轉(zhuǎn)載一篇oAuth2.0文章

轉(zhuǎn)載鏈接:理解OAuth 2.0

OAuth是一個關(guān)于授權(quán)(authorization)的開放網(wǎng)絡(luò)標(biāo)準(zhǔn),在全世界得到廣泛應(yīng)用,目前的版本是2.0版。本文對OAuth 2.0的設(shè)計思路和運行流程,做一個簡明通俗的解釋,主要參考材料為RFC?6794。

一:應(yīng)用場景

為了理解OAuth的適用場合,讓我舉一個假設(shè)的例子。

有一個"云沖印"的網(wǎng)站,可以將用戶儲存在Google的照片,沖印出來。用戶為了使用該服務(wù),必須讓"云沖印"讀取自己儲存在Google上的照片。

問題是只有得到用戶的授權(quán),Google才會同意"云沖印"讀取這些照片。那么,"云沖印"怎樣獲得用戶的授權(quán)呢?

傳統(tǒng)方法是,用戶將自己的Google用戶名和密碼,告訴"云沖印",后者就可以讀取用戶的照片了。這樣的做法有以下幾個嚴(yán)重的缺點。

(1)"云沖印"為了后續(xù)的服務(wù),會保存用戶的密碼,這樣很不安全。

(2)Google不得不部署密碼登錄,而我們知道,單純的密碼登錄并不安全。

(3)"云沖印"擁有了獲取用戶儲存在Google所有資料的權(quán)力,用戶沒法限制"云沖印"獲得授權(quán)的范圍和有效期。

(4)用戶只有修改密碼,才能收回賦予"云沖印"的權(quán)力。但是這樣做,會使得其他所有獲得用戶授權(quán)的第三方應(yīng)用程序全部失效。

(5)只要有一個第三方應(yīng)用程序被破解,就會導(dǎo)致用戶密碼泄漏,以及所有被密碼保護(hù)的數(shù)據(jù)泄漏。

OAuth就是為了解決上面這些問題而誕生的。

二:名詞定義

在詳細(xì)講解OAuth 2.0之前,需要了解幾個專用名詞。它們對讀懂后面的講解,尤其是幾張圖,至關(guān)重要。

(1)Third-party application:第三方應(yīng)用程序,本文中又稱"客戶端"(client),即上一節(jié)例子中的"云沖印"。

(2)HTTP service:HTTP服務(wù)提供商,本文中簡稱"服務(wù)提供商",即上一節(jié)例子中的Google。

(3)Resource Owner:資源所有者,本文中又稱"用戶"(user)。

(4)User Agent:用戶代理,本文中就是指瀏覽器。

(5)Authorization server:認(rèn)證服務(wù)器,即服務(wù)提供商專門用來處理認(rèn)證的服務(wù)器。

(6)Resource server:資源服務(wù)器,即服務(wù)提供商存放用戶生成的資源的服務(wù)器。它與認(rèn)證服務(wù)器,可以是同一臺服務(wù)器,也可以是不同的服務(wù)器。

知道了上面這些名詞,就不難理解,OAuth的作用就是讓"客戶端"安全可控地獲取"用戶"的授權(quán),與"服務(wù)商提供商"進(jìn)行互動。

三、OAuth的思路

OAuth在"客戶端"與"服務(wù)提供商"之間,設(shè)置了一個授權(quán)層(authorization layer)。"客戶端"不能直接登錄"服務(wù)提供商",只能登錄授權(quán)層,以此將用戶與客戶端區(qū)分開來。"客戶端"登錄授權(quán)層所用的令牌(token),與用戶的密碼不同。用戶可以在登錄的時候,指定授權(quán)層令牌的權(quán)限范圍和有效期。"客戶端"登錄授權(quán)層以后,"服務(wù)提供商"根據(jù)令牌的權(quán)限范圍和有效期,向"客戶端"開放用戶儲存的資料。

四:運行流程:

(A)用戶打開客戶端以后,客戶端要求用戶給予授權(quán)。

(B)用戶同意給予客戶端授權(quán)。

(C)客戶端使用上一步獲得的授權(quán),向認(rèn)證服務(wù)器申請令牌。

(D)認(rèn)證服務(wù)器對客戶端進(jìn)行認(rèn)證以后,確認(rèn)無誤,同意發(fā)放令牌。

(E)客戶端使用令牌,向資源服務(wù)器申請獲取資源。

(F)資源服務(wù)器確認(rèn)令牌無誤,同意向客戶端開放資源。

不難看出來,上面六個步驟之中,B是關(guān)鍵,即用戶怎樣才能給于客戶端授權(quán)。有了這個授權(quán)以后,客戶端就可以獲取令牌,進(jìn)而憑令牌獲取資源。

五:授權(quán)模式

客戶端必須得到用戶的授權(quán)(authorization grant),才能獲得令牌(access token)。OAuth 2.0定義了四種授權(quán)方式。

授權(quán)碼模式(authorization code)

簡化模式(implicit)

密碼模式(resource owner password credentials)

客戶端模式(client credentials)

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • OAuth是一個關(guān)于授權(quán)(authorization)的開放網(wǎng)絡(luò)標(biāo)準(zhǔn),在全世界得到廣泛應(yīng)用,目前的版本是2.0版。...
    謝謝寫閱讀 822評論 0 1
  • OAuth是一個關(guān)于授權(quán)(authorization)的開放網(wǎng)絡(luò)標(biāo)準(zhǔn),在全世界得到廣泛應(yīng)用,目前的版本是2.0版。...
    常曉曉閱讀 839評論 0 0
  • 最近發(fā)現(xiàn)公司里有很多人都不理解Oauth,而且目前國內(nèi)大部分的oauth實現(xiàn)也都是基于標(biāo)準(zhǔn)oauth2.0的改版,...
    monkey01閱讀 991評論 0 5
  • OAuth是一個關(guān)于授權(quán)(authorization)的開放網(wǎng)絡(luò)標(biāo)準(zhǔn),在全世界得到廣泛應(yīng)用,目前的版本是2.0版。...
    夕望有你閱讀 331評論 1 2
  • 以此記錄配置office365登錄認(rèn)證時遇到的那些坑。 需求: 想在自己APP中獲取到用戶office365賬號的...
    斷片記憶閱讀 2,061評論 0 2

友情鏈接更多精彩內(nèi)容