? ? ?OAuth是一個關(guān)于授權(quán)(authorization)的開放網(wǎng)絡(luò)標(biāo)準(zhǔn)艳丛,在全世界得到廣泛應(yīng)用该押,目前的版本是2.0版筒主。本文對OAuth 2.0的設(shè)計(jì)思路和運(yùn)行流程撕捍,做一個簡明通俗的解釋迈嘹,主要參考材料為RFC6749削彬。
1、應(yīng)用場景
????為了理解OAuth的適用場合秀仲,讓我舉一個假設(shè)的例子吃警。
????有一個"云沖印"的網(wǎng)站,可以將用戶儲存在Google的照片啄育,沖印出來酌心。用戶為了使用該服務(wù),必須讓"云沖印"讀取自己儲存在Google上的照片挑豌。問題是只有得到用戶的授權(quán)安券,Google才會同意"云沖印"讀取這些照片墩崩。那么,"云沖印"怎樣獲得用戶的授權(quán)呢侯勉?傳統(tǒng)方法是鹦筹,用戶將自己的Google用戶名和密碼,告訴"云沖印"址貌,后者就可以讀取用戶的照片了铐拐。這樣的做法有以下幾個嚴(yán)重的缺點(diǎn):
????(1)"云沖印"為了后續(xù)的服務(wù),會保存用戶的密碼练对,這樣很不安全遍蟋。
????(2) Google不得不部署密碼登錄,而我們知道螟凭,單純的密碼登錄并不安全虚青。
????(3) "云沖印"擁有了獲取用戶儲存在Google所有資料的權(quán)力,用戶沒法限制"云沖印"獲得授權(quán)的范圍和有效期螺男。
????(4)用戶只有修改密碼棒厘,才能收回賦予"云沖印"的權(quán)力。但是這樣做下隧,會使得其他所有獲得用戶授權(quán)的第三方應(yīng)用程序全部失效奢人。
????(5)只要有一個第三方應(yīng)用程序被破解,就會導(dǎo)致用戶密碼泄漏淆院,以及所有被密碼保護(hù)的數(shù)據(jù)泄漏达传。
? ? ? OAuth就是為了解決上面這些問題而誕生的,簡單講就是部分范圍內(nèi)迫筑,有時效地對第三方進(jìn)行授權(quán)宪赶。
2、名詞定義
????在詳細(xì)講解OAuth 2.0之前脯燃,需要了解幾個專用名詞搂妻。它們對讀懂后面的講解,尤其是幾張圖辕棚,至關(guān)重要欲主。
? ? Third-party application:第三方應(yīng)用程序,本文中又稱"客戶端"(client)逝嚎,即上一節(jié)例子中的"云沖印"扁瓢。
? ? ?HTTP service:HTTP服務(wù)提供商,本文中簡稱"服務(wù)提供商"补君,即上一節(jié)例子中的Google引几。
? ? Resource Owner:資源所有者,本文中又稱"用戶"(user)挽铁。
? ? User Agent:用戶代理伟桅,本文中就是指瀏覽器敞掘。
? ? Authorization server:認(rèn)證服務(wù)器,即服務(wù)提供商專門用來處理認(rèn)證的服務(wù)器楣铁。
? ? Resource server:資源服務(wù)器玖雁,即服務(wù)提供商存放用戶生成的資源的服務(wù)器。它與認(rèn)證服務(wù)器盖腕,可以是同一臺服務(wù)器赫冬,也可以是不同的服務(wù)器。
? ? ?知道了上面這些名詞溃列,就不難理解劲厌,OAuth的作用就是讓"客戶端"安全可控地獲取"用戶"的授權(quán),與"服務(wù)商提供商"進(jìn)行互動哭廉。
3、OAuth的思路
????OAuth在"客戶端"與"服務(wù)提供商"之間相叁,設(shè)置了一個授權(quán)層(authorization layer)遵绰。"客戶端"不能直接登錄"服務(wù)提供商",只能登錄授權(quán)層增淹,以此將用戶與客戶端區(qū)分開來椿访。"客戶端"登錄授權(quán)層所用的令牌(token),與用戶的密碼不同虑润。用戶可以在登錄的時候成玫,指定授權(quán)層令牌的權(quán)限范圍和有效期。"客戶端"登錄授權(quán)層以后拳喻,"服務(wù)提供商"根據(jù)令牌的權(quán)限范圍和有效期哭当,向"客戶端"開放用戶儲存的資料。
4冗澈、運(yùn)行流程
????OAuth 2.0的運(yùn)行流程如下圖钦勘,摘自RFC 6749:
(A)用戶打開客戶端以后,客戶端要求用戶給予授權(quán)亚亲。
(B)用戶同意給予客戶端授權(quán)彻采。
(C)客戶端使用上一步獲得的授權(quán),向認(rèn)證服務(wù)器申請令牌捌归。
(D)認(rèn)證服務(wù)器對客戶端進(jìn)行認(rèn)證以后肛响,確認(rèn)無誤,同意發(fā)放令牌惜索。
(E)客戶端使用令牌特笋,向資源服務(wù)器申請獲取資源。
(F)資源服務(wù)器確認(rèn)令牌無誤巾兆,同意向客戶端開放資源雹有。
????不難看出來偿渡,上面六個步驟之中,B是關(guān)鍵霸奕,即用戶怎樣才能給于客戶端授權(quán)溜宽。有了這個授權(quán)以后,客戶端就可以獲取令牌质帅,進(jìn)而憑令牌獲取資源适揉。
下面一一講解客戶端獲取授權(quán)的四種模式。
5煤惩、客戶端的授權(quán)模式
????客戶端必須得到用戶的授權(quán)(authorization grant)嫉嘀,才能獲得令牌(access token)。OAuth 2.0定義了四種授權(quán)方式魄揉。
授權(quán)碼模式(authorization code)
簡化模式(implicit)
密碼模式(resource owner password credentials)
客戶端模式(client credentials)
5.1剪侮、授權(quán)碼模式
????????授權(quán)碼模式(authorization code)是功能最完整、流程最嚴(yán)密的授權(quán)模式洛退。它的特點(diǎn)就是通過客戶端的后臺服務(wù)器瓣俯,與"服務(wù)提供商"的認(rèn)證服務(wù)器進(jìn)行互動。
它的步驟如下:
(A)用戶訪問客戶端兵怯,后者將前者導(dǎo)向認(rèn)證服務(wù)器彩匕。
(B)用戶選擇是否給予客戶端授權(quán)。
(C)假設(shè)用戶給予授權(quán)媒区,認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端事先指定的"重定向URI"(redirection URI)驼仪,同時附上一個授權(quán)碼。
【補(bǔ)充:回調(diào)請求的設(shè)計(jì)卻存在一個很大的安全隱患袜漩,壞人如果在客戶端請求過程中修改了對應(yīng)的回調(diào)地址绪爸,并指向自己的服務(wù)器,那么壞人可以利用這種機(jī)制去拿到客戶端的授權(quán)碼宙攻,繼而走后面的流程毡泻,最終拿到訪問令牌,另外壞人可以利用該機(jī)制引導(dǎo)用戶到一個惡意站點(diǎn)粘优,繼而對用戶發(fā)起攻擊仇味。為了避免上述安全隱患,OAuth協(xié)議強(qiáng)制要求客戶端在注冊時填寫自己的回調(diào)地址雹顺,這個回調(diào)地址的目的是為了讓回調(diào)請求能夠到達(dá)客戶端自己的服務(wù)器丹墨,從而可以走獲取訪問令牌的流程】
【補(bǔ)充:】授權(quán)碼是授權(quán)流程的一個中間臨時憑證,是對用戶確認(rèn)授權(quán)這一操作的一個暫時性的證書嬉愧,其生命周期一般較短贩挣,協(xié)議建議最大不要超過10分鐘,在這一有效時間周期內(nèi),客戶端可以憑借該暫時性證書去授權(quán)服務(wù)器換取訪問令牌王财。
(D)客戶端收到授權(quán)碼卵迂,附上早先的"重定向URI",向認(rèn)證服務(wù)器申請令牌绒净。這一步是在客戶端的后臺的服務(wù)器上完成的见咒,對用戶不可見。
(E)認(rèn)證服務(wù)器核對了授權(quán)碼和重定向URI挂疆,確認(rèn)無誤后改览,向客戶端發(fā)送訪問令牌(access token)和更新令牌(refresh token)。
????? 下面是上面這些步驟所需要的參數(shù)缤言。
A步驟中宝当,客戶端申請認(rèn)證的URI,包含以下參數(shù):
response_type:表示授權(quán)類型胆萧,必選項(xiàng)庆揩,此處的值固定為"code"
client_id:表示客戶端的ID,必選項(xiàng)
redirect_uri:表示重定向URI跌穗,可選項(xiàng)
scope:表示申請的權(quán)限范圍订晌,可選項(xiàng)
state:表示客戶端的當(dāng)前狀態(tài),可以指定任意值瞻离,認(rèn)證服務(wù)器會原封不動地返回這個值腾仅。
下面是一個例子:
GET
/authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
HTTP/1.1
Host:server.example.com
C步驟中乒裆,服務(wù)器回應(yīng)客戶端的URI套利,包含以下參數(shù):
code:表示授權(quán)碼,必選項(xiàng)鹤耍。該碼的有效期應(yīng)該很短肉迫,通常設(shè)為10分鐘,客戶端只能使用該碼一次稿黄,否則會被授權(quán)服務(wù)器拒絕喊衫。該碼與客戶端ID和重定向URI,是一一對應(yīng)關(guān)系杆怕。
state:如果客戶端的請求中包含這個參數(shù)族购,認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個參數(shù)。
下面是一個例子:
HTTP/1.1?302?Found
Location:
<a >https://client.example.com/cb
?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz
D步驟中陵珍,客戶端向認(rèn)證服務(wù)器申請令牌的HTTP請求寝杖,包含以下參數(shù):
grant_type:表示使用的授權(quán)模式,必選項(xiàng)互纯,此處的值固定為"authorization_code"瑟幕。
code:表示上一步獲得的授權(quán)碼,必選項(xiàng)。
redirect_uri:表示重定向URI只盹,必選項(xiàng)辣往,且必須與A步驟中的該參數(shù)值保持一致。
client_id:表示客戶端ID殖卑,必選項(xiàng)站削。
下面是一個例子:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic
czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type:
application/x-www-form-urlencoded
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
E步驟中,認(rèn)證服務(wù)器發(fā)送的HTTP回復(fù)懦鼠,包含以下參數(shù):
access_token:表示訪問令牌钻哩,必選項(xiàng)。
token_type:表示令牌類型肛冶,該值大小寫不敏感街氢,必選項(xiàng),可以是bearer類型或mac類型睦袖。
expires_in:表示過期時間珊肃,單位為秒。如果省略該參數(shù)馅笙,必須其他方式設(shè)置過期時間伦乔。
efresh_token:表示更新令牌,用來獲取下一次的訪問令牌董习,可選項(xiàng)烈和。
scope:表示權(quán)限范圍,如果與客戶端申請的范圍一致皿淋,此項(xiàng)可省略招刹。
下面是一個例子:
HTTP/1.1?200?OK
Content-Type:
application/json;charset=UTF-8
Cache-Control:
no-store
Pragma:
no-cache
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
"example_parameter":"example_value"
}
從上面代碼可以看到,相關(guān)參數(shù)使用JSON格式發(fā)送(Content-Type: application/json)窝趣。此外疯暑,HTTP頭信息中明確指定不得緩存。
【補(bǔ)充:】
Bearer類型和MAC類型Token 區(qū)別
區(qū)別項(xiàng)Bearer TokenMAC Token
1(優(yōu)點(diǎn)) 調(diào)用簡單哑舒,不需要對請求進(jìn)行簽名妇拯。(優(yōu)點(diǎn)) 不依賴https協(xié)議,無協(xié)議加密帶來的性能開銷洗鸵。
2(缺點(diǎn)) 請求API需要使用https協(xié)議保證信息傳輸安全越锈。
3(缺點(diǎn)) Access Token有效期一個月,過期后需要使用Refresh Token進(jìn)行刷新膘滨。(優(yōu)點(diǎn)) Access Token長期有效甘凭,無需使用Refresh Token刷新。
4(缺點(diǎn)) 需要進(jìn)行MAC計(jì)算吏祸。
5.2对蒲、簡化模式
????簡化模式(implicit grant type)不通過第三方應(yīng)用程序的服務(wù)器钩蚊,直接在瀏覽器中向認(rèn)證服務(wù)器申請令牌,跳過了"授權(quán)碼"這個步驟蹈矮,因此得名砰逻。所有步驟在瀏覽器中完成,令牌對訪問者是可見的泛鸟,且客戶端不需要認(rèn)證蝠咆。
它的步驟如下:
(A)客戶端將用戶導(dǎo)向認(rèn)證服務(wù)器。
(B)用戶決定是否給于客戶端授權(quán)北滥。
(C)假設(shè)用戶給予授權(quán)刚操,認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端指定的"重定向URI",并在URI的Hash部分包含了訪問令牌再芋。
(D)瀏覽器向資源服務(wù)器發(fā)出請求菊霜,其中不包括上一步收到的Hash值。
(E)資源服務(wù)器返回一個網(wǎng)頁济赎,其中包含的代碼可以獲取Hash值中的令牌鉴逞。
(F)瀏覽器執(zhí)行上一步獲得的腳本,提取出令牌司训。
(G)瀏覽器將令牌發(fā)給客戶端构捡。
下面是上面這些步驟所需要的參數(shù)。
A步驟中壳猜,客戶端發(fā)出的HTTP請求勾徽,包含以下參數(shù):
response_type:表示授權(quán)類型,此處的值固定為"token"统扳,必選項(xiàng)喘帚。
client_id:表示客戶端的ID,必選項(xiàng)闪幽。
redirect_uri:表示重定向的URI啥辨,可選項(xiàng)涡匀。
scope:表示權(quán)限范圍盯腌,可選項(xiàng)。
state:表示客戶端的當(dāng)前狀態(tài)陨瘩,可以指定任意值腕够,認(rèn)證服務(wù)器會原封不動地返回這個值。
下面是一個例子:
GET
/authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
HTTP/1.1
Host:
server.example.com
C步驟中舌劳,認(rèn)證服務(wù)器回應(yīng)客戶端的URI帚湘,包含以下參數(shù):
access_token:表示訪問令牌,必選項(xiàng)甚淡。
token_type:表示令牌類型大诸,該值大小寫不敏感,必選項(xiàng)。
expires_in:表示過期時間资柔,單位為秒焙贷。如果省略該參數(shù),必須其他方式設(shè)置過期時間贿堰。
scope:表示權(quán)限范圍辙芍,如果與客戶端申請的范圍一致,此項(xiàng)可省略羹与。
state:如果客戶端的請求中包含這個參數(shù)故硅,認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個參數(shù)。
下面是一個例子:
HTTP/1.1?302?Found
Location:http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA
&state=xyz&token_type=example&expires_in=3600
????在上面的例子中纵搁,認(rèn)證服務(wù)器用HTTP頭信息的Location欄吃衅,指定瀏覽器重定向的網(wǎng)址。注意腾誉,在這個網(wǎng)址的Hash部分包含了令牌捐晶。
????根據(jù)上面的D步驟,下一步瀏覽器會訪問Location指定的網(wǎng)址妄辩,但是Hash部分不會發(fā)送惑灵。接下來的E步驟,服務(wù)提供商的資源服務(wù)器發(fā)送過來的代碼眼耀,會提取出Hash中的令牌英支。
5.3、密碼模式
????密碼模式(Resource Owner Password Credentials Grant)中哮伟,用戶向客戶端提供自己的用戶名和密碼干花。客戶端使用這些信息楞黄,向"服務(wù)商提供商"索要授權(quán)池凄。
????在這種模式中,用戶必須把自己的密碼給客戶端鬼廓,但是客戶端不得儲存密碼肿仑。這通常用在用戶對客戶端高度信任的情況下,比如客戶端是操作系統(tǒng)的一部分碎税,或者由一個著名公司出品尤慰。而認(rèn)證服務(wù)器只有在其他授權(quán)模式無法執(zhí)行的情況下,才能考慮使用這種模式雷蹂。
它的步驟如下:
(A)用戶向客戶端提供用戶名和密碼伟端。
(B)客戶端將用戶名和密碼發(fā)給認(rèn)證服務(wù)器,向后者請求令牌匪煌。
(C)認(rèn)證服務(wù)器確認(rèn)無誤后责蝠,向客戶端提供訪問令牌党巾。
B步驟中,客戶端發(fā)出的HTTP請求霜医,包含以下參數(shù):
grant_type:表示授權(quán)類型昧港,此處的值固定為"password",必選項(xiàng)支子。
username:表示用戶名创肥,必選項(xiàng)。
password:表示用戶的密碼值朋,必選項(xiàng)叹侄。
scope:表示權(quán)限范圍,可選項(xiàng)昨登。
下面是一個例子:
POST /tokenHTTP/1.1
Host:server.example.com
Authorization:Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type:application/x-www-form-urlencoded
grant_type=password&username=johndoe&password=A3ddj3w
C步驟中趾代,認(rèn)證服務(wù)器向客戶端發(fā)送訪問令牌,下面是一個例子:
HTTP/1.1?200?OK
Content-Type:application/json;charset=UTF-8
Cache-Control:no-store
Pragma:no-cache
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
"example_parameter":"example_value"
}
????上面代碼中丰辣,各個參數(shù)的含義參見5.1授權(quán)碼模式一節(jié)撒强。整個過程中,客戶端不得保存用戶的密碼笙什。
5.4飘哨、客戶端模式
????客戶端模式(Client Credentials Grant)指客戶端以自己的名義,而不是以用戶的名義琐凭,向"服務(wù)提供商"進(jìn)行認(rèn)證芽隆。嚴(yán)格地說,客戶端模式并不屬于OAuth框架所要解決的問題统屈。在這種模式中胚吁,用戶直接向客戶端注冊,客戶端以自己的名義要求"服務(wù)提供商"提供服務(wù)愁憔,其實(shí)不存在授權(quán)問題腕扶。
它的步驟如下:
(A)客戶端向認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證,并要求一個訪問令牌吨掌。
(B)認(rèn)證服務(wù)器確認(rèn)無誤后半抱,向客戶端提供訪問令牌。
?A步驟中思犁,客戶端發(fā)出的HTTP請求代虾,包含以下參數(shù):
granttype:表示授權(quán)類型进肯,此處的值固定為"clientcredentials"激蹲,必選項(xiàng)。
scope:表示權(quán)限范圍江掩,可選項(xiàng)学辱。
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic
czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type:
application/x-www-form-urlencoded
grant_type=client_credentials
認(rèn)證服務(wù)器必須以某種方式乘瓤,驗(yàn)證客戶端身份。
B步驟中策泣,認(rèn)證服務(wù)器向客戶端發(fā)送訪問令牌衙傀,下面是一個例子。
HTTP/1.1?200?OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
??"access_token":"2YotnFZFEjr1zCsicMWpAA",
??"token_type":"example",
??"expires_in":3600,
??"example_parameter":"example_value"
}
上面代碼中萨咕,各個參數(shù)的含義參見5.1 授權(quán)碼模式一節(jié)统抬。
5.5、更新令牌
????如果用戶訪問的時候危队,客戶端的"訪問令牌"已經(jīng)過期聪建,則需要使用"更新令牌"申請一個新的訪問令牌。
????客戶端發(fā)出更新令牌的HTTP請求茫陆,包含以下參數(shù):
? ? granttype:表示使用的授權(quán)模式金麸,此處的值固定為"refreshtoken",必選項(xiàng)簿盅。
????refresh_token:表示早前收到的更新令牌挥下,必選項(xiàng)。
????scope:表示申請的授權(quán)范圍桨醋,不可以超出上一次申請的范圍棚瘟,如果省略該參數(shù),則表示與上一次一致喜最。
下面是一個例子解取。
Host: server.example.com
Authorization: Basic
czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type:
application/x-www-form-urlencoded
grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
