秀-https://www.javaxiu.com/27752.html

这几秒钟之内发生的事情,在外行的用户视角看来,就是在豆瓣官网上输了个qq号和密码就登录成功了。当你点击用qq登录的小图标时,实际上是向豆瓣的服务器发起了一个请求。用户在QQ登录页面点击授权登陆后,就直接跳转到豆瓣首页了,但其实经历了很多隐藏的过程。首先接上一步,QQ服务器在判断登录成功后,使页面重定向到之前豆瓣发来的callback并附上code授权码。但这是不可能的,你愿意把你的QQ号和密码给豆瓣看到?文章源自JAVA秀-https://www.javaxiu.com/27752.html

原文约 1846 | 图片 18 | 建议阅读 4 分钟 | 评价反馈文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth

GitHub那些事 文章源自JAVA秀-https://www.javaxiu.com/27752.html

以下文章来源于低并发编程,作者闪客sun文章源自JAVA秀-https://www.javaxiu.com/27752.html

文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

低并发编程文章源自JAVA秀-https://www.javaxiu.com/27752.html

战略上藐视技术,战术上重视技术文章源自JAVA秀-https://www.javaxiu.com/27752.html

文章源自JAVA秀-https://www.javaxiu.com/27752.html

今天,我想登陆豆瓣,看看电影评论,陶冶陶冶情操。文章源自JAVA秀-https://www.javaxiu.com/27752.html

但是,我从来没注册过豆瓣账号,而我又懒得再注册一个,怎么办呢?文章源自JAVA秀-https://www.javaxiu.com/27752.html

我打开豆瓣的官网,笑了,原来豆瓣早就为我这种懒人想到了办法。文章源自JAVA秀-https://www.javaxiu.com/27752.html

文章源自JAVA秀-https://www.javaxiu.com/27752.html

懒人三步文章源自JAVA秀-https://www.javaxiu.com/27752.html

第一步:在豆瓣官网点击用 QQ 登陆。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

第二步:跳转到 qq 登录页面输入用户名密码,然后点授权并登录。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

第三步:跳回到豆瓣页面,成功登录。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

太方便了!文章源自JAVA秀-https://www.javaxiu.com/27752.html

但这短短的几秒钟,可不简单,我来给你说说。文章源自JAVA秀-https://www.javaxiu.com/27752.html

文章源自JAVA秀-https://www.javaxiu.com/27752.html

上帝视角看发生了什么文章源自JAVA秀-https://www.javaxiu.com/27752.html

这几秒钟之内发生的事情,在外行的用户视角看来,就是在豆瓣官网上输了个 qq 号和密码就登录成功了。文章源自JAVA秀-https://www.javaxiu.com/27752.html

在一些细心的用户视角看来,页面经历了从豆瓣到 qq,再从 qq 到豆瓣的两次页面跳转。文章源自JAVA秀-https://www.javaxiu.com/27752.html

但作为一群专业的程序员,我们还应该从上帝视角来看这个过程。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

第一步:在豆瓣官网点击用 qq 登录文章源自JAVA秀-https://www.javaxiu.com/27752.html

当你点击用 qq 登录的小图标时,实际上是向豆瓣的服务器发起了一个请求。文章源自JAVA秀-https://www.javaxiu.com/27752.html

http:// www.douban.com/leadToAuthorize文章源自JAVA秀-https://www.javaxiu.com/27752.html

豆瓣服务器会响应一个重定向地址,指向 qq 授权登录的页面地址。文章源自JAVA秀-https://www.javaxiu.com/27752.html

http:// www.qq.com/authorize文章源自JAVA秀-https://www.javaxiu.com/27752.html

当然,这个重定向地址还附带了一个回调地址,这是在 QQ 那边登陆成功后需要跳回的豆瓣地址。文章源自JAVA秀-https://www.javaxiu.com/27752.html

http://www.qq.com/authorize?callback=www.douban.com/callback文章源自JAVA秀-https://www.javaxiu.com/27752.html

这跳回的地址是必然的嘛,不然 QQ 怎么知道在我这边登陆成功后我要干嘛,上杆子找人家 QQ 授权的网站那么多。文章源自JAVA秀-https://www.javaxiu.com/27752.html

这部分的流程是黄色的这部分。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

第二步:跳转到 qq 登录页面输入用户名密码,然后点授权并登录文章源自JAVA秀-https://www.javaxiu.com/27752.html

上一步,浏览器接到重定向地址文章源自JAVA秀-https://www.javaxiu.com/27752.html

http://www.qq.com/authorize?callback=www.douban.com/callback文章源自JAVA秀-https://www.javaxiu.com/27752.html

自然没什么好说的,乖乖访问过去。文章源自JAVA秀-https://www.javaxiu.com/27752.html

这回访问的就是 QQ 的页面了。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

用户输入 QQ 号和密码,点击授权并登陆,这里走 QQ 服务器自己的校验逻辑,与豆瓣毫无关系。文章源自JAVA秀-https://www.javaxiu.com/27752.html

若校验成功,会响应给浏览器一个重定向地址文章源自JAVA秀-https://www.javaxiu.com/27752.html

www.douban.com/callback文章源自JAVA秀-https://www.javaxiu.com/27752.html

没错,就是上一步传给 QQ 服务器的 callback 参数!文章源自JAVA秀-https://www.javaxiu.com/27752.html

但除了这个地址外,还附上了一个 code,我们叫它授权码文章源自JAVA秀-https://www.javaxiu.com/27752.html

www.douban.com/callback?code=xxx文章源自JAVA秀-https://www.javaxiu.com/27752.html

这个 code 是豆瓣服务唯一关心的事情,至于你那边如何校验用户,无所谓,只要最终能给我一个 code 码,我就认为这个用户在你那里登陆成功了。文章源自JAVA秀-https://www.javaxiu.com/27752.html

这部分的流程是黄色的这部分。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

第三步:跳回到豆瓣页面,成功登录文章源自JAVA秀-https://www.javaxiu.com/27752.html

这一步背后的过程其实是最繁琐的,但对于用户来说是完全感知不到的。文章源自JAVA秀-https://www.javaxiu.com/27752.html

用户在 QQ 登录页面点击授权登陆后,就直接跳转到豆瓣首页了,但其实经历了很多隐藏的过程。文章源自JAVA秀-https://www.javaxiu.com/27752.html

首先接上一步,QQ 服务器在判断登录成功后,使页面重定向到之前豆瓣发来的 callback 并附上 code 授权码。文章源自JAVA秀-https://www.javaxiu.com/27752.html

www.douban.com/callback?code=xxx文章源自JAVA秀-https://www.javaxiu.com/27752.html

浏览器接到重定向,乖乖发起请求,此时请求的是豆瓣服务器文章源自JAVA秀-https://www.javaxiu.com/27752.html

豆瓣服务器收到请求后,对 QQ 服务器发起了两次请求:文章源自JAVA秀-https://www.javaxiu.com/27752.html

1. 用拿到的 code 去换 token文章源自JAVA秀-https://www.javaxiu.com/27752.html

2. 再用拿到的 token 换取用户信息文章源自JAVA秀-https://www.javaxiu.com/27752.html

这个 code 和 token 都是有失效时间的,也因此保证了只要不在短时间内泄漏出去,就不会有安全风险。文章源自JAVA秀-https://www.javaxiu.com/27752.html

拿到用户信息之后,就返回给了浏览器。注意此时的浏览器上是豆瓣的首页,豆瓣也因此可以将你的个人信息展示出来。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

这部分的流程是黄色的这部分。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

至此,整个过程结束。文章源自JAVA秀-https://www.javaxiu.com/27752.html

这个破玩意,就叫做 OAuth 2.0 协议文章源自JAVA秀-https://www.javaxiu.com/27752.html

这个流程目的是让大家从全局了解 oauth2.0 协议实际上发生了什么,并仅仅以 oauth 的其中一种模式,授权码模式进行讲解。文章源自JAVA秀-https://www.javaxiu.com/27752.html

如想了解更多模式,以及每次的请求和响应的标准齐全的参数,推荐读一下阮一峰的文章。文章源自JAVA秀-https://www.javaxiu.com/27752.html

http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html文章源自JAVA秀-https://www.javaxiu.com/27752.html

文章源自JAVA秀-https://www.javaxiu.com/27752.html

为啥要这么跳来跳去文章源自JAVA秀-https://www.javaxiu.com/27752.html

为什么,要这么麻烦呢?跳来跳去的。文章源自JAVA秀-https://www.javaxiu.com/27752.html

其实之所以有这个协议,我总结起来有两点原因:文章源自JAVA秀-https://www.javaxiu.com/27752.html

懒 + 不信任文章源自JAVA秀-https://www.javaxiu.com/27752.html

是指用户懒。文章源自JAVA秀-https://www.javaxiu.com/27752.html

如果用户不那么懒,直接在豆瓣上新注册一个账号就好了。文章源自JAVA秀-https://www.javaxiu.com/27752.html

不信任是什么意思呢?文章源自JAVA秀-https://www.javaxiu.com/27752.html

如果用户信任豆瓣网站,那完全可以让用户在豆瓣网站输入 QQ 的用户名和密码,由豆瓣传给 QQ 服务器做校验,并返回用户信息。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

但这是不可能的,你愿意把你的 QQ 号和密码给豆瓣看到?文章源自JAVA秀-https://www.javaxiu.com/27752.html

更甚者,如果 QQ 信任豆瓣,用户也信任豆瓣,那 QQ 也可以把自己的数据库直接拷贝给豆瓣,然后豆瓣就可以完全自己拥有一套 QQ 用户数据了,也就可以让用户使用 QQ 登录。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

当然,这也是不可能的。文章源自JAVA秀-https://www.javaxiu.com/27752.html

所以就有了 OAuth 这种协议,你进行第三方授权时(文中的QQ),用户名和密码是不经过目标服务器的(文中的豆瓣),这保证了授权的安全性文章源自JAVA秀-https://www.javaxiu.com/27752.html

第三方授权服务器只给目标服务器返回有时效性的 code 和 token,目标服务器通过这个去第三方资源服务器,换取用户信息,这达成了拿到用户信息的目的。文章源自JAVA秀-https://www.javaxiu.com/27752.html

所以总的来说,oauth 协议,就是由于三者(用户、目标、第三方)相互不信任,又想使用第三方服务器的授权功能,以及获取第三方服务器存储的用户信息,而产生的一个办法。文章源自JAVA秀-https://www.javaxiu.com/27752.html

这个破玩意,就叫做 OAuth 2.0 协议文章源自JAVA秀-https://www.javaxiu.com/27752.html

哦,上面好像说过了。文章源自JAVA秀-https://www.javaxiu.com/27752.html

文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

礼物文章源自JAVA秀-https://www.javaxiu.com/27752.html

了解了上述过程后,代码自然就不难写了。文章源自JAVA秀-https://www.javaxiu.com/27752.html

这里我实现了一个极简版的 oauth2.0 用于体验这个过程,大家可以参考下。文章源自JAVA秀-https://www.javaxiu.com/27752.html

项目结构非常简单,只有两个模块,分别是豆瓣和QQ,分别启动即可。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

最终效果也非常简单清晰,下面请忍受 low 逼的显示效果文章源自JAVA秀-https://www.javaxiu.com/27752.html

第一步,登陆豆瓣页面。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

第二步,使用 QQ 页面进行授权。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

第三步,授权成功跳回豆瓣首页。文章源自JAVA秀-https://www.javaxiu.com/27752.html

你管这破玩意叫 OAuth文章源自JAVA秀-https://www.javaxiu.com/27752.html

来源:低并发编程文章源自JAVA秀-https://www.javaxiu.com/27752.html

重磅!程序员交流群已成立公众号运营至今,离不开小伙伴们的支持。为了给小伙伴们提供一个互相交流的平台,特地开通了程序员交流群群里有不少技术大神,不时会分享一些技术要点,更有一些资源收藏爱好者不时分享一些优质的学习资料。(群完全免费,不广告不卖课!)需要进群的朋友,可长按扫描下方二维码。▲长按扫码
文章源自JAVA秀-https://www.javaxiu.com/27752.html
继续阅读
速蛙云 - 极致体验,强烈推荐!!!购买套餐就免费送各大视频网站会员!快速稳定、独家福利社、流媒体稳定解锁!速度快,全球上网、视频、游戏加速、独立IP均支持!基础套餐性价比很高!这里不多说,我一直正在使用,推荐购买:https://www.javaxiu.com/59919.html
weinxin
资源分享QQ群
本站是JAVA秀团队的技术分享社区, 会经常分享资源和教程; 分享的时代, 请别再沉默!
沙海
  • 版权声明:本站是JAVA秀团队的技术分享社区,我们会经常分享资源和教程。
  • 转载请注明:你管这破玩意叫 OAuth - JAVA秀 ☜(ˆ▽ˆ)
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

确定