DuerOS的開發(fā)平臺(tái)在創(chuàng)建產(chǎn)品時(shí),有一步需要進(jìn)行OAuth設(shè)置(http://open.duer.baidu.com/doc/overall/console-guide_markdown)笤妙,
很多同學(xué)到這個(gè)步驟估計(jì)會(huì)很困惑冒掌,OAuth是什么噪裕?這里設(shè)置的URL有是什么呢?那我們這篇文章就好好講一講OAuth到底是什么股毫?在DuerOS的接入過程中又是怎么使用的膳音。
什么是OAuth
其實(shí)OAuth在我們?nèi)粘V惺欠浅3R姷模赡苣銢]有專門的關(guān)注過功能背后的實(shí)現(xiàn)原理铃诬。這里有一篇阮一峰老師專門介紹OAuth的文章《理解OAuth 2.0》(http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html)祭陷,這是我目前為止見得對(duì)OAuth講解最淺顯又是最全面的一篇(ps 阮一峰老師的文章質(zhì)量都很高呀)。
DuerOS是如何使用OAuth的
OAuth有4中授權(quán)模式趣席,
而DuerOS使用的便是其中功能最完整兵志、流程最嚴(yán)密的授權(quán)碼模式。下面我們通過Python版本的DuerOS客戶端來分析下DuerOS對(duì)OAuth的使用宣肚。
認(rèn)證流程組成單元
授權(quán)碼模式的認(rèn)證流程如下所示想罕,
主要涉及到4個(gè)基本單元:
- A-用戶客戶端
- B-用戶端瀏覽器(完成URI重定向)
- C-用戶客戶端對(duì)應(yīng)的后臺(tái)服務(wù)器
- D-認(rèn)證服務(wù)器
針對(duì)于DuerOS Python客戶端,A霉涨、B按价、C、D分別對(duì)應(yīng):
- A-auth.sh(app/auth.py)
- B-系統(tǒng)瀏覽器
- C-app/auth.py中創(chuàng)建的Tornado WebServer
- D-百度的認(rèn)證服務(wù)器
OAuth認(rèn)證流程
下面我們結(jié)合代碼笙瑟,一步一步的解析OAuth的整個(gè)過程
1.用戶客戶端(A)對(duì)應(yīng)的后臺(tái)服務(wù)器(C)創(chuàng)建
運(yùn)行楼镐,
# ./auth.sh
Python客戶端會(huì)創(chuàng)建一個(gè)本地的Tornado WebServer,
這個(gè)Tornado WebServer只是為了調(diào)試方便被部署在本地往枷,實(shí)際項(xiàng)目應(yīng)用中會(huì)作為獨(dú)立的Web服務(wù)框产,部署在云端的。
2. 客戶端(A)吊起本地瀏覽器(B)訪問客戶端對(duì)應(yīng)的后臺(tái)服務(wù)器(C)
好像有些繞(汗师溅。茅信。。)
其中墓臭,URL(http://127.0.0.1:3000)就是客戶端對(duì)應(yīng)的后臺(tái)服務(wù)器(C)的地址蘸鲸。
3. 客戶端對(duì)應(yīng)的后臺(tái)服務(wù)器(C)通過重定向的方式讓客戶端瀏覽器(B)對(duì)百度認(rèn)證服務(wù)器(D)發(fā)送認(rèn)證請(qǐng)求
哎,好像更繞了(再汗窿锉。酌摇。。)
4. 百度認(rèn)證服務(wù)器(D)向客戶端瀏覽器(B)返回用戶登錄頁面
前面的步驟嗡载,用戶客戶端(A)窑多、用戶客戶端對(duì)應(yīng)的后臺(tái)服務(wù)器(C)、百度認(rèn)證服務(wù)器(D)洼滚,三者之間的通信都需要客戶端瀏覽器(B)進(jìn)行重定向做請(qǐng)求轉(zhuǎn)發(fā)埂息。這樣的過程是不是感覺很困惑呢?為啥非要通過瀏覽器(B)來做重定向請(qǐng)求轉(zhuǎn)發(fā)呢?為啥不直接進(jìn)行Http請(qǐng)求呢千康?
現(xiàn)在看到這個(gè)頁面應(yīng)該有答案了吧:需要由瀏覽器(B)來展示來自百度認(rèn)證服務(wù)器(D)的認(rèn)證頁面享幽,并完成用戶身份認(rèn)證的交互。
5. 百度認(rèn)證服務(wù)器(D)將授權(quán)碼通過客戶端瀏覽器(B)轉(zhuǎn)發(fā)給客戶端對(duì)應(yīng)的后臺(tái)服務(wù)器(C)
用戶在第4步中輸入賬號(hào)拾弃、密碼后值桩,點(diǎn)擊登錄并授權(quán)。百度的認(rèn)證服務(wù)器(D)會(huì)收到用戶登錄請(qǐng)求豪椿,然后將授權(quán)碼通過客戶端瀏覽器(B)重定向的方式發(fā)送給客戶端對(duì)應(yīng)的后臺(tái)服務(wù)器(C)奔坟。
6. 客戶端后臺(tái)服務(wù)器(C)通過授權(quán)碼向百度認(rèn)證服務(wù)器(D)請(qǐng)求Token
客戶端后臺(tái)服務(wù)器(C)通過上一步獲得的授權(quán)碼向百度認(rèn)證服務(wù)器(D)請(qǐng)求授權(quán),并獲取Token搭盾,
7. 用戶客戶端(A)從客戶端的后臺(tái)服務(wù)器(C)中獲取Token
由于Python DuerOS客戶端中的后臺(tái)服務(wù)器(Tornado WebServer)就在本地咳秉,所以,Token可以直接獲得鸯隅,
8. token使用
千辛萬苦通過OAuth流程獲取的Token其實(shí)在DuerOS的后續(xù)請(qǐng)求中只是一個(gè)字段而已滴某,
