Oauth2詳解-介紹(一)

1.什么是OAuth2

OAuth（開(kāi)放授權(quán)）是一個(gè)開(kāi)放標(biāo)準(zhǔn)，允許用戶授權(quán)第三方移動(dòng)應(yīng)用訪問(wèn)他們存儲(chǔ)在另外的服務(wù)提供者上的信息，而不需要將用戶名和密碼提供給第三方移動(dòng)應(yīng)用或分享他們數(shù)據(jù)的所有內(nèi)容，OAuth2.0是OAuth協(xié)議的延續(xù)版本，但不向后兼容OAuth 1.0即完全廢止了OAuth1.0。

2.應(yīng)用場(chǎng)景

第三方應(yīng)用授權(quán)登錄：在APP或者網(wǎng)頁(yè)接入一些第三方應(yīng)用時(shí)，時(shí)長(zhǎng)會(huì)需要用戶登錄另一個(gè)合作平臺(tái)，比如QQ，微博，微信的授權(quán)登錄。

圖解OAuth

原生app授權(quán)：app登錄請(qǐng)求后臺(tái)接口，為了安全認(rèn)證，所有請(qǐng)求都帶token信息，如果登錄驗(yàn)證、請(qǐng)求后臺(tái)數(shù)據(jù)。

前后端分離單頁(yè)面應(yīng)用（spa）：前后端分離框架，前端請(qǐng)求后臺(tái)數(shù)據(jù)，需要進(jìn)行oauth2安全認(rèn)證，比如使用vue、react后者h(yuǎn)5開(kāi)發(fā)的app。

3名詞說(shuō)明

（1） Third-party application：第三方應(yīng)用程序，本文中又稱"客戶端"（client），比如打開(kāi)知乎，使用第三方登錄，選擇qq登錄，這時(shí)候知乎就是客戶端。
（2）HTTP service：HTTP服務(wù)提供商，本文中簡(jiǎn)稱"服務(wù)提供商"，即上例的qq。
（3）Resource Owner：資源所有者，本文中又稱"用戶"（user）,即登錄用戶。
（4）User Agent：用戶代理，本文中就是指瀏覽器。
（5）Authorization server：認(rèn)證服務(wù)器，即服務(wù)提供商專門(mén)用來(lái)處理認(rèn)證的服務(wù)器。
（6）Resource server：資源服務(wù)器，即服務(wù)提供商存放用戶生成的資源的服務(wù)器。它與認(rèn)證服務(wù)器，可以是同一臺(tái)服務(wù)器，也可以是不同的服務(wù)器。

4運(yùn)行流程

OAuth 2.0的運(yùn)行流程如下圖，摘自RFC 6749。

OAuth 2.0的運(yùn)行流程

OAuth運(yùn)行流程

（A）用戶打開(kāi)客戶端以后，客戶端要求用戶給予授權(quán)。
（B）用戶同意給予客戶端授權(quán)。
（C）客戶端使用上一步獲得的授權(quán)，向認(rèn)證服務(wù)器申請(qǐng)令牌。
（D）認(rèn)證服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證以后，確認(rèn)無(wú)誤，同意發(fā)放令牌。
（E）客戶端使用令牌，向資源服務(wù)器申請(qǐng)獲取資源。
（F）資源服務(wù)器確認(rèn)令牌無(wú)誤，同意向客戶端開(kāi)放資
源。

5授權(quán)模式

• 授權(quán)碼模式（authorization code）
• 簡(jiǎn)化模式（implicit）
• 密碼模式（resource owner password credentials）
• 客戶端模式（client credentials）

5.1授權(quán)碼模式

授權(quán)碼模式（authorization code）是功能最完整、流程最嚴(yán)密的授權(quán)模式。

（1）用戶訪問(wèn)客戶端，后者將前者導(dǎo)向認(rèn)證服務(wù)器，假設(shè)用戶給予授權(quán)，認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端事先指定的"重定向URI"（redirection URI），同時(shí)附上一個(gè)授權(quán)碼。

（2）客戶端收到授權(quán)碼，附上早先的"重定向URI"，向認(rèn)證服務(wù)器申請(qǐng)令牌：GET /oauth/token?response_type=code&client_id=test&redirect_uri=重定向頁(yè)面鏈接。請(qǐng)求成功返回code授權(quán)碼，一般有效時(shí)間是10分鐘。

（3）認(rèn)證服務(wù)器核對(duì)了授權(quán)碼和重定向URI，確認(rèn)無(wú)誤后，向客戶端發(fā)送訪問(wèn)令牌（access token）和更新令牌（refresh token）。POST /oauth/token?response_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=重定向頁(yè)面鏈接。

5.2簡(jiǎn)化模式

簡(jiǎn)化模式（implicit grant type）不通過(guò)第三方應(yīng)用程序的服務(wù)器，直接在瀏覽器中向認(rèn)證服務(wù)器申請(qǐng)令牌，跳過(guò)了"授權(quán)碼"這個(gè)步驟，因此得名。所有步驟在瀏覽器中完成，令牌對(duì)訪問(wèn)者是可見(jiàn)的，且客戶端不需要認(rèn)證。

簡(jiǎn)化模式

流程步驟：

（A）客戶端將用戶導(dǎo)向認(rèn)證服務(wù)器。
（B）用戶決定是否給于客戶端授權(quán)。
（C）假設(shè)用戶給予授權(quán)，認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端指定的"重定向URI"，并在URI的Hash部分包含了訪問(wèn)令牌。
（D）瀏覽器向資源服務(wù)器發(fā)出請(qǐng)求，其中不包括上一步收到的Hash值。
（E）資源服務(wù)器返回一個(gè)網(wǎng)頁(yè)，其中包含的代碼可以獲取Hash值中的令牌。
（F）瀏覽器執(zhí)行上一步獲得的腳本，提取出令牌。
（G）瀏覽器將令牌發(fā)給客戶端。

請(qǐng)求URL：

GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz     &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1    Host: server.example.com

5.3用戶名密碼模式

密碼模式（Resource Owner Password Credentials Grant）中，用戶向客戶端提供自己的用戶名和密碼?？蛻舳耸褂眠@些信息，向"服務(wù)商提供商"索要授權(quán)。在這種模式中，用戶必須把自己的密碼給客戶端，但是客戶端不得儲(chǔ)存密碼。這通常用在用戶對(duì)客戶端高度信任的情況下。一般不支持refresh token。

圖解用戶名密碼模式

步驟說(shuō)明：
（A）用戶向客戶端提供用戶名和密碼。
（B）客戶端將用戶名和密碼發(fā)給認(rèn)證服務(wù)器，向后者請(qǐng)求令牌。
（C）認(rèn)證服務(wù)器確認(rèn)無(wú)誤后，向客戶端提供訪問(wèn)令牌。

     POST /token HTTP/1.1     Host: server.example.com     Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW     Content-Type: application/x-www-form-urlencoded grant_type=password&username=johndoe&password=A3ddj3w

<article class="hentry">

5.4客戶端模式（Client Credentials Grant）

指客戶端以自己的名義，而不是以用戶的名義，向"服務(wù)提供商"進(jìn)行認(rèn)證。嚴(yán)格地說(shuō)，客戶端模式并不屬于OAuth框架所要解決的問(wèn)題。在這種模式中，用戶直接向客戶端注冊(cè)，客戶端以自己的名義要求"服務(wù)提供商"提供服務(wù)，其實(shí)不存在授權(quán)問(wèn)題。

客戶端模式

它的步驟如下：
（A）客戶端向認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證，并要求一個(gè)訪問(wèn)令牌。
（B）認(rèn)證服務(wù)器確認(rèn)無(wú)誤后，向客戶端提供訪問(wèn)令牌。

A步驟中，客戶端發(fā)出的HTTP請(qǐng)求，包含以下參數(shù)：

• granttype：表示授權(quán)類型，此處的值固定為"clientcredentials"，必選項(xiàng)。
• scope：表示權(quán)限范圍，可選項(xiàng)。

      POST /token HTTP/1.1     Host: server.example.com     Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW     Content-Type: application/x-www-form-urlencoded      grant_type=client_credentials

</article>