首先請(qǐng)參考http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
主要問題
有一個(gè)"云沖印"的網(wǎng)站俄认,可以將用戶儲(chǔ)存在Google的照片顾孽,沖印出來历帚。用戶為了使用該服務(wù)瘤泪,必須讓"云沖印"讀取自己儲(chǔ)存在Google上的照片壳咕。問題是只有得到用戶的授權(quán),Google才會(huì)同意"云沖印"讀取這些照片。那么兼耀,"云沖印"怎樣獲得用戶的授權(quán)呢?傳統(tǒng)方法是求冷,用戶將自己的Google用戶名和密碼瘤运,告訴"云沖印",后者就可以讀取用戶的照片了匠题。這樣的做法有以下幾個(gè)嚴(yán)重的缺點(diǎn)拯坟。
(1) “云沖印”為了后續(xù)的服務(wù),會(huì)保存用戶的賬號(hào)和密碼韭山,這樣很不安全似谁;
(2) google不得不部署密碼登錄傲绣,而我們知道,單純的密碼登錄并不安全巩踏;
(3) “云沖印”擁有了獲取用戶存儲(chǔ)在google所有資料的權(quán)利秃诵,用戶沒法限制“云沖印”獲得授權(quán)的范圍和有效期;
(4) 用戶只有修改密碼塞琼,才能收回賦予“云沖印”的權(quán)利菠净,但是這樣做,會(huì)使得其他所有獲得用戶授權(quán)的第三方應(yīng)用程序全部失效彪杉;
(5) 只要有一個(gè)第三方應(yīng)用程序被破解毅往,就會(huì)導(dǎo)致用戶密碼泄露,以及所有被密碼保護(hù)的數(shù)據(jù)泄露派近。
為了解決如上問題攀唯,OAuth誕生了。首先我們需要了解幾個(gè)專有名詞渴丸。
相關(guān)名詞
(1) Third-party application:第三方應(yīng)用程序侯嘀,本文中又稱"客戶端"(client),即上一節(jié)例子中的"云沖印"谱轨。
(2)HTTP service:HTTP服務(wù)提供商戒幔,本文中簡稱"服務(wù)提供商",即上一節(jié)例子中的Google土童。
(3)Resource Owner:資源所有者诗茎,本文中又稱"用戶"(user)。
(4)User Agent:用戶代理献汗,本文中就是指瀏覽器敢订。
(5)Authorization server:認(rèn)證服務(wù)器,即服務(wù)提供商專門用來處理認(rèn)證的服務(wù)器罢吃。
(6)Resource server:資源服務(wù)器枢析,即服務(wù)提供商存放用戶生成的資源的服務(wù)器。它與認(rèn)證服務(wù)器刃麸,可以是同一臺(tái)服務(wù)器,也可以是不同的服務(wù)器司浪。
流程圖
(A) 用戶打開客戶端后泊业,客戶端要求用戶給予授權(quán);
(B) 用戶同意給予客戶端授權(quán)啊易;
(C) 客戶端使用上一步獲得的權(quán)限吁伺,向認(rèn)證服務(wù)器申請(qǐng)令牌;
(D) 認(rèn)證服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證以后租谈,確認(rèn)無誤篮奄,同意發(fā)放令牌捆愁;
(E) 客戶端使用令牌,向資源服務(wù)器申請(qǐng)獲取資源窟却;
(F) 資源服務(wù)器確認(rèn)令牌無誤昼丑,同意向客戶端開放資源
客戶端并不是直接登錄服務(wù)提供商(google),而是通過google提供的授權(quán)層(認(rèn)證服務(wù)器)夸赫,給予客戶端特定權(quán)限和權(quán)限有效期菩帝。那么在以上流程中,用戶已何種形式給予客戶端授權(quán)呢茬腿。
客戶端的授權(quán)模式
- 授權(quán)碼模式(authorization code)
- 簡化模式(implicit)
- 密碼模式(resource owner password credentials)
- 客戶端模式(client redentials)
授權(quán)碼模式
功能最完整呼奢、流程最嚴(yán)密的授權(quán)模式。特點(diǎn)是通過客戶端的后臺(tái)服務(wù)器切平,與“服務(wù)提供商”的認(rèn)證服務(wù)器進(jìn)行互動(dòng)握础。
(A)用戶訪問客戶端,后者將前者導(dǎo)向認(rèn)證服務(wù)器悴品。
(B)用戶選擇是否給予客戶端授權(quán)禀综。
(C)假設(shè)用戶給予授權(quán),認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端事先指定的"重定向URI"(redirection URI)他匪,同時(shí)附上一個(gè)授權(quán)碼菇存。
(D)客戶端收到授權(quán)碼,附上早先的"重定向URI"邦蜜,向認(rèn)證服務(wù)器申請(qǐng)令牌依鸥。這一步是在客戶端的后臺(tái)的服務(wù)器上完成的,對(duì)用戶不可見悼沈。
(E)認(rèn)證服務(wù)器核對(duì)了授權(quán)碼和重定向URI贱迟,確認(rèn)無誤后,向客戶端發(fā)送訪問令牌(access token)和更新令牌(refresh token)絮供。
A步驟中衣吠,客戶端申請(qǐng)認(rèn)證的URI,包含以下參數(shù):
- response_type:表示授權(quán)類型壤靶,必選項(xiàng)缚俏,此處的值固定為"code"
- client_id:表示客戶端的ID,必選項(xiàng)
- redirect_uri:表示重定向URI贮乳,可選項(xiàng)
- scope:表示申請(qǐng)的權(quán)限范圍忧换,可選項(xiàng)
- state:表示客戶端的當(dāng)前狀態(tài),可以指定任意值向拆,認(rèn)證服務(wù)器會(huì)原封不動(dòng)地返回這個(gè)值亚茬。
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com
C步驟中,服務(wù)器回應(yīng)客戶端的URI浓恳,包含以下參數(shù):
- code:表示授權(quán)碼刹缝,必選項(xiàng)碗暗。該碼的有效期應(yīng)該很短,通常設(shè)為10分鐘梢夯,客戶端只能使用該碼一次言疗,否則會(huì)被授權(quán)服務(wù)器拒絕。該碼與客戶端ID和重定向URI厨疙,是一一對(duì)應(yīng)關(guān)系洲守。
- state:如果客戶端的請(qǐng)求中包含這個(gè)參數(shù),認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個(gè)參數(shù)沾凄。
HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz
D步驟中梗醇,客戶端向認(rèn)證服務(wù)器申請(qǐng)令牌的HTTP請(qǐng)求,包含以下參數(shù):
- grant_type:表示使用的授權(quán)模式撒蟀,必選項(xiàng)叙谨,此處的值固定為"authorization_code"。
- code:表示上一步獲得的授權(quán)碼保屯,必選項(xiàng)手负。
- redirect_uri:表示重定向URI,必選項(xiàng)姑尺,且必須與A步驟中的該參數(shù)值保持一致竟终。
- client_id:表示客戶端ID,必選項(xiàng)切蟋。
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
E步驟中统捶,認(rèn)證服務(wù)器發(fā)送的HTTP回復(fù),包含以下參數(shù):
- access_token:表示訪問令牌柄粹,必選項(xiàng)喘鸟。
- token_type:表示令牌類型,該值大小寫不敏感驻右,必選項(xiàng)什黑,可以是bearer類型或mac類型。
- expires_in:表示過期時(shí)間堪夭,單位為秒愕把。如果省略該參數(shù),必須其他方式設(shè)置過期時(shí)間森爽。
- refresh_token:表示更新令牌恨豁,用來獲取下一次的訪問令牌,可選項(xiàng)拗秘。
scope:表示權(quán)限范圍,如果與客戶端申請(qǐng)的范圍一致祈惶,此項(xiàng)可省略雕旨。
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
"example_parameter":"example_value"
}
相關(guān)參數(shù)使用JSON格式發(fā)送(Content-Type: application/json)扮匠。此外,HTTP頭信息中明確指定不得緩存凡涩。
簡化模式
不通過第三方應(yīng)用程序的服務(wù)器棒搜,直接在瀏覽器中向認(rèn)證服務(wù)器申請(qǐng)令牌,跳過了"授權(quán)碼"這個(gè)步驟活箕,因此得名力麸。所有步驟在瀏覽器中完成,令牌對(duì)訪問者是可見的育韩,且客戶端不需要認(rèn)證克蚂。
(A)客戶端將用戶導(dǎo)向認(rèn)證服務(wù)器。
(B)用戶決定是否給于客戶端授權(quán)筋讨。
(C)假設(shè)用戶給予授權(quán)埃叭,認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端指定的"重定向URI",并在URI的Hash部分包含了訪問令牌悉罕。
(D)瀏覽器向資源服務(wù)器發(fā)出請(qǐng)求赤屋,其中不包括上一步收到的Hash值。
(E)資源服務(wù)器返回一個(gè)網(wǎng)頁壁袄,其中包含的代碼可以獲取Hash值中的令牌类早。
(F)瀏覽器執(zhí)行上一步獲得的腳本,提取出令牌嗜逻。
(G)瀏覽器將令牌發(fā)給客戶端涩僻。
A步驟中,客戶端發(fā)出的HTTP請(qǐng)求变泄,包含以下參數(shù):
- response_type:表示授權(quán)類型令哟,此處的值固定為"token",必選項(xiàng)妨蛹。
- client_id:表示客戶端的ID屏富,必選項(xiàng)。
- redirect_uri:表示重定向的URI蛙卤,可選項(xiàng)狠半。
- scope:表示權(quán)限范圍,可選項(xiàng)颤难。
- state:表示客戶端的當(dāng)前狀態(tài)神年,可以指定任意值,認(rèn)證服務(wù)器會(huì)原封不動(dòng)地返回這個(gè)值行嗤。
GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com
C步驟中已日,認(rèn)證服務(wù)器回應(yīng)客戶端的URI,包含以下參數(shù):
- access_token:表示訪問令牌栅屏,必選項(xiàng)飘千。
- token_type:表示令牌類型堂鲜,該值大小寫不敏感,必選項(xiàng)护奈。
- expires_in:表示過期時(shí)間缔莲,單位為秒。如果省略該參數(shù)霉旗,必須其他方式設(shè)置過期時(shí)間痴奏。
- scope:表示權(quán)限范圍,如果與客戶端申請(qǐng)的范圍一致厌秒,此項(xiàng)可省略读拆。
- state:如果客戶端的請(qǐng)求中包含這個(gè)參數(shù),認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個(gè)參數(shù)简僧。
HTTP/1.1 302 Found
Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA
&state=xyz&token_type=example&expires_in=3600
在上面的例子中建椰,認(rèn)證服務(wù)器用HTTP頭信息的Location欄,指定瀏覽器重定向的網(wǎng)址岛马。注意棉姐,在這個(gè)網(wǎng)址的Hash部分包含了令牌。
根據(jù)上面的D步驟啦逆,下一步瀏覽器會(huì)訪問Location指定的網(wǎng)址伞矩,但是Hash部分不會(huì)發(fā)送。接下來的E步驟夏志,服務(wù)提供商的資源服務(wù)器發(fā)送過來的代碼乃坤,會(huì)提取出Hash中的令牌。
密碼模式
用戶向客戶端提供自己的用戶名和密碼沟蔑∈铮客戶端使用這些信息,向"服務(wù)商提供商"索要授權(quán)瘦材。在這種模式中厅须,用戶必須把自己的密碼給客戶端,但是客戶端不得儲(chǔ)存密碼食棕。這通常用在用戶對(duì)客戶端高度信任的情況下朗和,比如客戶端是操作系統(tǒng)的一部分,或者由一個(gè)著名公司出品簿晓。而認(rèn)證服務(wù)器只有在其他授權(quán)模式無法執(zhí)行的情況下眶拉,才能考慮使用這種模式。
(A)用戶向客戶端提供用戶名和密碼憔儿。
(B)客戶端將用戶名和密碼發(fā)給認(rèn)證服務(wù)器忆植,向后者請(qǐng)求令牌。
(C)認(rèn)證服務(wù)器確認(rèn)無誤后,向客戶端提供訪問令牌朝刊。
B步驟中吴侦,客戶端發(fā)出的HTTP請(qǐng)求,包含以下參數(shù):
- grant_type:表示授權(quán)類型坞古,此處的值固定為"password",必選項(xiàng)劫樟。
- username:表示用戶名痪枫,必選項(xiàng)。
- password:表示用戶的密碼叠艳,必選項(xiàng)奶陈。
- scope:表示權(quán)限范圍,可選項(xiàng)附较。
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=password&username=johndoe&password=A3ddj3w
C步驟中吃粒,認(rèn)證服務(wù)器向客戶端發(fā)送訪問令牌,下面是一個(gè)例子拒课。
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
"example_parameter":"example_value"
}
客戶端模式
指客戶端以自己的名義徐勃,而不是以用戶的名義,向"服務(wù)提供商"進(jìn)行認(rèn)證早像。嚴(yán)格地說僻肖,客戶端模式并不屬于OAuth框架所要解決的問題。在這種模式中卢鹦,用戶直接向客戶端注冊(cè)臀脏,客戶端以自己的名義要求"服務(wù)提供商"提供服務(wù),其實(shí)不存在授權(quán)問題冀自。
(A)客戶端向認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證揉稚,并要求一個(gè)訪問令牌。
(B)認(rèn)證服務(wù)器確認(rèn)無誤后熬粗,向客戶端提供訪問令牌搀玖。
A步驟中,客戶端發(fā)出的HTTP請(qǐng)求荐糜,包含以下參數(shù):
- granttype:表示授權(quán)類型巷怜,此處的值固定為"clientcredentials",必選項(xiàng)暴氏。
- scope:表示權(quán)限范圍延塑,可選項(xiàng)。
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=client_credentials
認(rèn)證服務(wù)器必須以某種方式答渔,驗(yàn)證客戶端身份关带。
B步驟中,認(rèn)證服務(wù)器向客戶端發(fā)送訪問令牌,下面是一個(gè)例子宋雏。
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"example_parameter":"example_value"
}
更新令牌
如果用戶訪問的時(shí)候芜飘,客戶端的"訪問令牌"已經(jīng)過期,則需要使用"更新令牌"申請(qǐng)一個(gè)新的訪問令牌磨总∴旅鳎客戶端發(fā)出更新令牌的HTTP請(qǐng)求,包含以下參數(shù):
- granttype:表示使用的授權(quán)模式蚪燕,此處的值固定為"refreshtoken"娶牌,必選項(xiàng)。
- refresh_token:表示早前收到的更新令牌馆纳,必選項(xiàng)诗良。
- scope:表示申請(qǐng)的授權(quán)范圍,不可以超出上一次申請(qǐng)的范圍鲁驶,如果省略該參數(shù)鉴裹,則表示與上一次一致。
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
