OAuth是一個關(guān)于授權(quán)(authorization)的開放網(wǎng)絡(luò)標(biāo)準(zhǔn)���,在全世界得到廣泛應(yīng)用��,目前的版本是2.0版���。
本文對OAuth 2.0的設(shè)計思路和運行流程,做一個簡明通俗的解釋�,主要參考材料為RFC 6749。
一�、應(yīng)用場景
為了理解OAuth的適用場合,讓我舉一個假設(shè)的例子�����。
有一個"云沖印"的網(wǎng)站�����,可以將用戶儲存在Google的照片,沖印出來�。用戶為了使用該服務(wù),必須讓"云沖印"讀取自己儲存在Google上的照片�。
問題是只有得到用戶的授權(quán),Google才會同意"云沖印"讀取這些照片�。那么,"云沖印"怎樣獲得用戶的授權(quán)呢����?
傳統(tǒng)方法是,用戶將自己的Google用戶名和密碼���,告訴"云沖印",后者就可以讀取用戶的照片了�。這樣的做法有以下幾個嚴(yán)重的缺點。
(1)"云沖印"為了后續(xù)的服務(wù)�����,會保存用戶的密碼�,這樣很不安全。
(2)Google不得不部署密碼登錄���,而我們知道��,單純的密碼登錄并不安全����。
(3)"云沖印"擁有了獲取用戶儲存在Google所有資料的權(quán)力,用戶沒法限制"云沖印"獲得授權(quán)的范圍和有效期�����。
(4)用戶只有修改密碼�,才能收回賦予"云沖印"的權(quán)力。但是這樣做����,會使得其他所有獲得用戶授權(quán)的第三方應(yīng)用程序全部失效。
(5)只要有一個第三方應(yīng)用程序被破解��,就會導(dǎo)致用戶密碼泄漏���,以及所有被密碼保護(hù)的數(shù)據(jù)泄漏����。
OAuth就是為了解決上面這些問題而誕生的��。
二、名詞定義
在詳細(xì)講解OAuth 2.0之前�����,需要了解幾個專用名詞�。它們對讀懂后面的講解,尤其是幾張圖���,至關(guān)重要�。
(1)Third-party application:第三方應(yīng)用程序�����,本文中又稱"客戶端"(client)���,即上一節(jié)例子中的"云沖印"。
(2)HTTP service:HTTP服務(wù)提供商��,本文中簡稱"服務(wù)提供商"��,即上一節(jié)例子中的Google�。
(3)Resource Owner:資源所有者,本文中又稱"用戶"(user)�。
(4)User Agent:用戶代理���,本文中就是指瀏覽器。
(5)Authorization server:認(rèn)證服務(wù)器���,即服務(wù)提供商專門用來處理認(rèn)證的服務(wù)器��。
(6)Resource server:資源服務(wù)器����,即服務(wù)提供商存放用戶生成的資源的服務(wù)器�。它與認(rèn)證服務(wù)器,可以是同一臺服務(wù)器����,也可以是不同的服務(wù)器。
知道了上面這些名詞��,就不難理解�����,OAuth的作用就是讓"客戶端"安全可控地獲取"用戶"的授權(quán)�����,與"服務(wù)商提供商"進(jìn)行互動。
三���、OAuth的思路
OAuth在"客戶端"與"服務(wù)提供商"之間�����,設(shè)置了一個授權(quán)層(authorization layer)�。"客戶端"不能直接登錄"服務(wù)提供商"�����,只能登錄授權(quán)層�����,以此將用戶與客戶端區(qū)分開來��。"客戶端"登錄授權(quán)層所用的令牌(token)����,與用戶的密碼不同��。用戶可以在登錄的時候�,指定授權(quán)層令牌的權(quán)限范圍和有效期。
"客戶端"登錄授權(quán)層以后�,"服務(wù)提供商"根據(jù)令牌的權(quán)限范圍和有效期,向"客戶端"開放用戶儲存的資料。
四、運行流程
OAuth 2.0的運行流程如下圖,摘自RFC 6749����。
(A)用戶打開客戶端以后����,客戶端要求用戶給予授權(quán)��。
(B)用戶同意給予客戶端授權(quán)。
(C)客戶端使用上一步獲得的授權(quán)����,向認(rèn)證服務(wù)器申請令牌�����。
(D)認(rèn)證服務(wù)器對客戶端進(jìn)行認(rèn)證以后��,確認(rèn)無誤���,同意發(fā)放令牌�。
(E)客戶端使用令牌,向資源服務(wù)器申請獲取資源����。
(F)資源服務(wù)器確認(rèn)令牌無誤�����,同意向客戶端開放資源��。
不難看出來,上面六個步驟之中,B是關(guān)鍵���,即用戶怎樣才能給于客戶端授權(quán)。有了這個授權(quán)以后����,客戶端就可以獲取令牌,進(jìn)而憑令牌獲取資源����。
下面一一講解客戶端獲取授權(quán)的四種模式���。
五、客戶端的授權(quán)模式
客戶端必須得到用戶的授權(quán)(authorization grant)����,才能獲得令牌(access token)。OAuth 2.0定義了四種授權(quán)方式�����。
1.授權(quán)碼模式(authorization code)
2.簡化模式(implicit)
3.密碼模式(resource owner password credentials)
4.客戶端模式(client credentials)
六、授權(quán)碼模式
授權(quán)碼模式(authorization code)是功能最完整��、流程最嚴(yán)密的授權(quán)模式���。它的特點就是通過客戶端的后臺服務(wù)器����,與"服務(wù)提供商"的認(rèn)證服務(wù)器進(jìn)行互動��。
它的步驟如下:
(A)用戶訪問客戶端�,后者將前者導(dǎo)向認(rèn)證服務(wù)器���。
(B)用戶選擇是否給予客戶端授權(quán)�����。
(C)假設(shè)用戶給予授權(quán)��,認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端事先指定的"重定向URI"(redirection URI)���,同時附上一個授權(quán)碼�����。
(D)客戶端收到授權(quán)碼����,附上早先的"重定向URI",向認(rèn)證服務(wù)器申請令牌�����。這一步是在客戶端的后臺的服務(wù)器上完成的���,對用戶不可見。
(E)認(rèn)證服務(wù)器核對了授權(quán)碼和重定向URI���,確認(rèn)無誤后�,向客戶端發(fā)送訪問令牌(access token)和更新令牌(refresh token)。
下面是上面這些步驟所需要的參數(shù)�。
A步驟中,客戶端申請認(rèn)證的URI�,包含以下參數(shù):
1.response_type:表示授權(quán)類型,必選項����,此處的值固定為"code"
2.client_id:表示客戶端的ID,必選項
3.redirect_uri:表示重定向URI�,可選項
4.scope:表示申請的權(quán)限范圍,可選項
5.state:表示客戶端的當(dāng)前狀態(tài)����,可以指定任意值,認(rèn)證服務(wù)器會原封不動地返回這個值���。
下面是一個例子����。
復(fù)制代碼 代碼如下:
GET /authorize?response_type=codeclient_id=s6BhdRkqt3state=xyz
redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com
C步驟中�,服務(wù)器回應(yīng)客戶端的URI,包含以下參數(shù):
1.code:表示授權(quán)碼�,必選項��。該碼的有效期應(yīng)該很短�,通常設(shè)為10分鐘�,客戶端只能使用該碼一次,否則會被授權(quán)服務(wù)器拒絕�����。該碼與客戶端ID和重定向URI��,是一一對應(yīng)關(guān)系��。
2.state:如果客戶端的請求中包含這個參數(shù)����,認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個參數(shù)。
下面是一個例子�。
復(fù)制代碼 代碼如下:
HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
state=xyz
D步驟中�,客戶端向認(rèn)證服務(wù)器申請令牌的HTTP請求,包含以下參數(shù):
1.grant_type:表示使用的授權(quán)模式�,必選項,此處的值固定為"authorization_code"��。
2.code:表示上一步獲得的授權(quán)碼���,必選項��。
3.redirect_uri:表示重定向URI���,必選項,且必須與A步驟中的該參數(shù)值保持一致�����。
4.client_id:表示客戶端ID�����,必選項。
下面是一個例子�。
復(fù)制代碼 代碼如下:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_codecode=SplxlOBeZQQYbYS6WxSbIA
redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
E步驟中����,認(rèn)證服務(wù)器發(fā)送的HTTP回復(fù)����,包含以下參數(shù):
1.access_token:表示訪問令牌��,必選項�。
2.token_type:表示令牌類型�,該值大小寫不敏感,必選項�����,可以是bearer類型或mac類型�。
3.expires_in:表示過期時間����,單位為秒�����。如果省略該參數(shù)�����,必須其他方式設(shè)置過期時間��。
4.refresh_token:表示更新令牌,用來獲取下一次的訪問令牌�,可選項。
5.scope:表示權(quán)限范圍�,如果與客戶端申請的范圍一致,此項可省略�。
下面是一個例子�。
復(fù)制代碼 代碼如下:
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
"example_parameter":"example_value"
}
從上面代碼可以看到�,相關(guān)參數(shù)使用JSON格式發(fā)送(Content-Type: application/json)。此外�,HTTP頭信息中明確指定不得緩存。
七���、簡化模式
簡化模式(implicit grant type)不通過第三方應(yīng)用程序的服務(wù)器����,直接在瀏覽器中向認(rèn)證服務(wù)器申請令牌��,跳過了"授權(quán)碼"這個步驟�����,因此得名����。所有步驟在瀏覽器中完成�,令牌對訪問者是可見的�����,且客戶端不需要認(rèn)證����。
它的步驟如下:
(A)客戶端將用戶導(dǎo)向認(rèn)證服務(wù)器����。
(B)用戶決定是否給于客戶端授權(quán)�。
(C)假設(shè)用戶給予授權(quán)����,認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端指定的"重定向URI",并在URI的Hash部分包含了訪問令牌����。
(D)瀏覽器向資源服務(wù)器發(fā)出請求����,其中不包括上一步收到的Hash值。
(E)資源服務(wù)器返回一個網(wǎng)頁���,其中包含的代碼可以獲取Hash值中的令牌�����。
(F)瀏覽器執(zhí)行上一步獲得的腳本�,提取出令牌���。
(G)瀏覽器將令牌發(fā)給客戶端���。
下面是上面這些步驟所需要的參數(shù)����。
A步驟中���,客戶端發(fā)出的HTTP請求,包含以下參數(shù):
1.response_type:表示授權(quán)類型���,此處的值固定為"token"�,必選項��。
2.client_id:表示客戶端的ID���,必選項。
3.redirect_uri:表示重定向的URI,可選項���。
4.scope:表示權(quán)限范圍���,可選項。
5.state:表示客戶端的當(dāng)前狀態(tài)�,可以指定任意值,認(rèn)證服務(wù)器會原封不動地返回這個值����。
下面是一個例子。
復(fù)制代碼 代碼如下:
GET /authorize?response_type=tokenclient_id=s6BhdRkqt3state=xyz
redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com
C步驟中��,認(rèn)證服務(wù)器回應(yīng)客戶端的URI���,包含以下參數(shù):
1.access_token:表示訪問令牌���,必選項。
2.token_type:表示令牌類型����,該值大小寫不敏感,必選項�����。
3.expires_in:表示過期時間,單位為秒�。如果省略該參數(shù),必須其他方式設(shè)置過期時間�。
4.scope:表示權(quán)限范圍,如果與客戶端申請的范圍一致�,此項可省略。
5.state:如果客戶端的請求中包含這個參數(shù)���,認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個參數(shù)�����。
下面是一個例子�����。
復(fù)制代碼 代碼如下:
HTTP/1.1 302 Found
Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA
state=xyztoken_type=exampleexpires_in=3600
在上面的例子中,認(rèn)證服務(wù)器用HTTP頭信息的Location欄����,指定瀏覽器重定向的網(wǎng)址。注意���,在這個網(wǎng)址的Hash部分包含了令牌���。
根據(jù)上面的D步驟�����,下一步瀏覽器會訪問Location指定的網(wǎng)址���,但是Hash部分不會發(fā)送。接下來的E步驟�,服務(wù)提供商的資源服務(wù)器發(fā)送過來的代碼,會提取出Hash中的令牌�����。
八�、密碼模式
密碼模式(Resource Owner Password Credentials Grant)中,用戶向客戶端提供自己的用戶名和密碼��?����?蛻舳耸褂眠@些信息�,向"服務(wù)商提供商"索要授權(quán)�����。
在這種模式中�,用戶必須把自己的密碼給客戶端����,但是客戶端不得儲存密碼。這通常用在用戶對客戶端高度信任的情況下��,比如客戶端是操作系統(tǒng)的一部分����,或者由一個著名公司出品。而認(rèn)證服務(wù)器只有在其他授權(quán)模式無法執(zhí)行的情況下�,才能考慮使用這種模式。
它的步驟如下:
(A)用戶向客戶端提供用戶名和密碼�。
(B)客戶端將用戶名和密碼發(fā)給認(rèn)證服務(wù)器,向后者請求令牌�。
(C)認(rèn)證服務(wù)器確認(rèn)無誤后�����,向客戶端提供訪問令牌�����。
B步驟中,客戶端發(fā)出的HTTP請求�,包含以下參數(shù):
1.grant_type:表示授權(quán)類型,此處的值固定為"password"��,必選項�����。
2.username:表示用戶名���,必選項�����。
3.password:表示用戶的密碼�,必選項�。
4.scope:表示權(quán)限范圍,可選項��。
下面是一個例子�����。
復(fù)制代碼 代碼如下:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=passwordusername=johndoepassword=A3ddj3w
C步驟中,認(rèn)證服務(wù)器向客戶端發(fā)送訪問令牌�,下面是一個例子。
復(fù)制代碼 代碼如下:
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
"example_parameter":"example_value"
}
上面代碼中��,各個參數(shù)的含義參見《授權(quán)碼模式》一節(jié)�����。
整個過程中�,客戶端不得保存用戶的密碼。
九��、客戶端模式
客戶端模式(Client Credentials Grant)指客戶端以自己的名義�,而不是以用戶的名義,向"服務(wù)提供商"進(jìn)行認(rèn)證����。嚴(yán)格地說,客戶端模式并不屬于OAuth框架所要解決的問題���。在這種模式中��,用戶直接向客戶端注冊���,客戶端以自己的名義要求"服務(wù)提供商"提供服務(wù),其實不存在授權(quán)問題�。
它的步驟如下:
(A)客戶端向認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證,并要求一個訪問令牌�����。
(B)認(rèn)證服務(wù)器確認(rèn)無誤后�,向客戶端提供訪問令牌。
A步驟中���,客戶端發(fā)出的HTTP請求�,包含以下參數(shù):
1.granttype:表示授權(quán)類型����,此處的值固定為"clientcredentials",必選項��。
2.scope:表示權(quán)限范圍��,可選項��。
復(fù)制代碼 代碼如下:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=client_credentials
認(rèn)證服務(wù)器必須以某種方式�,驗證客戶端身份。
B步驟中,認(rèn)證服務(wù)器向客戶端發(fā)送訪問令牌�����,下面是一個例子�����。
復(fù)制代碼 代碼如下:
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"example_parameter":"example_value"
}
上面代碼中�����,各個參數(shù)的含義參見《授權(quán)碼模式》一節(jié)����。
十、更新令牌
如果用戶訪問的時候����,客戶端的"訪問令牌"已經(jīng)過期,則需要使用"更新令牌"申請一個新的訪問令牌��。
客戶端發(fā)出更新令牌的HTTP請求����,包含以下參數(shù):
1.granttype:表示使用的授權(quán)模式,此處的值固定為"refreshtoken",必選項�。
2.refresh_token:表示早前收到的更新令牌,必選項��。
3.scope:表示申請的授權(quán)范圍�����,不可以超出上一次申請的范圍�,如果省略該參數(shù)�,則表示與上一次一致。
下面是一個例子��。
復(fù)制代碼 代碼如下:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_tokenrefresh_token=tGzv3JOkF0XG5Qx2TlKWIA
(完)
您可能感興趣的文章:- QQ登錄 PHP OAuth示例代碼
- iOS開發(fā)之路--微博OAuth授權(quán)_取得用戶授權(quán)的accessToken
- 新浪微博OAuth認(rèn)證和儲存的主要過程詳解
- 使用新浪微博API的OAuth認(rèn)證發(fā)布微博實例
- 在Nginx中增加對OAuth協(xié)議的支持的教程
- django接入新浪微博OAuth的方法
- PHP版QQ互聯(lián)OAuth示例代碼分享
- java實現(xiàn)新浪微博Oauth接口發(fā)送圖片和文字的方法
- 使用Java開發(fā)實現(xiàn)OAuth安全認(rèn)證的應(yīng)用
- 使用Java通過OAuth協(xié)議驗證發(fā)送微博的教程
- ASP.NET實現(xiàn)QQ����、微信、新浪微博OAuth2.0授權(quán)登錄
