T31项目第19天
今天是孤尽班学习的第19天,今天跟着刘雪松老师学习oAuth2的作用,使用方法等,感谢老师们的辛勤付出,我会继续努力,加油。
oAuth2
1.oAuth2 是什么
1.1 令牌和密码的区别
令牌
1.短期的。自动失效
2.可以撤销,撤销立即生效
3.有权限范围,如只能进二号门
密码
1.长期有限
2.一般不允许他人撤销
3.密码是完整权限
1.2 oAuth在京东中使用实例
京东和QQ的授权码之间的应用(授权码模式)
用户浏览器向京东发起登录请求,请求选择使用QQ来进行登录,京东会向QQ授权服务获取code信息给客户端,客户端通过 发送code 信息给QQ授权服务器,授权服务器给客户端发送令牌,客户端获取令牌之后,携带令牌信息可以向京东访问资源;
客户端:京东
资源服务器和授权服务器:QQ
OAuth2:授权协议
因为客户端和认证服务器双方的不信任产生了一个授权协议,如果信任(授权完成),QQ开放数据给京东
2.为什么要用oAuth
2.1授权不同服务器之间的资源访问
2.2 oAuth 京东登录的原理
2.3 T31项目的使用
UI模块通过admin模块向 ahtn-cneter模块申请令牌信息,UI模块获取令牌之后向访问order模块资源
3.oAuth2怎么使用
3.1 单体架构
客户端向服务端访问时,服务器端创建session信息返回给客户端,客户端存储cookie信息后携带cookie 信息可以进行服务器的资源的访问;
3.2分布是架构session共享
不同服务器通过向redis中查询客户的权限信息来校验客户端访问的权限
3.3cookie和session 以及 token区别
1.cookie是不能跨域的,前后端分离的架构实现多系统的SSO非常困难
2.移动端应用没有cookie,所以对移动端支持不好
3.token基于header传递,部分解决CSRF攻击
4.token要比sessionID大,客户端存储在Local Storage 中,客户直接被js读取
4.授权模式
4.1授权模式
向认证服务器获取 code,code的存活周期比较短
客户端(携带 表示 Base_Auth)向认证服务器 发送code 获取 token信息
客户访问资源时候在 heder 中携带 token信息
4.2简化模式
客户端不通过第三方的应用,直接向认证服务发送身份信息,认证服务给客户端发送令牌信息,客户端携带令牌信息访问资源
4.3密码模式
客户端访问服务器时,认证服务器通过验证客户端的登录的账号密码,如果正确直接返回 令牌给客户端,客户端获取令牌之后,向资源服务器访问资源
4.4客户端模式
携带信息中包含一些信息给认证服务器,认证服务器直接给客户端发送令牌信息
4.5 oAuth中接口参数说明
client_id:客户端id,和授权配置类中的客户端ID一致,用户客户端访问时,识别访问对象为客户端
response_type:响应类型,refresh-token(更新token),password(密码验证)
client_secret:客户端秘钥,和授权配置类中设置的客户端
secret一致,scop:授权配置类中设置的scope一致