轉(zhuǎn)載:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
OAuth是一個(gè)關(guān)于授權(quán)(authorization)的開放網(wǎng)絡(luò)標(biāo)準(zhǔn)扛稽,在全世界得到廣泛應(yīng)用吁峻,目前的版本是2.0版。
本文對(duì)OAuth 2.0的設(shè)計(jì)思路和運(yùn)行流程庇绽,做一個(gè)簡(jiǎn)明通俗的解釋锡搜,主要參考材料為RFC 6749。
一瞧掺、應(yīng)用場(chǎng)景
為了理解OAuth的適用場(chǎng)合,讓我舉一個(gè)假設(shè)的例子凡傅。
有一個(gè)"云沖印"的網(wǎng)站辟狈,可以將用戶儲(chǔ)存在Google的照片,沖印出來(lái)。用戶為了使用該服務(wù)哼转,必須讓"云沖印"讀取自己儲(chǔ)存在Google上的照片明未。
問(wèn)題是只有得到用戶的授權(quán),Google才會(huì)同意"云沖印"讀取這些照片壹蔓。那么趟妥,"云沖印"怎樣獲得用戶的授權(quán)呢?
傳統(tǒng)方法是佣蓉,用戶將自己的Google用戶名和密碼披摄,告訴"云沖印",后者就可以讀取用戶的照片了勇凭。這樣的做法有以下幾個(gè)嚴(yán)重的缺點(diǎn)疚膊。
(1)"云沖印"為了后續(xù)的服務(wù),會(huì)保存用戶的密碼虾标,這樣很不安全寓盗。
(2)Google不得不部署密碼登錄,而我們知道璧函,單純的密碼登錄并不安全傀蚌。
(3)"云沖印"擁有了獲取用戶儲(chǔ)存在Google所有資料的權(quán)力,用戶沒(méi)法限制"云沖印"獲得授權(quán)的范圍和有效期蘸吓。
(4)用戶只有修改密碼善炫,才能收回賦予"云沖印"的權(quán)力。但是這樣做美澳,會(huì)使得其他所有獲得用戶授權(quán)的第三方應(yīng)用程序全部失效销部。
(5)只要有一個(gè)第三方應(yīng)用程序被破解,就會(huì)導(dǎo)致用戶密碼泄漏制跟,以及所有被密碼保護(hù)的數(shù)據(jù)泄漏舅桩。
OAuth就是為了解決上面這些問(wèn)題而誕生的。
二雨膨、名詞定義
在詳細(xì)講解OAuth 2.0之前擂涛,需要了解幾個(gè)專用名詞。它們對(duì)讀懂后面的講解聊记,尤其是幾張圖撒妈,至關(guān)重要。
(1)?Third-party application:第三方應(yīng)用程序排监,本文中又稱"客戶端"(client)狰右,即上一節(jié)例子中的"云沖印"。
(2)HTTP service:HTTP服務(wù)提供商舆床,本文中簡(jiǎn)稱"服務(wù)提供商"棋蚌,即上一節(jié)例子中的Google嫁佳。
(3)Resource Owner:資源所有者,本文中又稱"用戶"(user)谷暮。
(4)User Agent:用戶代理蒿往,本文中就是指瀏覽器。
(5)Authorization server:認(rèn)證服務(wù)器湿弦,即服務(wù)提供商專門用來(lái)處理認(rèn)證的服務(wù)器瓤漏。
(6)Resource server:資源服務(wù)器,即服務(wù)提供商存放用戶生成的資源的服務(wù)器颊埃。它與認(rèn)證服務(wù)器蔬充,可以是同一臺(tái)服務(wù)器,也可以是不同的服務(wù)器竟秫。
知道了上面這些名詞娃惯,就不難理解,OAuth的作用就是讓"客戶端"安全可控地獲取"用戶"的授權(quán)肥败,與"服務(wù)商提供商"進(jìn)行互動(dòng)趾浅。
三、OAuth的思路
OAuth在"客戶端"與"服務(wù)提供商"之間馒稍,設(shè)置了一個(gè)授權(quán)層(authorization layer)皿哨。"客戶端"不能直接登錄"服務(wù)提供商",只能登錄授權(quán)層纽谒,以此將用戶與客戶端區(qū)分開來(lái)证膨。"客戶端"登錄授權(quán)層所用的令牌(token),與用戶的密碼不同鼓黔。用戶可以在登錄的時(shí)候央勒,指定授權(quán)層令牌的權(quán)限范圍和有效期。
"客戶端"登錄授權(quán)層以后澳化,"服務(wù)提供商"根據(jù)令牌的權(quán)限范圍和有效期崔步,向"客戶端"開放用戶儲(chǔ)存的資料。
四缎谷、運(yùn)行流程
OAuth 2.0的運(yùn)行流程如下圖井濒,摘自RFC 6749。
(A)用戶打開客戶端以后列林,客戶端要求用戶給予授權(quán)瑞你。
(B)用戶同意給予客戶端授權(quán)。
(C)客戶端使用上一步獲得的授權(quán)希痴,向認(rèn)證服務(wù)器申請(qǐng)令牌者甲。
(D)認(rèn)證服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證以后,確認(rèn)無(wú)誤砌创,同意發(fā)放令牌过牙。
(E)客戶端使用令牌甥厦,向資源服務(wù)器申請(qǐng)獲取資源纺铭。
(F)資源服務(wù)器確認(rèn)令牌無(wú)誤寇钉,同意向客戶端開放資源。
不難看出來(lái)舶赔,上面六個(gè)步驟之中扫倡,B是關(guān)鍵,即用戶怎樣才能給于客戶端授權(quán)竟纳。有了這個(gè)授權(quán)以后撵溃,客戶端就可以獲取令牌,進(jìn)而憑令牌獲取資源锥累。
下面一一講解客戶端獲取授權(quán)的四種模式缘挑。
五、客戶端的授權(quán)模式
客戶端必須得到用戶的授權(quán)(authorization grant)桶略,才能獲得令牌(access token)语淘。OAuth 2.0定義了四種授權(quán)方式。
授權(quán)碼模式(authorization code)
簡(jiǎn)化模式(implicit)
密碼模式(resource owner password credentials)
客戶端模式(client credentials)
六际歼、授權(quán)模型一:授權(quán)碼模式
授權(quán)碼模式(authorization code)是功能最完整惶翻、流程最嚴(yán)密的授權(quán)模式。它的特點(diǎn)就是通過(guò)客戶端的后臺(tái)服務(wù)器鹅心,與"服務(wù)提供商"的認(rèn)證服務(wù)器進(jìn)行互動(dòng)吕粗。
它的步驟如下:
(A)用戶訪問(wèn)客戶端,后者將前者導(dǎo)向認(rèn)證服務(wù)器旭愧。
(B)用戶選擇是否給予客戶端授權(quán)颅筋。
(C)假設(shè)用戶給予授權(quán),認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端事先指定的"重定向URI"(redirection URI),同時(shí)附上一個(gè)授權(quán)碼房维。
(D)客戶端收到授權(quán)碼锋边,附上早先的"重定向URI",向認(rèn)證服務(wù)器申請(qǐng)令牌肢簿。這一步是在客戶端的后臺(tái)的服務(wù)器上完成的,對(duì)用戶不可見(jiàn)蜻拨。
(E)認(rèn)證服務(wù)器核對(duì)了授權(quán)碼和重定向URI池充,確認(rèn)無(wú)誤后,向客戶端發(fā)送訪問(wèn)令牌(access token)和更新令牌(refresh token)缎讼。
下面是上面這些步驟所需要的參數(shù)收夸。
A步驟中,客戶端申請(qǐng)認(rèn)證的URI血崭,包含以下參數(shù):
????response_type:表示授權(quán)類型卧惜,必選項(xiàng)厘灼,此處的值固定為"code"
????client_id:表示客戶端的ID,必選項(xiàng)
????redirect_uri:表示重定向URI咽瓷,可選項(xiàng)
????scope:表示申請(qǐng)的權(quán)限范圍设凹,可選項(xiàng)
????state:表示客戶端的當(dāng)前狀態(tài),可以指定任意值茅姜,認(rèn)證服務(wù)器會(huì)原封不動(dòng)地返回這個(gè)值闪朱。
下面是一個(gè)例子。
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz? ? ? ? &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1Host:server.example.com
C步驟中钻洒,服務(wù)器回應(yīng)客戶端的URI奋姿,包含以下參數(shù):
code:表示授權(quán)碼,必選項(xiàng)素标。該碼的有效期應(yīng)該很短称诗,通常設(shè)為10分鐘,客戶端只能使用該碼一次头遭,否則會(huì)被授權(quán)服務(wù)器拒絕寓免。該碼與客戶端ID和重定向URI,是一一對(duì)應(yīng)關(guān)系任岸。
state:如果客戶端的請(qǐng)求中包含這個(gè)參數(shù)再榄,認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個(gè)參數(shù)。
下面是一個(gè)例子享潜。
HTTP/1.1 302 FoundLocation:https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz
D步驟中困鸥,客戶端向認(rèn)證服務(wù)器申請(qǐng)令牌的HTTP請(qǐng)求,包含以下參數(shù):
grant_type:表示使用的授權(quán)模式剑按,必選項(xiàng)疾就,此處的值固定為"authorization_code"。
code:表示上一步獲得的授權(quán)碼艺蝴,必選項(xiàng)猬腰。
redirect_uri:表示重定向URI,必選項(xiàng)猜敢,且必須與A步驟中的該參數(shù)值保持一致姑荷。
client_id:表示客戶端ID,必選項(xiàng)缩擂。
下面是一個(gè)例子鼠冕。
POST /token HTTP/1.1Host:server.example.comAuthorization:Basic czZCaGRSa3F0MzpnWDFmQmF0M2JWContent-Type:application/x-www-form-urlencodedgrant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
E步驟中,認(rèn)證服務(wù)器發(fā)送的HTTP回復(fù)胯盯,包含以下參數(shù):
access_token:表示訪問(wèn)令牌懈费,必選項(xiàng)。
token_type:表示令牌類型博脑,該值大小寫不敏感憎乙,必選項(xiàng)票罐,可以是bearer類型或mac類型。
expires_in:表示過(guò)期時(shí)間泞边,單位為秒该押。如果省略該參數(shù),必須其他方式設(shè)置過(guò)期時(shí)間繁堡。
refresh_token:表示更新令牌沈善,用來(lái)獲取下一次的訪問(wèn)令牌,可選項(xiàng)椭蹄。
scope:表示權(quán)限范圍,如果與客戶端申請(qǐng)的范圍一致净赴,此項(xiàng)可省略绳矩。
下面是一個(gè)例子。
HTTP/1.1 200 OK? ? Content-Type: application/json;charset=UTF-8? ? Cache-Control: no-store? ? Pragma: no-cache{"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA","example_parameter":"example_value"}
從上面代碼可以看到玖翅,相關(guān)參數(shù)使用JSON格式發(fā)送(Content-Type: application/json)翼馆。此外,HTTP頭信息中明確指定不得緩存金度。
六应媚、授權(quán)模型二:簡(jiǎn)化模式
簡(jiǎn)化模式(implicit grant type)不通過(guò)第三方應(yīng)用程序的服務(wù)器,直接在瀏覽器中向認(rèn)證服務(wù)器申請(qǐng)令牌猜极,跳過(guò)了"授權(quán)碼"這個(gè)步驟中姜,因此得名。所有步驟在瀏覽器中完成跟伏,令牌對(duì)訪問(wèn)者是可見(jiàn)的丢胚,且客戶端不需要認(rèn)證。
它的步驟如下:
(A)客戶端將用戶導(dǎo)向認(rèn)證服務(wù)器受扳。
(B)用戶決定是否給于客戶端授權(quán)携龟。
(C)假設(shè)用戶給予授權(quán),認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端指定的"重定向URI"勘高,并在URI的Hash部分包含了訪問(wèn)令牌峡蟋。
(D)瀏覽器向資源服務(wù)器發(fā)出請(qǐng)求,其中不包括上一步收到的Hash值华望。
(E)資源服務(wù)器返回一個(gè)網(wǎng)頁(yè)蕊蝗,其中包含的代碼可以獲取Hash值中的令牌。
(F)瀏覽器執(zhí)行上一步獲得的腳本立美,提取出令牌匿又。
(G)瀏覽器將令牌發(fā)給客戶端。
下面是上面這些步驟所需要的參數(shù)建蹄。
A步驟中碌更,客戶端發(fā)出的HTTP請(qǐng)求裕偿,包含以下參數(shù):
response_type:表示授權(quán)類型,此處的值固定為"token"痛单,必選項(xiàng)嘿棘。
client_id:表示客戶端的ID,必選項(xiàng)旭绒。
redirect_uri:表示重定向的URI鸟妙,可選項(xiàng)。
scope:表示權(quán)限范圍挥吵,可選項(xiàng)重父。
state:表示客戶端的當(dāng)前狀態(tài),可以指定任意值忽匈,認(rèn)證服務(wù)器會(huì)原封不動(dòng)地返回這個(gè)值房午。
下面是一個(gè)例子。
? ? GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz
? ? ? ? &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
? ? Host: server.example.com
C步驟中丹允,認(rèn)證服務(wù)器回應(yīng)客戶端的URI郭厌,包含以下參數(shù):
access_token:表示訪問(wèn)令牌,必選項(xiàng)雕蔽。
token_type:表示令牌類型折柠,該值大小寫不敏感,必選項(xiàng)批狐。
expires_in:表示過(guò)期時(shí)間扇售,單位為秒。如果省略該參數(shù)贾陷,必須其他方式設(shè)置過(guò)期時(shí)間缘眶。
scope:表示權(quán)限范圍,如果與客戶端申請(qǐng)的范圍一致髓废,此項(xiàng)可省略巷懈。
state:如果客戶端的請(qǐng)求中包含這個(gè)參數(shù),認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個(gè)參數(shù)慌洪。
下面是一個(gè)例子顶燕。
HTTP/1.1 302 Found? ? Location:http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA? ? ? ? ? ? ? &state=xyz&token_type=example&expires_in=3600
在上面的例子中,認(rèn)證服務(wù)器用HTTP頭信息的Location欄冈爹,指定瀏覽器重定向的網(wǎng)址涌攻。注意,在這個(gè)網(wǎng)址的Hash部分包含了令牌频伤。
根據(jù)上面的D步驟恳谎,下一步瀏覽器會(huì)訪問(wèn)Location指定的網(wǎng)址,但是Hash部分不會(huì)發(fā)送。接下來(lái)的E步驟因痛,服務(wù)提供商的資源服務(wù)器發(fā)送過(guò)來(lái)的代碼婚苹,會(huì)提取出Hash中的令牌。
六鸵膏、授權(quán)模型三:密碼模式
密碼模式(Resource Owner Password Credentials Grant)中膊升,用戶向客戶端提供自己的用戶名和密碼√菲螅客戶端使用這些信息廓译,向"服務(wù)商提供商"索要授權(quán)。
在這種模式中债查,用戶必須把自己的密碼給客戶端非区,但是客戶端不得儲(chǔ)存密碼。這通常用在用戶對(duì)客戶端高度信任的情況下攀操,比如客戶端是操作系統(tǒng)的一部分院仿,或者由一個(gè)著名公司出品。而認(rèn)證服務(wù)器只有在其他授權(quán)模式無(wú)法執(zhí)行的情況下速和,才能考慮使用這種模式。
它的步驟如下:
(A)用戶向客戶端提供用戶名和密碼剥汤。
(B)客戶端將用戶名和密碼發(fā)給認(rèn)證服務(wù)器颠放,向后者請(qǐng)求令牌。
(C)認(rèn)證服務(wù)器確認(rèn)無(wú)誤后吭敢,向客戶端提供訪問(wèn)令牌碰凶。
B步驟中,客戶端發(fā)出的HTTP請(qǐng)求鹿驼,包含以下參數(shù):
grant_type:表示授權(quán)類型欲低,此處的值固定為"password",必選項(xiàng)畜晰。
username:表示用戶名砾莱,必選項(xiàng)。
password:表示用戶的密碼凄鼻,必選項(xiàng)腊瑟。
scope:表示權(quán)限范圍,可選項(xiàng)块蚌。
下面是一個(gè)例子闰非。
? ? POST /token HTTP/1.1
? ? Host: server.example.com
? ? Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
? ? Content-Type: application/x-www-form-urlencoded
? ? grant_type=password&username=johndoe&password=A3ddj3w
C步驟中,認(rèn)證服務(wù)器向客戶端發(fā)送訪問(wèn)令牌峭范,下面是一個(gè)例子财松。
HTTP/1.1 200 OK? ? Content-Type: application/json;charset=UTF-8? ? Cache-Control: no-store? ? Pragma: no-cache{"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA","example_parameter":"example_value"}
上面代碼中,各個(gè)參數(shù)的含義參見(jiàn)《授權(quán)碼模式》一節(jié)纱控。
整個(gè)過(guò)程中辆毡,客戶端不得保存用戶的密碼菜秦。
六、授權(quán)模型四:客戶端模式
客戶端模式(Client Credentials Grant)指客戶端以自己的名義胚迫,而不是以用戶的名義喷户,向"服務(wù)提供商"進(jìn)行認(rèn)證。嚴(yán)格地說(shuō)访锻,客戶端模式并不屬于OAuth框架所要解決的問(wèn)題褪尝。在這種模式中,用戶直接向客戶端注冊(cè)期犬,客戶端以自己的名義要求"服務(wù)提供商"提供服務(wù)河哑,其實(shí)不存在授權(quán)問(wèn)題。
它的步驟如下:
(A)客戶端向認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證龟虎,并要求一個(gè)訪問(wèn)令牌璃谨。
(B)認(rèn)證服務(wù)器確認(rèn)無(wú)誤后,向客戶端提供訪問(wèn)令牌鲤妥。
A步驟中佳吞,客戶端發(fā)出的HTTP請(qǐng)求,包含以下參數(shù):
grant_type:表示授權(quán)類型棉安,此處的值固定為"client_credentials"底扳,必選項(xiàng)。
scope:表示權(quán)限范圍贡耽,可選項(xiàng)衷模。
? ? POST /token HTTP/1.1
? ? Host: server.example.com
? ? Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
? ? Content-Type: application/x-www-form-urlencoded
? ? grant_type=client_credentials
認(rèn)證服務(wù)器必須以某種方式,驗(yàn)證客戶端身份蒲赂。
B步驟中阱冶,認(rèn)證服務(wù)器向客戶端發(fā)送訪問(wèn)令牌,下面是一個(gè)例子滥嘴。
HTTP/1.1 200 OK? ? Content-Type: application/json;charset=UTF-8? ? Cache-Control: no-store? ? Pragma: no-cache{"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"example_parameter":"example_value"}
上面代碼中木蹬,各個(gè)參數(shù)的含義參見(jiàn)《授權(quán)碼模式》一節(jié)。
七氏涩、更新令牌
如果用戶訪問(wèn)的時(shí)候届囚,客戶端的"訪問(wèn)令牌"已經(jīng)過(guò)期,則需要使用"更新令牌"申請(qǐng)一個(gè)新的訪問(wèn)令牌是尖。
客戶端發(fā)出更新令牌的HTTP請(qǐng)求意系,包含以下參數(shù):
grant_type:表示使用的授權(quán)模式,此處的值固定為"refresh_token"饺汹,必選項(xiàng)蛔添。
refresh_token:表示早前收到的更新令牌,必選項(xiàng)。
scope:表示申請(qǐng)的授權(quán)范圍迎瞧,不可以超出上一次申請(qǐng)的范圍夸溶,如果省略該參數(shù),則表示與上一次一致凶硅。
下面是一個(gè)例子缝裁。
? ? POST /token HTTP/1.1
? ? Host: server.example.com
? ? Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
? ? Content-Type: application/x-www-form-urlencoded
? ? grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
(完)
