最近發(fā)現(xiàn)公司里有很多人都不理解Oauth相速，而且目前國內(nèi)大部分的oauth實現(xiàn)也都是基于標準oauth2.0的改版菩貌，這里找了一篇寫的比較好的oauth的文章轉(zhuǎn)發(fā)下，原文地址：http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

OAuth是一個關于授權(quán)（authorization）的開放網(wǎng)絡標準，在全世界得到廣泛應用邦危，目前的版本是2.0版。
本文對OAuth 2.0的設計思路和運行流程祷愉，做一個簡明通俗的解釋莱找，主要參考材料為RFC 6749。

一勤庐、應用場景

為了理解OAuth的適用場合示惊，讓我舉一個假設的例子。
有一個"云沖印"的網(wǎng)站愉镰，可以將用戶儲存在Google的照片米罚，沖印出來。用戶為了使用該服務丈探，必須讓"云沖印"讀取自己儲存在Google上的照片录择。
問題是只有得到用戶的授權(quán)，Google才會同意"云沖印"讀取這些照片碗降。那么隘竭，"云沖印"怎樣獲得用戶的授權(quán)呢？
傳統(tǒng)方法是讼渊，用戶將自己的Google用戶名和密碼动看，告訴"云沖印"，后者就可以讀取用戶的照片了精偿。這樣的做法有以下幾個嚴重的缺點弧圆。
（1）"云沖印"為了后續(xù)的服務，會保存用戶的密碼笔咽，這樣很不安全搔预。
（2）Google不得不部署密碼登錄，而我們知道叶组，單純的密碼登錄并不安全拯田。
（3）"云沖印"擁有了獲取用戶儲存在Google所有資料的權(quán)力，用戶沒法限制"云沖印"獲得授權(quán)的范圍和有效期甩十。
（4）用戶只有修改密碼船庇，才能收回賦予"云沖印"的權(quán)力吭产。但是這樣做，會使得其他所有獲得用戶授權(quán)的第三方應用程序全部失效鸭轮。
（5）只要有一個第三方應用程序被破解臣淤，就會導致用戶密碼泄漏，以及所有被密碼保護的數(shù)據(jù)泄漏窃爷。
OAuth就是為了解決上面這些問題而誕生的邑蒋。

二、名詞定義

在詳細講解OAuth 2.0之前按厘，需要了解幾個專用名詞医吊。它們對讀懂后面的講解，尤其是幾張圖逮京，至關重要卿堂。
（1） Third-party application：第三方應用程序，本文中又稱"客戶端"（client）懒棉，即上一節(jié)例子中的"云沖印"草描。
（2）HTTP service：HTTP服務提供商，本文中簡稱"服務提供商"策严，即上一節(jié)例子中的Google陶珠。
（3）Resource Owner：資源所有者，本文中又稱"用戶"（user）享钞。
（4）User Agent：用戶代理，本文中就是指瀏覽器诀蓉。
（5）Authorization server：認證服務器栗竖，即服務提供商專門用來處理認證的服務器。
（6）Resource server：資源服務器渠啤，即服務提供商存放用戶生成的資源的服務器狐肢。它與認證服務器，可以是同一臺服務器沥曹，也可以是不同的服務器份名。
知道了上面這些名詞，就不難理解妓美，OAuth的作用就是讓"客戶端"安全可控地獲取"用戶"的授權(quán)僵腺，與"服務商提供商"進行互動。

三壶栋、OAuth的思路

OAuth在"客戶端"與"服務提供商"之間辰如，設置了一個授權(quán)層（authorization layer）。"客戶端"不能直接登錄"服務提供商"贵试，只能登錄授權(quán)層琉兜，以此將用戶與客戶端區(qū)分開來凯正。"客戶端"登錄授權(quán)層所用的令牌（token），與用戶的密碼不同豌蟋。用戶可以在登錄的時候廊散，指定授權(quán)層令牌的權(quán)限范圍和有效期。
"客戶端"登錄授權(quán)層以后梧疲，"服務提供商"根據(jù)令牌的權(quán)限范圍和有效期允睹，向"客戶端"開放用戶儲存的資料。

四往声、運行流程

OAuth 2.0的運行流程如下圖擂找，摘自RFC 6749。

bg2014051203.png

（A）用戶打開客戶端以后浩销，客戶端要求用戶給予授權(quán)贯涎。
（B）用戶同意給予客戶端授權(quán)。
（C）客戶端使用上一步獲得的授權(quán)慢洋，向認證服務器申請令牌塘雳。
（D）認證服務器對客戶端進行認證以后，確認無誤普筹，同意發(fā)放令牌败明。
（E）客戶端使用令牌，向資源服務器申請獲取資源太防。
（F）資源服務器確認令牌無誤妻顶，同意向客戶端開放資源。
不難看出來蜒车，上面六個步驟之中讳嘱，B是關鍵，即用戶怎樣才能給于客戶端授權(quán)酿愧。有了這個授權(quán)以后沥潭，客戶端就可以獲取令牌，進而憑令牌獲取資源嬉挡。
下面一一講解客戶端獲取授權(quán)的四種模式钝鸽。

五、客戶端的授權(quán)模式

客戶端必須得到用戶的授權(quán)（authorization grant）庞钢，才能獲得令牌（access token）拔恰。OAuth 2.0定義了四種授權(quán)方式。
授權(quán)碼模式（authorization code）
簡化模式（implicit）
密碼模式（resource owner password credentials）
客戶端模式（client credentials）

六焊夸、授權(quán)碼模式
授權(quán)碼模式（authorization code）是功能最完整仁连、流程最嚴密的授權(quán)模式。它的特點就是通過客戶端的后臺服務器，與"服務提供商"的認證服務器進行互動饭冬。

bg2014051204.png

它的步驟如下：
（A）用戶訪問客戶端使鹅，后者將前者導向認證服務器。
（B）用戶選擇是否給予客戶端授權(quán)昌抠。
（C）假設用戶給予授權(quán)患朱，認證服務器將用戶導向客戶端事先指定的"重定向URI"（redirection URI），同時附上一個授權(quán)碼炊苫。
（D）客戶端收到授權(quán)碼裁厅，附上早先的"重定向URI"，向認證服務器申請令牌侨艾。這一步是在客戶端的后臺的服務器上完成的执虹，對用戶不可見。
（E）認證服務器核對了授權(quán)碼和重定向URI唠梨，確認無誤后袋励，向客戶端發(fā)送訪問令牌（access token）和更新令牌（refresh token）。
下面是上面這些步驟所需要的參數(shù)当叭。
A步驟中茬故，客戶端申請認證的URI，包含以下參數(shù)：
response_type：表示授權(quán)類型蚁鳖，必選項磺芭，此處的值固定為"code"
client_id：表示客戶端的ID，必選項
redirect_uri：表示重定向URI醉箕，可選項
scope：表示申請的權(quán)限范圍钾腺，可選項
state：表示客戶端的當前狀態(tài)，可以指定任意值讥裤，認證服務器會原封不動地返回這個值垮庐。
下面是一個例子。

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

C步驟中坞琴，服務器回應客戶端的URI，包含以下參數(shù)：
code：表示授權(quán)碼逗抑，必選項剧辐。該碼的有效期應該很短，通常設為10分鐘邮府，客戶端只能使用該碼一次荧关，否則會被授權(quán)服務器拒絕。該碼與客戶端ID和重定向URI褂傀，是一一對應關系忍啤。
state：如果客戶端的請求中包含這個參數(shù)，認證服務器的回應也必須一模一樣包含這個參數(shù)。
下面是一個例子同波。

HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
          &state=xyz

D步驟中鳄梅，客戶端向認證服務器申請令牌的HTTP請求，包含以下參數(shù)：
grant_type：表示使用的授權(quán)模式未檩，必選項戴尸，此處的值固定為"authorization_code"。
code：表示上一步獲得的授權(quán)碼冤狡，必選項孙蒙。
redirect_uri：表示重定向URI，必選項悲雳，且必須與A步驟中的該參數(shù)值保持一致挎峦。
client_id：表示客戶端ID，必選項合瓢。
下面是一個例子坦胶。

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

E步驟中，認證服務器發(fā)送的HTTP回復歪玲，包含以下參數(shù)：
access_token：表示訪問令牌迁央，必選項。
token_type：表示令牌類型滥崩，該值大小寫不敏感岖圈，必選項，可以是bearer類型或mac類型钙皮。
expires_in：表示過期時間蜂科，單位為秒。如果省略該參數(shù)短条，必須其他方式設置過期時間导匣。
refresh_token：表示更新令牌，用來獲取下一次的訪問令牌茸时，可選項贡定。
scope：表示權(quán)限范圍，如果與客戶端申請的范圍一致可都，此項可省略缓待。
下面是一個例子。

     HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

從上面代碼可以看到渠牲，相關參數(shù)使用JSON格式發(fā)送（Content-Type: application/json）旋炒。此外，HTTP頭信息中明確指定不得緩存签杈。

七瘫镇、簡化模式

簡化模式（implicit grant type）不通過第三方應用程序的服務器，直接在瀏覽器中向認證服務器申請令牌，跳過了"授權(quán)碼"這個步驟铣除，因此得名谚咬。所有步驟在瀏覽器中完成，令牌對訪問者是可見的通孽，且客戶端不需要認證

bg2014051205.png

它的步驟如下：
（A）客戶端將用戶導向認證服務器序宦。
（B）用戶決定是否給于客戶端授權(quán)。
（C）假設用戶給予授權(quán)背苦，認證服務器將用戶導向客戶端指定的"重定向URI"互捌，并在URI的Hash部分包含了訪問令牌。
（D）瀏覽器向資源服務器發(fā)出請求行剂，其中不包括上一步收到的Hash值秕噪。
（E）資源服務器返回一個網(wǎng)頁，其中包含的代碼可以獲取Hash值中的令牌厚宰。
（F）瀏覽器執(zhí)行上一步獲得的腳本腌巾，提取出令牌。
（G）瀏覽器將令牌發(fā)給客戶端铲觉。
下面是上面這些步驟所需要的參數(shù)澈蝙。
A步驟中，客戶端發(fā)出的HTTP請求撵幽，包含以下參數(shù)：
response_type：表示授權(quán)類型灯荧，此處的值固定為"token"，必選項盐杂。
client_id：表示客戶端的ID逗载，必選項。
redirect_uri：表示重定向的URI链烈，可選項厉斟。
scope：表示權(quán)限范圍，可選項强衡。
state：表示客戶端的當前狀態(tài)擦秽，可以指定任意值，認證服務器會原封不動地返回這個值漩勤。
下面是一個例子号涯。

    GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
    Host: server.example.com

C步驟中，認證服務器回應客戶端的URI锯七，包含以下參數(shù)：
access_token：表示訪問令牌，必選項誉己。
token_type：表示令牌類型眉尸，該值大小寫不敏感，必選項。
expires_in：表示過期時間噪猾，單位為秒霉祸。如果省略該參數(shù)，必須其他方式設置過期時間袱蜡。
scope：表示權(quán)限范圍丝蹭，如果與客戶端申請的范圍一致，此項可省略坪蚁。
state：如果客戶端的請求中包含這個參數(shù)奔穿，認證服務器的回應也必須一模一樣包含這個參數(shù)。
下面是一個例子敏晤。

 HTTP/1.1 302 Found
     Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA
               &state=xyz&token_type=example&expires_in=3600

在上面的例子中贱田，認證服務器用HTTP頭信息的Location欄，指定瀏覽器重定向的網(wǎng)址嘴脾。注意男摧，在這個網(wǎng)址的Hash部分包含了令牌。
根據(jù)上面的D步驟译打，下一步瀏覽器會訪問Location指定的網(wǎng)址耗拓，但是Hash部分不會發(fā)送。接下來的E步驟奏司，服務提供商的資源服務器發(fā)送過來的代碼乔询，會提取出Hash中的令牌。

八结澄、密碼模式

密碼模式（Resource Owner Password Credentials Grant）中哥谷，用戶向客戶端提供自己的用戶名和密碼÷橄祝客戶端使用這些信息们妥，向"服務商提供商"索要授權(quán)。
在這種模式中勉吻，用戶必須把自己的密碼給客戶端监婶，但是客戶端不得儲存密碼。這通常用在用戶對客戶端高度信任的情況下齿桃，比如客戶端是操作系統(tǒng)的一部分惑惶，或者由一個著名公司出品。而認證服務器只有在其他授權(quán)模式無法執(zhí)行的情況下短纵，才能考慮使用這種模式带污。

1206.png

它的步驟如下：
（A）用戶向客戶端提供用戶名和密碼。
（B）客戶端將用戶名和密碼發(fā)給認證服務器香到，向后者請求令牌鱼冀。
（C）認證服務器確認無誤后报破，向客戶端提供訪問令牌。
B步驟中千绪，客戶端發(fā)出的HTTP請求充易，包含以下參數(shù)：
grant_type：表示授權(quán)類型，此處的值固定為"password"荸型，必選項盹靴。
username：表示用戶名，必選項瑞妇。
password：表示用戶的密碼稿静，必選項。
scope：表示權(quán)限范圍踪宠，可選項自赔。
下面是一個例子。

     POST /token HTTP/1.1
     Host: server.example.com
     Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
     Content-Type: application/x-www-form-urlencoded

     grant_type=password&username=johndoe&password=A3ddj3w

C步驟中柳琢，認證服務器向客戶端發(fā)送訪問令牌绍妨，下面是一個例子。

     HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

上面代碼中柬脸，各個參數(shù)的含義參見《授權(quán)碼模式》一節(jié)他去。
整個過程中，客戶端不得保存用戶的密碼倒堕。

九灾测、客戶端模式

客戶端模式（Client Credentials Grant）指客戶端以自己的名義，而不是以用戶的名義垦巴，向"服務提供商"進行認證媳搪。嚴格地說，客戶端模式并不屬于OAuth框架所要解決的問題骤宣。在這種模式中秦爆，用戶直接向客戶端注冊，客戶端以自己的名義要求"服務提供商"提供服務憔披，其實不存在授權(quán)問題等限。

1207.png

它的步驟如下：
（A）客戶端向認證服務器進行身份認證，并要求一個訪問令牌芬膝。
（B）認證服務器確認無誤后望门，向客戶端提供訪問令牌。
A步驟中锰霜，客戶端發(fā)出的HTTP請求筹误，包含以下參數(shù)：
granttype：表示授權(quán)類型，此處的值固定為"clientcredentials"癣缅，必選項厨剪。
scope：表示權(quán)限范圍勘畔，可選項。

     POST /token HTTP/1.1
     Host: server.example.com
     Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
     Content-Type: application/x-www-form-urlencoded

     grant_type=client_credentials

認證服務器必須以某種方式丽惶，驗證客戶端身份。
B步驟中爬立，認證服務器向客戶端發(fā)送訪問令牌钾唬，下面是一個例子。

HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "example_parameter":"example_value"
     }

上面代碼中侠驯，各個參數(shù)的含義參見《授權(quán)碼模式》一節(jié)抡秆。
十、更新令牌
如果用戶訪問的時候吟策，客戶端的"訪問令牌"已經(jīng)過期儒士，則需要使用"更新令牌"申請一個新的訪問令牌。
客戶端發(fā)出更新令牌的HTTP請求檩坚，包含以下參數(shù)：
granttype：表示使用的授權(quán)模式着撩，此處的值固定為"refreshtoken"，必選項匾委。
refresh_token：表示早前收到的更新令牌拖叙，必選項。
scope：表示申請的授權(quán)范圍赂乐，不可以超出上一次申請的范圍薯鳍，如果省略該參數(shù)，則表示與上一次一致挨措。
下面是一個例子挖滤。

     POST /token HTTP/1.1
     Host: server.example.com
     Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
     Content-Type: application/x-www-form-urlencoded

     grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA

本文轉(zhuǎn)自：阮一峰的網(wǎng)絡日志 http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html