轉(zhuǎn)載鏈接:理解OAuth 2.0
OAuth是一個(gè)關(guān)于授權(quán)(authorization)的開放網(wǎng)絡(luò)標(biāo)準(zhǔn)产弹,在全世界得到廣泛應(yīng)用注服,目前的版本是2.0版舆驶。本文對(duì)OAuth 2.0的設(shè)計(jì)思路和運(yùn)行流程拓轻,做一個(gè)簡(jiǎn)明通俗的解釋瞬铸,主要參考材料為RFC?6794批幌。
一:應(yīng)用場(chǎng)景
為了理解OAuth的適用場(chǎng)合,讓我舉一個(gè)假設(shè)的例子嗓节。
有一個(gè)"云沖印"的網(wǎng)站荧缘,可以將用戶儲(chǔ)存在Google的照片,沖印出來(lái)拦宣。用戶為了使用該服務(wù)胜宇,必須讓"云沖印"讀取自己儲(chǔ)存在Google上的照片耀怜。
問(wèn)題是只有得到用戶的授權(quán),Google才會(huì)同意"云沖印"讀取這些照片桐愉。那么财破,"云沖印"怎樣獲得用戶的授權(quán)呢?
傳統(tǒng)方法是从诲,用戶將自己的Google用戶名和密碼左痢,告訴"云沖印",后者就可以讀取用戶的照片了系洛。這樣的做法有以下幾個(gè)嚴(yán)重的缺點(diǎn)俊性。
(1)"云沖印"為了后續(xù)的服務(wù),會(huì)保存用戶的密碼描扯,這樣很不安全定页。
(2)Google不得不部署密碼登錄,而我們知道绽诚,單純的密碼登錄并不安全典徊。
(3)"云沖印"擁有了獲取用戶儲(chǔ)存在Google所有資料的權(quán)力,用戶沒(méi)法限制"云沖印"獲得授權(quán)的范圍和有效期恩够。
(4)用戶只有修改密碼卒落,才能收回賦予"云沖印"的權(quán)力。但是這樣做蜂桶,會(huì)使得其他所有獲得用戶授權(quán)的第三方應(yīng)用程序全部失效儡毕。
(5)只要有一個(gè)第三方應(yīng)用程序被破解,就會(huì)導(dǎo)致用戶密碼泄漏扑媚,以及所有被密碼保護(hù)的數(shù)據(jù)泄漏腰湾。
OAuth就是為了解決上面這些問(wèn)題而誕生的。
二:名詞定義
在詳細(xì)講解OAuth 2.0之前疆股,需要了解幾個(gè)專用名詞檐盟。它們對(duì)讀懂后面的講解,尤其是幾張圖押桃,至關(guān)重要。
(1)Third-party application:第三方應(yīng)用程序导犹,本文中又稱"客戶端"(client)唱凯,即上一節(jié)例子中的"云沖印"。
(2)HTTP service:HTTP服務(wù)提供商谎痢,本文中簡(jiǎn)稱"服務(wù)提供商"磕昼,即上一節(jié)例子中的Google。
(3)Resource Owner:資源所有者节猿,本文中又稱"用戶"(user)票从。
(4)User Agent:用戶代理漫雕,本文中就是指瀏覽器。
(5)Authorization server:認(rèn)證服務(wù)器峰鄙,即服務(wù)提供商專門用來(lái)處理認(rèn)證的服務(wù)器浸间。
(6)Resource server:資源服務(wù)器,即服務(wù)提供商存放用戶生成的資源的服務(wù)器吟榴。它與認(rèn)證服務(wù)器魁蒜,可以是同一臺(tái)服務(wù)器,也可以是不同的服務(wù)器吩翻。
知道了上面這些名詞兜看,就不難理解,OAuth的作用就是讓"客戶端"安全可控地獲取"用戶"的授權(quán)狭瞎,與"服務(wù)商提供商"進(jìn)行互動(dòng)细移。
三、OAuth的思路
OAuth在"客戶端"與"服務(wù)提供商"之間熊锭,設(shè)置了一個(gè)授權(quán)層(authorization layer)弧轧。"客戶端"不能直接登錄"服務(wù)提供商",只能登錄授權(quán)層球涛,以此將用戶與客戶端區(qū)分開來(lái)劣针。"客戶端"登錄授權(quán)層所用的令牌(token),與用戶的密碼不同亿扁。用戶可以在登錄的時(shí)候捺典,指定授權(quán)層令牌的權(quán)限范圍和有效期。"客戶端"登錄授權(quán)層以后从祝,"服務(wù)提供商"根據(jù)令牌的權(quán)限范圍和有效期襟己,向"客戶端"開放用戶儲(chǔ)存的資料。
四:運(yùn)行流程:
(A)用戶打開客戶端以后牍陌,客戶端要求用戶給予授權(quán)擎浴。
(B)用戶同意給予客戶端授權(quán)。
(C)客戶端使用上一步獲得的授權(quán)毒涧,向認(rèn)證服務(wù)器申請(qǐng)令牌贮预。
(D)認(rèn)證服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證以后,確認(rèn)無(wú)誤契讲,同意發(fā)放令牌仿吞。
(E)客戶端使用令牌,向資源服務(wù)器申請(qǐng)獲取資源捡偏。
(F)資源服務(wù)器確認(rèn)令牌無(wú)誤唤冈,同意向客戶端開放資源。
不難看出來(lái)银伟,上面六個(gè)步驟之中你虹,B是關(guān)鍵绘搞,即用戶怎樣才能給于客戶端授權(quán)。有了這個(gè)授權(quán)以后傅物,客戶端就可以獲取令牌夯辖,進(jìn)而憑令牌獲取資源。
五:授權(quán)模式
客戶端必須得到用戶的授權(quán)(authorization grant)挟伙,才能獲得令牌(access token)楼雹。OAuth 2.0定義了四種授權(quán)方式。
授權(quán)碼模式(authorization code)
簡(jiǎn)化模式(implicit)
密碼模式(resource owner password credentials)
客戶端模式(client credentials)
