OAuth 2.0 授权框架全解析

2025/3/6
本文详细介绍了 OAuth 2.0 这一授权框架,阐述其核心概念、流程、常见应用场景,还对比了与 OpenID Connect 的区别,说明它虽非登录方式却常用于实现第三方登录和单点登录。
OAuth 2.0 核心概念关系图

OAuth 2.0 是一种授权框架,而不是一种登录方式。它允许用户授权第三方应用访问他们在某个服务上的资源,而无需分享他们的用户名和密码。OAuth 2.0 主要用于授权,而不是认证,但它常被用于实现单点登录(SSO)和第三方登录功能。

OAuth 2.0 的核心概念

  1. 资源所有者(Resource Owner):通常是用户,拥有资源的控制权。
  2. 客户端(Client):请求访问资源的应用。
  3. 授权服务器(Authorization Server):负责验证用户身份并颁发访问令牌。
  4. 资源服务器(Resource Server):存储用户资源的服务器,接受并验证访问令牌。

OAuth 2.0 的流程

  1. 授权请求:客户端将用户重定向到授权服务器,请求授权。
  2. 用户同意:用户在授权服务器上登录并同意授权。
  3. 授权码返回:授权服务器将授权码返回给客户端。
  4. 令牌请求:客户端使用授权码向授权服务器请求访问令牌。
  5. 令牌颁发:授权服务器验证授权码并颁发访问令牌。
  6. 资源访问:客户端使用访问令牌访问资源服务器上的资源。

OAuth 2.0 的常见应用场景

  1. 第三方登录:如使用 Google、Facebook 账号登录其他应用。
  2. API 访问:允许第三方应用访问用户在某服务上的数据。
  3. 单点登录(SSO):用户在一个系统中登录后,可以访问多个关联系统。

OAuth 2.0 与 OpenID Connect

OAuth 2.0 主要用于授权,而 OpenID Connect(OIDC)是建立在 OAuth 2.0 之上的认证层,用于实现用户身份认证。OIDC 提供了标准的身份信息(如用户 ID、姓名、邮箱等),常用于实现单点登录和第三方登录功能。

总结

OAuth 2.0 是一种授权框架,用于安全地授权第三方应用访问用户资源。它本身不是一种登录方式,但常被用于实现第三方登录和单点登录功能。

标签:面试题
上次更新:

相关文章

npx完全指南:前端开发必备工具详解 | 20年架构师深度解析

本文由20年前端架构师深入解析npx工具,涵盖其核心功能、优势、高级用法、最佳实践及与npm/yarn的区别比较,帮助开发者掌握这一现代前端开发利器。

·前端开发

Astro 静态站点生成器:构建高性能网站的最佳选择

Astro 是一个专注于构建快速、轻量级网站的静态站点生成器,支持多种前端框架,采用岛屿架构减少 JavaScript 加载,提升性能。

·前端开发

Weex 跨平台移动开发框架:核心特性与使用指南

Weex 是由阿里巴巴开源的跨平台移动开发框架,支持使用 Vue.js 或 Rax 构建高性能的 iOS、Android 和 Web 应用。本文详细解析了 Weex 的核心特性、架构、工作流程、组件和模块、开发工具、优缺点、应用场景及未来发展。

·前端开发

ECharts 与 DataV 数据可视化工具对比分析 | 选择指南

本文详细对比了 ECharts 和 DataV 两个常用的数据可视化工具,包括它们的设计目标、优缺点、使用场景和技术栈,帮助读者根据具体需求选择合适的工具。

·前端开发

前端部署后通知用户刷新页面的常见方案 | 单页应用更新提示

本文介绍了在前端部署后通知用户刷新页面的几种常见方案,包括WebSocket实时通知、轮询检查版本、Service Worker版本控制、版本号对比、自动刷新、使用框架内置功能以及第三方库。每种方案的优缺点和示例代码均有详细说明。

·前端开发

file-saver:前端文件下载的 JavaScript 库使用指南

file-saver 是一个用于在浏览器端保存文件的 JavaScript 库,支持生成和下载多种文件格式,如文本、JSON、CSV、图片、PDF 等。本文详细介绍其安装、基本用法、兼容性及与其他工具(如 jszip)的结合使用。

·前端开发

MSW(Mock Service Worker):API 模拟工具的核心优势与使用指南

MSW(Mock Service Worker)是一个用于浏览器和 Node.js 的 API 模拟工具,通过 Service Worker 拦截网络请求,支持 REST 和 GraphQL,适用于开发、测试和调试场景。本文详细介绍 MSW 的核心优势、快速上手步骤、高级用法、适用场景及与其他 Mock 工具的对比。

·前端开发

Preact:轻量级 JavaScript 库,React 的高性能替代方案

Preact 是一个轻量级的 JavaScript 库,提供与 React 相似的 API 和开发体验,但体积更小(约 3-4KB,gzip 后)。它专注于高性能和低资源消耗,特别适合对性能敏感或需要快速加载的 Web 应用。

·前端开发

WASI标准与WebAssembly跨平台生态的未来趋势分析 | 技术深度解析

本文深入探讨了WASI(WebAssembly System Interface)标准的背景、意义及其对WebAssembly跨平台生态的影响。文章分析了WASI在服务器端应用、边缘计算和IoT设备中的应用,以及技术栈和工具链的演进,最后展望了WASI对未来前端开发的影响和最佳实践建议。

·前端开发

WebAssembly沙箱逃逸风险解析及缓解方案 | 前端安全指南

本文深入探讨了WebAssembly(Wasm)在前端开发中的应用及其面临的安全风险,特别是沙箱逃逸问题。文章详细解析了沙箱逃逸的常见途径,并提供了包括内存安全、API安全、JIT安全和宿主环境安全在内的综合缓解方案,以及工程化实践建议,旨在帮助开发人员有效降低安全风险,确保应用的安全性和稳定性。

·前端开发