什么是OAuth2

OAuth（開(kāi)放授權(quán)）是一個(gè)開(kāi)放標(biāo)準(zhǔn)，允許用戶授權(quán)第三方應(yīng)用訪問(wèn)他們存儲(chǔ)在另外的服務(wù)提供者上的信息，而不需要將用戶名和密碼提供給第三方應(yīng)用或分享他們數(shù)據(jù)的所有內(nèi)容。

OAuth2是OAuth協(xié)議的延續(xù)版本，但不向后兼容OAuth1即完全廢止了OAuth1。

綜上：OAuth2 可以為Web應(yīng)用、桌面應(yīng)用、移動(dòng)應(yīng)用提供授權(quán)流程。

角色

• Third-party application：第三方應(yīng)用程序，本文中又稱"客戶端"（client）
• HTTP service：HTTP服務(wù)提供商，本文中簡(jiǎn)稱"服務(wù)提供商"
• Resource Owner：資源所有者，本文中又稱"用戶"（user）。
• User Agent：用戶代理，本文中就是指瀏覽器。
• Authorization server：認(rèn)證服務(wù)器，即服務(wù)提供商專門用來(lái)處理認(rèn)證的服務(wù)器。
• Resource server：資源服務(wù)器，即服務(wù)提供商存放用戶生成的資源的服務(wù)器。它與認(rèn)證服務(wù)器，可以是同一臺(tái)服務(wù)器，也可以是不同的服務(wù)器。

客戶端注冊(cè)

在應(yīng)用OAuth2之前，必須在授權(quán)方服務(wù)中注冊(cè)你的應(yīng)用。如微信、QQ。

OAuth2實(shí)現(xiàn)平臺(tái)中，一般都要求開(kāi)發(fā)者提供如下所示的授權(quán)設(shè)置項(xiàng)：

• 應(yīng)用名稱
• 應(yīng)用網(wǎng)站
• 重定向URI或回調(diào)URL

重定向URI是授權(quán)方服務(wù)在用戶授權(quán)（或拒絕）應(yīng)用程序之后重定向供用戶訪問(wèn)的地址，因此也是用于處理授權(quán)碼或訪問(wèn)令牌的應(yīng)用程序的一部分。

一旦應(yīng)用注冊(cè)成功，授權(quán)方服務(wù)將以 client id 和 client secret 的形式為應(yīng)用發(fā)布client credentials（客戶端憑證）。client id是公開(kāi)透明的字符串，授權(quán)方服務(wù)使用該字符串來(lái)標(biāo)識(shí)應(yīng)用程序，并且還用于構(gòu)建呈現(xiàn)給用戶的授權(quán) url 。當(dāng)應(yīng)用請(qǐng)求訪問(wèn)用戶的帳戶時(shí)，client secret用于驗(yàn)證應(yīng)用身份，并且必須在客戶端和服務(wù)之間保持私有性。

運(yùn)行流程

OAuth2在"客戶端"與"服務(wù)提供商"之間，設(shè)置了一個(gè)授權(quán)層（authorization layer）。"客戶端"不能直接登錄"服務(wù)提供商"，只能登錄授權(quán)層，以此將用戶與客戶端區(qū)分開(kāi)來(lái)。"客戶端"登錄授權(quán)層后申請(qǐng)的令牌（token），與用戶的密碼不同。用戶可以在登錄的時(shí)候，指定授權(quán)層令牌的權(quán)限范圍和有效期。

"客戶端"登錄授權(quán)層以后，"服務(wù)提供商"根據(jù)令牌的權(quán)限范圍和有效期，向"客戶端"開(kāi)放用戶儲(chǔ)存的資料。

運(yùn)行流程

• 用戶打開(kāi)客戶端以后，客戶端要求用戶給予授權(quán)；
• 用戶同意給予客戶端授權(quán)；
• 客戶端使用上一步獲得的授權(quán)，向認(rèn)證服務(wù)器申請(qǐng)令牌；
• 認(rèn)證服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證以后，確認(rèn)無(wú)誤，同意發(fā)放令牌；
• 客戶端使用令牌，向資源服務(wù)器申請(qǐng)獲取資源；
• 資源服務(wù)器確認(rèn)令牌無(wú)誤，同意向客戶端開(kāi)放資源；

授權(quán)協(xié)議

授權(quán)許可類型取決于應(yīng)用請(qǐng)求授權(quán)的方式和授權(quán)方服務(wù)支持的 Grant Type。OAuth 2 定義了四種 Grant Type，每一種都有適用的應(yīng)用場(chǎng)景。

• 授權(quán)碼模式（authorization code）
  采用Authorization Code（授權(quán)碼）獲取Access Token的授權(quán)驗(yàn)證流程又被稱為Web Server Flow，適用于所有 有Server端 的應(yīng)用，如Web/Wap站點(diǎn)、有Server端__的手機(jī)/桌面客戶端應(yīng)用等。

• 簡(jiǎn)化模式（implicit）
  采用Implicit Grant（隱式授權(quán)）方式獲取Access Token的授權(quán)驗(yàn)證流程與OAuth 2.0標(biāo)準(zhǔn)的User-Agent Flow相同，適用于所有無(wú)Server端配合的應(yīng)用（由于應(yīng)用往往位于一個(gè)User Agent里，如瀏覽器里面，因此這類應(yīng)用在某些平臺(tái)下又被稱為Client-Side Application），如手機(jī)/桌面客戶端程序、瀏覽器插件等, 他們的一個(gè)共同特點(diǎn)是，應(yīng)用無(wú)法妥善保管其應(yīng)用密鑰（App Secret Key），如果采取Authorization Code模式，則會(huì)存在泄漏其應(yīng)用密鑰的可能性。

• 密碼模式（Password）
  適用于受信任客戶端應(yīng)用，例如同個(gè)組織的內(nèi)部或外部應(yīng)用。

• 客戶端模式（client credentials）
  適用于客戶端調(diào)用主服務(wù)API型應(yīng)用（比如百度API Store）

授權(quán)碼模式

授權(quán)碼模式（authorization code）是功能最完整、流程最嚴(yán)密的授權(quán)模式。它的特點(diǎn)就是通過(guò)客戶端的后臺(tái)服務(wù)器，與"服務(wù)提供商"的認(rèn)證服務(wù)器進(jìn)行互動(dòng)。

授權(quán)碼模式

• 用戶訪問(wèn)客戶端，后者將前者導(dǎo)向認(rèn)證服務(wù)器；
• 用戶選擇是否給予客戶端授權(quán)；
• 假設(shè)用戶給予授權(quán)，認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端事先指定的"重定向URI"（redirection URI），同時(shí)附上一個(gè)授權(quán)碼；
• 客戶端收到授權(quán)碼，附上早先的"重定向URI"，向認(rèn)證服務(wù)器申請(qǐng)令牌。這一步是在客戶端的后臺(tái)的服務(wù)器上完成的，對(duì)用戶不可見(jiàn)；
• 認(rèn)證服務(wù)器核對(duì)了授權(quán)碼和重定向URI，確認(rèn)無(wú)誤后，向客戶端發(fā)送訪問(wèn)令牌（access token）和更新令牌（refresh token）；

簡(jiǎn)化模式

簡(jiǎn)化模式（implicit grant type）不通過(guò)第三方應(yīng)用程序的服務(wù)器，直接在瀏覽器中向認(rèn)證服務(wù)器申請(qǐng)令牌，跳過(guò)了"授權(quán)碼"這個(gè)步驟，因此得名。所有步驟在瀏覽器中完成，令牌對(duì)訪問(wèn)者是可見(jiàn)的，且客戶端不需要認(rèn)證。

簡(jiǎn)化模式

• 客戶端將用戶導(dǎo)向認(rèn)證服務(wù)器；
• 用戶決定是否給于客戶端授權(quán)；
• 假設(shè)用戶給予授權(quán)，認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端指定的"重定向URI"，并在URI的Hash部分包含了訪問(wèn)令牌；
• 瀏覽器向資源服務(wù)器發(fā)出請(qǐng)求，其中不包括上一步收到的Hash值；
• 資源服務(wù)器返回一個(gè)網(wǎng)頁(yè)，其中包含的代碼可以獲取Hash值中的令牌；
• 瀏覽器執(zhí)行上一步獲得的腳本，提取出令牌；
• 瀏覽器將令牌發(fā)給客戶端；

密碼模式

密碼模式（Resource Owner Password Credentials Grant）中，用戶向客戶端提供自己的用戶名和密碼?？蛻舳耸褂眠@些信息，向"服務(wù)商提供商"索要授權(quán)。

在這種模式中，用戶必須把自己的密碼給客戶端，但是客戶端不得儲(chǔ)存密碼。這通常用在用戶對(duì)客戶端高度信任的情況下，比如客戶端是操作系統(tǒng)的一部分，或者由一個(gè)著名公司出品。而認(rèn)證服務(wù)器只有在其他授權(quán)模式無(wú)法執(zhí)行的情況下，才能考慮使用這種模式。

授權(quán)碼模式

• 用戶向客戶端提供用戶名和密碼；
• 客戶端將用戶名和密碼發(fā)給認(rèn)證服務(wù)器，向后者請(qǐng)求令牌；
• 認(rèn)證服務(wù)器確認(rèn)無(wú)誤后，向客戶端提供訪問(wèn)令牌；

客戶端模式

客戶端模式（Client Credentials Grant）指客戶端以自己的名義，而不是以用戶的名義，向"服務(wù)提供商"進(jìn)行認(rèn)證。嚴(yán)格地說(shuō)，客戶端模式并不屬于OAuth框架所要解決的問(wèn)題。在這種模式中，用戶直接向客戶端注冊(cè)，客戶端以自己的名義要求"服務(wù)提供商"提供服務(wù)，其實(shí)不存在授權(quán)問(wèn)題。

客戶端模式

• 客戶端向認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證，并要求一個(gè)訪問(wèn)令牌；
• 認(rèn)證服務(wù)器確認(rèn)無(wú)誤后，向客戶端提供訪問(wèn)令牌；