這篇文章主要介紹了OAuth 2.0授權(quán)協(xié)議詳解,本文對(duì)OAuth協(xié)議做了詳解講解,對(duì)OAuth協(xié)議的各個(gè)方面做了分解,讀完本文你就會(huì)知道到底啥是OAuth了,需要的朋友可以參考下

OAuth是一個(gè)關(guān)于授權(quán)（authorization）的開放網(wǎng)絡(luò)標(biāo)準(zhǔn)，在全世界得到廣泛應(yīng)用，目前的版本是2.0版究抓。

本文對(duì)OAuth 2.0的設(shè)計(jì)思路和運(yùn)行流程什乙，做一個(gè)簡明通俗的解釋，主要參考材料為RFC 6749野揪。

一游昼、應(yīng)用場景

為了理解OAuth的適用場合仪缸，讓我舉一個(gè)假設(shè)的例子涣觉。

有一個(gè)"云沖印"的網(wǎng)站，可以將用戶儲(chǔ)存在Google的照片血柳，沖印出來官册。用戶為了使用該服務(wù)，必須讓"云沖印"讀取自己儲(chǔ)存在Google上的照片难捌。

問題是只有得到用戶的授權(quán)膝宁，Google才會(huì)同意"云沖印"讀取這些照片鸦难。那么，"云沖印"怎樣獲得用戶的授權(quán)呢员淫？

傳統(tǒng)方法是合蔽，用戶將自己的Google用戶名和密碼，告訴"云沖印"介返，后者就可以讀取用戶的照片了拴事。這樣的做法有以下幾個(gè)嚴(yán)重的缺點(diǎn)。

（1）"云沖印"為了后續(xù)的服務(wù)圣蝎，會(huì)保存用戶的密碼刃宵，這樣很不安全。

（2）Google不得不部署密碼登錄徘公，而我們知道牲证，單純的密碼登錄并不安全。

（3）"云沖印"擁有了獲取用戶儲(chǔ)存在Google所有資料的權(quán)力关面，用戶沒法限制"云沖印"獲得授權(quán)的范圍和有效期坦袍。

（4）用戶只有修改密碼，才能收回賦予"云沖印"的權(quán)力等太。但是這樣做捂齐，會(huì)使得其他所有獲得用戶授權(quán)的第三方應(yīng)用程序全部失效。

（5）只要有一個(gè)第三方應(yīng)用程序被破解澈驼，就會(huì)導(dǎo)致用戶密碼泄漏辛燥，以及所有被密碼保護(hù)的數(shù)據(jù)泄漏。

OAuth就是為了解決上面這些問題而誕生的缝其。

二挎塌、名詞定義

在詳細(xì)講解OAuth 2.0之前，需要了解幾個(gè)專用名詞内边。它們對(duì)讀懂后面的講解榴都，尤其是幾張圖，至關(guān)重要漠其。

（1）Third-party application：第三方應(yīng)用程序嘴高，本文中又稱"客戶端"（client），即上一節(jié)例子中的"云沖印"和屎。

（2）HTTP service：HTTP服務(wù)提供商拴驮，本文中簡稱"服務(wù)提供商"，即上一節(jié)例子中的Google柴信。

（3）Resource Owner：資源所有者套啤，本文中又稱"用戶"（user）。

（4）User Agent：用戶代理随常，本文中就是指瀏覽器潜沦。

（5）Authorization server：認(rèn)證服務(wù)器萄涯，即服務(wù)提供商專門用來處理認(rèn)證的服務(wù)器。

（6）Resource server：資源服務(wù)器唆鸡，即服務(wù)提供商存放用戶生成的資源的服務(wù)器涝影。它與認(rèn)證服務(wù)器，可以是同一臺(tái)服務(wù)器争占，也可以是不同的服務(wù)器燃逻。

知道了上面這些名詞，就不難理解燃乍，OAuth的作用就是讓"客戶端"安全可控地獲取"用戶"的授權(quán)唆樊，與"服務(wù)商提供商"進(jìn)行互動(dòng)。

三刻蟹、OAuth的思路

OAuth在"客戶端"與"服務(wù)提供商"之間逗旁，設(shè)置了一個(gè)授權(quán)層（authorization layer）。"客戶端"不能直接登錄"服務(wù)提供商"舆瘪，只能登錄授權(quán)層片效，以此將用戶與客戶端區(qū)分開來。"客戶端"登錄授權(quán)層所用的令牌（token）英古，與用戶的密碼不同淀衣。用戶可以在登錄的時(shí)候，指定授權(quán)層令牌的權(quán)限范圍和有效期召调。

"客戶端"登錄授權(quán)層以后膨桥，"服務(wù)提供商"根據(jù)令牌的權(quán)限范圍和有效期，向"客戶端"開放用戶儲(chǔ)存的資料唠叛。

四只嚣、運(yùn)行流程

OAuth 2.0的運(yùn)行流程如下圖，摘自RFC 6749艺沼。

（A）用戶打開客戶端以后册舞，客戶端要求用戶給予授權(quán)。

（B）用戶同意給予客戶端授權(quán)障般。

（C）客戶端使用上一步獲得的授權(quán)调鲸，向認(rèn)證服務(wù)器申請(qǐng)令牌。

（D）認(rèn)證服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證以后挽荡，確認(rèn)無誤藐石，同意發(fā)放令牌。

（E）客戶端使用令牌定拟，向資源服務(wù)器申請(qǐng)獲取資源贯钩。

（F）資源服務(wù)器確認(rèn)令牌無誤，同意向客戶端開放資源。

不難看出來角雷，上面六個(gè)步驟之中，B是關(guān)鍵性穿，即用戶怎樣才能給于客戶端授權(quán)勺三。有了這個(gè)授權(quán)以后，客戶端就可以獲取令牌需曾，進(jìn)而憑令牌獲取資源吗坚。

下面一一講解客戶端獲取授權(quán)的四種模式。

五呆万、客戶端的授權(quán)模式

客戶端必須得到用戶的授權(quán)（authorization grant）商源，才能獲得令牌（access token）。OAuth 2.0定義了四種授權(quán)方式谋减。

1.授權(quán)碼模式（authorization code）

2.簡化模式（implicit）

3.密碼模式（resource owner password credentials）

4.客戶端模式（client credentials）

六牡彻、授權(quán)碼模式

授權(quán)碼模式（authorization code）是功能最完整、流程最嚴(yán)密的授權(quán)模式出爹。它的特點(diǎn)就是通過客戶端的后臺(tái)服務(wù)器庄吼，與"服務(wù)提供商"的認(rèn)證服務(wù)器進(jìn)行互動(dòng)。

它的步驟如下：

（A）用戶訪問客戶端严就，后者將前者導(dǎo)向認(rèn)證服務(wù)器总寻。

（B）用戶選擇是否給予客戶端授權(quán)。

（C）假設(shè)用戶給予授權(quán)梢为，認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端事先指定的"重定向URI"（redirection URI）渐行，同時(shí)附上一個(gè)授權(quán)碼。

（D）客戶端收到授權(quán)碼铸董，附上早先的"重定向URI"祟印，向認(rèn)證服務(wù)器申請(qǐng)令牌。這一步是在客戶端的后臺(tái)的服務(wù)器上完成的袒炉，對(duì)用戶不可見旁理。

（E）認(rèn)證服務(wù)器核對(duì)了授權(quán)碼和重定向URI，確認(rèn)無誤后我磁，向客戶端發(fā)送訪問令牌（access token）和更新令牌（refresh token）刻诊。

下面是上面這些步驟所需要的參數(shù)。

A步驟中叔锐，客戶端申請(qǐng)認(rèn)證的URI富寿，包含以下參數(shù)：

1.response_type：表示授權(quán)類型，必選項(xiàng)郁副，此處的值固定為"code"

2.client_id：表示客戶端的ID减牺，必選項(xiàng)

3.redirect_uri：表示重定向URI，可選項(xiàng)

4.scope：表示申請(qǐng)的權(quán)限范圍，可選項(xiàng)

5.state：表示客戶端的當(dāng)前狀態(tài)拔疚，可以指定任意值肥隆，認(rèn)證服務(wù)器會(huì)原封不動(dòng)地返回這個(gè)值。

下面是一個(gè)例子稚失。

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz? ? ? ? &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1Host: server.example.com

C步驟中栋艳，服務(wù)器回應(yīng)客戶端的URI，包含以下參數(shù)：

1.code：表示授權(quán)碼句各，必選項(xiàng)吸占。該碼的有效期應(yīng)該很短，通常設(shè)為10分鐘凿宾，客戶端只能使用該碼一次矾屯，否則會(huì)被授權(quán)服務(wù)器拒絕。該碼與客戶端ID和重定向URI初厚，是一一對(duì)應(yīng)關(guān)系件蚕。

2.state：如果客戶端的請(qǐng)求中包含這個(gè)參數(shù)，認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個(gè)參數(shù)惧所。

下面是一個(gè)例子骤坐。

復(fù)制代碼?代碼如下:

HTTP/1.1302FoundLocation: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

D步驟中，客戶端向認(rèn)證服務(wù)器申請(qǐng)令牌的HTTP請(qǐng)求下愈，包含以下參數(shù)：

1.grant_type：表示使用的授權(quán)模式纽绍，必選項(xiàng)，此處的值固定為"authorization_code"势似。

2.code：表示上一步獲得的授權(quán)碼拌夏，必選項(xiàng)。

3.redirect_uri：表示重定向URI履因，必選項(xiàng)障簿，且必須與A步驟中的該參數(shù)值保持一致。

4.client_id：表示客戶端ID栅迄，必選項(xiàng)站故。

下面是一個(gè)例子。

復(fù)制代碼?代碼如下:

POST/tokenHTTP/1.1Host: server.example.comAuthorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JWContent-Type: application/x-www-form-urlencodedgrant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

E步驟中毅舆，認(rèn)證服務(wù)器發(fā)送的HTTP回復(fù)西篓，包含以下參數(shù)：

1.access_token：表示訪問令牌，必選項(xiàng)憋活。

2.token_type：表示令牌類型岂津，該值大小寫不敏感，必選項(xiàng)悦即，可以是bearer類型或mac類型吮成。

3.expires_in：表示過期時(shí)間橱乱，單位為秒。如果省略該參數(shù)粱甫，必須其他方式設(shè)置過期時(shí)間泳叠。

4.refresh_token：表示更新令牌，用來獲取下一次的訪問令牌茶宵，可選項(xiàng)析二。

5.scope：表示權(quán)限范圍，如果與客戶端申請(qǐng)的范圍一致节预，此項(xiàng)可省略。

下面是一個(gè)例子属韧。

復(fù)制代碼?代碼如下:

HTTP/1.1200OKContent-Type: application/json;charset=UTF-8Cache-Control:no-storePragma:no-cache{"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA","example_parameter":"example_value"}

從上面代碼可以看到安拟，相關(guān)參數(shù)使用JSON格式發(fā)送（Content-Type: application/json）。此外宵喂，HTTP頭信息中明確指定不得緩存糠赦。

七、簡化模式

簡化模式（implicit grant type）不通過第三方應(yīng)用程序的服務(wù)器锅棕，直接在瀏覽器中向認(rèn)證服務(wù)器申請(qǐng)令牌拙泽，跳過了"授權(quán)碼"這個(gè)步驟，因此得名裸燎。所有步驟在瀏覽器中完成顾瞻，令牌對(duì)訪問者是可見的，且客戶端不需要認(rèn)證德绿。

它的步驟如下：

（A）客戶端將用戶導(dǎo)向認(rèn)證服務(wù)器荷荤。

（B）用戶決定是否給于客戶端授權(quán)。

（C）假設(shè)用戶給予授權(quán)移稳，認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端指定的"重定向URI"蕴纳，并在URI的Hash部分包含了訪問令牌。

（D）瀏覽器向資源服務(wù)器發(fā)出請(qǐng)求个粱，其中不包括上一步收到的Hash值古毛。

（E）資源服務(wù)器返回一個(gè)網(wǎng)頁，其中包含的代碼可以獲取Hash值中的令牌都许。

（F）瀏覽器執(zhí)行上一步獲得的腳本稻薇，提取出令牌。

（G）瀏覽器將令牌發(fā)給客戶端梭稚。

下面是上面這些步驟所需要的參數(shù)颖低。

A步驟中，客戶端發(fā)出的HTTP請(qǐng)求弧烤，包含以下參數(shù)：

1.response_type：表示授權(quán)類型忱屑，此處的值固定為"token"蹬敲，必選項(xiàng)。

2.client_id：表示客戶端的ID莺戒，必選項(xiàng)伴嗡。

3.redirect_uri：表示重定向的URI，可選項(xiàng)从铲。

4.scope：表示權(quán)限范圍瘪校，可選項(xiàng)。

5.state：表示客戶端的當(dāng)前狀態(tài)名段，可以指定任意值阱扬，認(rèn)證服務(wù)器會(huì)原封不動(dòng)地返回這個(gè)值。

下面是一個(gè)例子伸辟。

復(fù)制代碼?代碼如下:

GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz? ? ? ? &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1Host: server.example.com

C步驟中麻惶，認(rèn)證服務(wù)器回應(yīng)客戶端的URI，包含以下參數(shù)：

1.access_token：表示訪問令牌信夫，必選項(xiàng)窃蹋。

2.token_type：表示令牌類型，該值大小寫不敏感静稻，必選項(xiàng)警没。

3.expires_in：表示過期時(shí)間，單位為秒振湾。如果省略該參數(shù)杀迹，必須其他方式設(shè)置過期時(shí)間。

4.scope：表示權(quán)限范圍恰梢，如果與客戶端申請(qǐng)的范圍一致佛南，此項(xiàng)可省略。

5.state：如果客戶端的請(qǐng)求中包含這個(gè)參數(shù)嵌言，認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個(gè)參數(shù)嗅回。

下面是一個(gè)例子。

復(fù)制代碼?代碼如下:

HTTP/1.1302Found? ? Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA&state=xyz&token_type=example&expires_in=3600

在上面的例子中摧茴，認(rèn)證服務(wù)器用HTTP頭信息的Location欄绵载，指定瀏覽器重定向的網(wǎng)址。注意苛白，在這個(gè)網(wǎng)址的Hash部分包含了令牌娃豹。

根據(jù)上面的D步驟，下一步瀏覽器會(huì)訪問Location指定的網(wǎng)址购裙，但是Hash部分不會(huì)發(fā)送懂版。接下來的E步驟，服務(wù)提供商的資源服務(wù)器發(fā)送過來的代碼躏率，會(huì)提取出Hash中的令牌躯畴。

八民鼓、密碼模式

密碼模式（Resource Owner Password Credentials Grant）中，用戶向客戶端提供自己的用戶名和密碼蓬抄》峒危客戶端使用這些信息，向"服務(wù)商提供商"索要授權(quán)嚷缭。

在這種模式中饮亏，用戶必須把自己的密碼給客戶端，但是客戶端不得儲(chǔ)存密碼阅爽。這通常用在用戶對(duì)客戶端高度信任的情況下路幸，比如客戶端是操作系統(tǒng)的一部分，或者由一個(gè)著名公司出品付翁。而認(rèn)證服務(wù)器只有在其他授權(quán)模式無法執(zhí)行的情況下劝赔，才能考慮使用這種模式。

它的步驟如下：

（A）用戶向客戶端提供用戶名和密碼胆敞。

（B）客戶端將用戶名和密碼發(fā)給認(rèn)證服務(wù)器，向后者請(qǐng)求令牌杂伟。

（C）認(rèn)證服務(wù)器確認(rèn)無誤后移层，向客戶端提供訪問令牌。

B步驟中赫粥，客戶端發(fā)出的HTTP請(qǐng)求观话，包含以下參數(shù)：

1.grant_type：表示授權(quán)類型，此處的值固定為"password"越平，必選項(xiàng)频蛔。

2.username：表示用戶名，必選項(xiàng)秦叛。

3.password：表示用戶的密碼晦溪，必選項(xiàng)。

4.scope：表示權(quán)限范圍挣跋，可選項(xiàng)三圆。

下面是一個(gè)例子。

復(fù)制代碼?代碼如下:

POST/token HTTP/1.1Host: server.example.com? ? Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW? ? Content-Type: application/x-www-form-urlencoded? ? grant_type=password&username=johndoe&password=A3ddj3w

C步驟中避咆，認(rèn)證服務(wù)器向客戶端發(fā)送訪問令牌舟肉，下面是一個(gè)例子。

復(fù)制代碼?代碼如下:

HTTP/1.1200OKContent-Type: application/json;charset=UTF-8Cache-Control:no-storePragma:no-cache{"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA","example_parameter":"example_value"}

上面代碼中查库，各個(gè)參數(shù)的含義參見《授權(quán)碼模式》一節(jié)路媚。

整個(gè)過程中，客戶端不得保存用戶的密碼樊销。

九整慎、客戶端模式

客戶端模式（Client Credentials Grant）指客戶端以自己的名義脏款，而不是以用戶的名義，向"服務(wù)提供商"進(jìn)行認(rèn)證院领。嚴(yán)格地說弛矛，客戶端模式并不屬于OAuth框架所要解決的問題。在這種模式中比然，用戶直接向客戶端注冊(cè)丈氓，客戶端以自己的名義要求"服務(wù)提供商"提供服務(wù)，其實(shí)不存在授權(quán)問題强法。

它的步驟如下：

（A）客戶端向認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證万俗，并要求一個(gè)訪問令牌。

（B）認(rèn)證服務(wù)器確認(rèn)無誤后饮怯，向客戶端提供訪問令牌闰歪。

A步驟中，客戶端發(fā)出的HTTP請(qǐng)求蓖墅，包含以下參數(shù)：

1.granttype：表示授權(quán)類型库倘，此處的值固定為"clientcredentials"，必選項(xiàng)论矾。

2.scope：表示權(quán)限范圍教翩，可選項(xiàng)。

復(fù)制代碼?代碼如下:

POST/token HTTP/1.1Host: server.example.com? ? Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW? ? Content-Type: application/x-www-form-urlencoded? ? grant_type=client_credentials

認(rèn)證服務(wù)器必須以某種方式贪壳，驗(yàn)證客戶端身份饱亿。

B步驟中，認(rèn)證服務(wù)器向客戶端發(fā)送訪問令牌闰靴，下面是一個(gè)例子彪笼。

復(fù)制代碼?代碼如下:

HTTP/1.1 200 OK? ? Content-Type: application/json;charset=UTF-8Cache-Control:no-storePragma:no-cache{"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"example_parameter":"example_value"}

上面代碼中，各個(gè)參數(shù)的含義參見《授權(quán)碼模式》一節(jié)蚂且。

十配猫、更新令牌

如果用戶訪問的時(shí)候，客戶端的"訪問令牌"已經(jīng)過期杏死，則需要使用"更新令牌"申請(qǐng)一個(gè)新的訪問令牌章姓。

客戶端發(fā)出更新令牌的HTTP請(qǐng)求，包含以下參數(shù)：

1.granttype：表示使用的授權(quán)模式识埋，此處的值固定為"refreshtoken"凡伊，必選項(xiàng)。

2.refresh_token：表示早前收到的更新令牌窒舟，必選項(xiàng)系忙。

3.scope：表示申請(qǐng)的授權(quán)范圍，不可以超出上一次申請(qǐng)的范圍惠豺，如果省略該參數(shù)银还，則表示與上一次一致风宁。

下面是一個(gè)例子。

復(fù)制代碼?代碼如下:

POST/token HTTP/1.1Host: server.example.com? ? Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW? ? Content-Type: application/x-www-form-urlencoded? ? grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA