Oauth2.0[笔记]

背景

如果资源服务器只是提供资源给自己的应用,使用帐号密码做身份认证倒没什么问题,但如果需要提供资源给第三方应用,就会出现第三方应用需要与资源服务器共享身份凭证,这时会出现几个问题:

1、第三方应用需要存储用户的帐号密码(资源服务器的)。

2、第三方越权使用资源,资源服务器无法控制。

3、无法撤销第三方应用的资源访问权限。

4、资源服务器需要支持帐号密的身份认证方式。

Oauth

Oauth是一种授权协议,加入了授权层,客户端访问资源服务器不再使用资源服务器的身份凭证,而是使用授权服务器提供的访问令牌。

Oauth角色

OAuth协议定义了四个角色:

资源所有者(resource owner)

一个能够授权访问受保护资源的实体。一般是用户自己。

资源服务器(resource server)

承载受保护资源的服务器,能够接受访问令牌响应受保护的资源请求。

客户端(client)

应用程序。

授权服务器(authorization server)

服务器成功后向客户端发放访问令牌,验证资源所有者并获得授权。

Oauth协议流程

Oauth2.0[笔记]

A、用户在客户端请求某一第三方资源,客户端要求用户给予授权。

B、用户同意给客户端授权,授权服务器将授权信息返回给客户端。

C、客户端使用授权信息,向授权服务器申请令牌。

D、授权服务器验证授权信息,如果有效,则发放访问令牌。

E、客户端使用令牌向资源服务器请求数据。

F、资源服务器验证访问令牌,如果有效,则返回资源。

四种授权方式

用户同意给客户端授权,有四种授权方式。

授权码模式(authorization code)

授权码模式是功能最完整、流程最严密的授权模式。

Oauth2.0[笔记]

A、用户访问客户端,后者将前者导向认证服务器。(response_type = code)

B、用户选择是否给予客户端授权。

C、假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。

D、客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。

E、认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

简化模式(implicit)

简化模式不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了"授权码"这个步骤。所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。

Oauth2.0[笔记]

A、客户端将用户导向认证服务器。(response_type = token)

B、用户决定是否给于客户端授权。

C、假设用户给予授权,认证服务器将用户导向客户端指定的"重定向URI",并在URI的Hash部分包含了访问令牌。

D、浏览器向资源服务器发出请求,其中不包括上一步收到的Hash值。

E、资源服务器返回一个网页,其中包含的代码可以获取Hash值中的令牌。

F、浏览器执行上一步获得的脚本,提取出令牌。

G、浏览器将令牌发给客户端。

PS:D到F有一种偷懒的办法,就是客户端能够直接取出accessToken,不需要通过资源服务器脚本获取。

密码模式(resource owner password credentials)

密码模式中,用户向客户端提供自己的用户名和密码。客户端使用这些信息,向"服务商提供商"索要授权。

在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下。

Oauth2.0[笔记]

A、用户向客户端提供用户名和密码。(grant_type = password)

B、客户端将用户名和密码发给认证服务器,向后者请求令牌。

C、认证服务器确认无误后,向客户端提供访问令牌。

客户端模式(client credentials)

客户端模式(Client Credentials Grant)指客户端以自己的名义,而不是以用户的名义,向"服务提供商"进行认证。在这种模式中,用户直接向客户端注册,客户端以自己的名义要求"服务提供商"提供服务,其实不存在授权问题。

A、客户端向认证服务器进行身份认证,并要求一个访问令牌。(grant_type = clientcredentials)

B、认证服务器确认无误后,向客户端提供访问令牌。

参考资料

1、https://tools.ietf.org/html/rfc6749

2、http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

相关推荐