OAuth2.0介紹

概述

OAuth 2.0 授權(quán)框架能夠是第三方應(yīng)用獲取應(yīng)用被保護(hù)的服務(wù)資源，它是一種授權(quán)互聯(lián)網(wǎng)標(biāo)準(zhǔn)，由IETF（Internet Engineering Task Force）管理發(fā)布。
本文主要參考材料為 RFC 6749

初步理解

接下來(lái)以一個(gè)生活中的例子來(lái)簡(jiǎn)單解釋OAuth3的應(yīng)用場(chǎng)景。
我家所在的小區(qū)門禁系統(tǒng)升級(jí)，用戶可以下載物業(yè)的手機(jī)APP，注冊(cè)用戶并通過(guò)物業(yè)審核之后，就可以使用APP中的“藍(lán)牙開(kāi)門”功能開(kāi)啟大門。

有一次，朋友給我打電話說(shuō)要到我家拜訪，通過(guò)訪客邀請(qǐng)功能填寫基本的信息，然后發(fā)送一個(gè)微信小程序鏈接給朋友

朋友點(diǎn)開(kāi)小程序，點(diǎn)擊一鍵開(kāi)門就可以進(jìn)入小區(qū)，當(dāng)天有效并且限制使用8次

整個(gè)過(guò)程就相當(dāng)于一次授權(quán)：
小區(qū)可以理解成被保護(hù)的資源，我本人擁有APP的用戶和密碼，登陸后可以使用一鍵開(kāi)門進(jìn)入小區(qū)。
朋友打電話給我申請(qǐng)授權(quán)，我通過(guò)APP發(fā)放一個(gè)憑證（微信小程序），朋友可以在憑證有效期內(nèi)進(jìn)入小區(qū)。
授權(quán)機(jī)制可以方便的允許第三方（朋友）訪問(wèn)被保護(hù)的資源（小區(qū)），同時(shí)不需要提供用戶密碼。

OAuth3.0標(biāo)準(zhǔn)

OAuth3.0中的角色

• resource owner: 資源擁有者，可以對(duì)資源進(jìn)行訪問(wèn)授權(quán)，通常是指應(yīng)用的終端用戶
• resource server：資源服務(wù)器，包含被保護(hù)的資源，可以接受攜帶訪問(wèn)憑證的請(qǐng)求
• client：客戶端，即第三方應(yīng)用，會(huì)代表resource owner請(qǐng)求訪問(wèn)resource server的資源
• authorization server：認(rèn)證服務(wù)器，為客戶端頒發(fā)訪問(wèn)憑證
• user-agent：用戶代理，通常就是指Web瀏覽器

OAuth3.0的流程

（A） 客戶端（Client）向資源擁有者（Resource Owner）申請(qǐng)授權(quán)，資源擁有者（Resource Owner）可以直接授權(quán)，但最好是通過(guò)Autherization進(jìn)行授權(quán)
（B）客戶端（Client）獲得授權(quán)的允許憑據(jù)(Authorization Grant)，在OAuth3.0中該憑據(jù)的獲取有四種類型，授權(quán)碼、隱藏式、用戶密碼和客戶端憑證
（C）客戶端（Client）使用授權(quán)憑據(jù)向授權(quán)服務(wù)器（Authorization Server）申請(qǐng)?jiān)L問(wèn)憑證(Access Token)
（D）認(rèn)證服務(wù)器（Authorization Server）驗(yàn)證申請(qǐng)憑據(jù)（Authorization Grant），驗(yàn)證通過(guò)后頒發(fā)訪問(wèn)憑證(Access Token)
（E）客戶端（Client）使用訪問(wèn)憑證(Access Token)訪問(wèn)資源服務(wù)器（Resource Server）
（F）資源服務(wù)器（Resource Server）驗(yàn)證訪問(wèn)憑證(Access Token)，驗(yàn)證通過(guò)后對(duì)客戶端（Client）請(qǐng)求進(jìn)行處理并返回結(jié)果

刷新憑證（Refresh Token）

刷新憑證（Refresh Token）是由認(rèn)證服務(wù)器（Authorization Server）頒發(fā)給客戶端（Client），用于在當(dāng)前憑證失效或者過(guò)期時(shí)，重新獲取一個(gè)新的訪問(wèn)憑證（Access Token）。但頒發(fā)刷新憑證（Refresh Token）對(duì)于認(rèn)證服務(wù)器（Authorization Server）是可選擇的功能，如果支持，刷新憑證（Refresh Token）會(huì)與訪問(wèn)憑證（Access Token）一同頒發(fā)

（A）客戶端（Client）使用授權(quán)憑據(jù)（Authorization Grant）請(qǐng)求訪問(wèn)憑證（Access Tonken）
（B）認(rèn)證服務(wù)器（Authorization Server）驗(yàn)證憑據(jù)通過(guò)后，頒發(fā)訪問(wèn)憑證（Access Token）和刷新憑證（Refresh Token）
（C）客戶端（Client）使用訪問(wèn)憑證（Access Token）訪問(wèn)資源服務(wù)器（Resource Server）
（D）資源服務(wù)器（Resource Server）驗(yàn)證訪問(wèn)憑證（Access Token），驗(yàn)證通過(guò)對(duì)請(qǐng)求進(jìn)行處理
（E）步驟(C)、(D)會(huì)不斷重復(fù)，直到訪問(wèn)憑證（Access Token）過(guò)期，此時(shí)流程會(huì)跳轉(zhuǎn)至(G)
（F）由于憑證過(guò)期，資源服務(wù)器會(huì)返回憑證過(guò)期的錯(cuò)誤
（G）客戶端（Client）使用刷新憑證（Refresh Token）請(qǐng)求新的訪問(wèn)憑證（Access Token）
（H）認(rèn)證服務(wù)器驗(yàn)證刷新憑證，驗(yàn)證通過(guò)，辦法新的訪問(wèn)憑證和刷新憑證

客戶端的授權(quán)類型

授權(quán)碼模式

流程

（A）客戶端（Client）使瀏覽器（User-Agent）跳轉(zhuǎn)至認(rèn)證服務(wù)器（Authorization Server）的認(rèn)證接口,請(qǐng)求信息包含客戶端標(biāo)識(shí)、請(qǐng)求范圍、跳轉(zhuǎn)URI（跳轉(zhuǎn)至客戶端，用來(lái)提取授權(quán)碼）
（B）認(rèn)證服務(wù)器（Authorization Server）驗(yàn)證資源所有者（Resource Owner），通常就是用戶填寫用戶名密碼并確認(rèn)是否授權(quán)
（C）認(rèn)證服務(wù)器（Authorization Server)如果驗(yàn)證通過(guò)，則會(huì)返回給瀏覽器（User-Agent)步驟(A)中發(fā)送的跳轉(zhuǎn)URI，跳轉(zhuǎn)至客戶端（Client），跳轉(zhuǎn)URI中同時(shí)會(huì)攜帶授權(quán)碼（Authorization Code）
（D）客戶端（Client）使用授權(quán)碼（Authorization Server)向認(rèn)證服務(wù)器（Authorization Server)請(qǐng)求訪問(wèn)憑證（Access Token），同時(shí)還會(huì)攜帶跳轉(zhuǎn)URI用于客戶端提取訪問(wèn)憑證（Access Token）
（E）認(rèn)證服務(wù)器（Authorization Server)驗(yàn)證授權(quán)碼（Authorization Server)，驗(yàn)證通過(guò)后頒發(fā)訪問(wèn)憑證（Access Token）

授權(quán)碼請(qǐng)求（Authorization Request）

請(qǐng)求包含以下參數(shù)：

• response_type：表示授權(quán)類型，必選項(xiàng)，此處的值固定為”code”
• client_id：表示客戶端的ID，必選項(xiàng)
• redirect_uri：表示重定向URI，可選項(xiàng)
• scope：表示申請(qǐng)的權(quán)限范圍，可選項(xiàng)
• state：表示客戶端的當(dāng)前狀態(tài)，可以指定任意值，認(rèn)證服務(wù)器會(huì)原封不動(dòng)地返回這個(gè)值。

  GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
  Host: server.example.com
  

授權(quán)碼響應(yīng)（Authorization Response）

響應(yīng)包含以下參數(shù)：

• code：表示授權(quán)碼，必選項(xiàng)。該碼的有效期應(yīng)該很短，通常設(shè)為10分鐘，客戶端只能使用該碼一次，否則會(huì)被授權(quán)服務(wù)器拒絕。該碼與客戶端ID和重定向URI，是一一對(duì)應(yīng)關(guān)系。
• state：如果客戶端的請(qǐng)求中包含這個(gè)參數(shù)，認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個(gè)參數(shù)。

  HTTP/1.1 302 Found
  Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
          &state=xyz
  

訪問(wèn)憑證請(qǐng)求（Access Token Request）

• grant_type：表示使用的授權(quán)模式，必選項(xiàng)，此處的值固定為”authorization_code”。
• code：表示上一步獲得的授權(quán)碼，必選項(xiàng)。
• redirect_uri：表示重定向URI，必選項(xiàng)，且必須與A步驟中的該參數(shù)值保持一致。
• client_id：表示客戶端ID，必選項(xiàng)。

  POST /token HTTP/1.1
  Host: server.example.com
  Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
  Content-Type: application/x-www-form-urlencoded
  grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
  &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
  

訪問(wèn)憑證響應(yīng)（Access Token Response）

• access_token：表示訪問(wèn)令牌，必選項(xiàng)。
• token_type：表示令牌類型，該值大小寫不敏感，必選項(xiàng)，可以是bearer類型或mac類型。
• expires_in：表示過(guò)期時(shí)間，單位為秒。如果省略該參數(shù)，必須其他方式設(shè)置過(guò)期時(shí)間。
• refresh_token：表示更新令牌，用來(lái)獲取下一次的訪問(wèn)令牌，可選項(xiàng)。
• scope：表示權(quán)限范圍，如果與客戶端申請(qǐng)的范圍一致，此項(xiàng)可省略。

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
"example_parameter":"example_value"
}

隱藏模式

流程

（A）客戶端（Client）通過(guò)瀏覽器（User-Agent）跳轉(zhuǎn)至認(rèn)證服務(wù)器（Authorization），請(qǐng)求中包含客戶端標(biāo)識(shí)和跳轉(zhuǎn)URI
（B）用戶（Resource Owner）填寫用戶密碼，認(rèn)證服務(wù)器（Authorization）對(duì)其進(jìn)行認(rèn)證
（C）認(rèn)證服務(wù)器（Authorization）認(rèn)證通過(guò)后，返回之前傳入的跳轉(zhuǎn)URI至瀏覽器，跳轉(zhuǎn)URI中以錨點(diǎn)(#)的方式包含訪問(wèn)憑證（Access Token）
（D）瀏覽器（User-Agent）跳轉(zhuǎn)至URI指向的客戶端的Web服務(wù)器，瀏覽器（User-Agent）保留錨點(diǎn)之后的信息
（E）客戶端Web服務(wù)器返回一個(gè)web頁(yè)面（其中包含嵌入的腳本），web頁(yè)面能夠提取錨點(diǎn)中的信息，并發(fā)送完整的URI至客戶端
（F）瀏覽器（User-Agent）執(zhí)行Web頁(yè)面中的腳本
（G）瀏覽器（User-Agent）發(fā)送訪問(wèn)憑證（Access Token）至客戶端（Client）

Authorization Request

參數(shù)包括：

• response_type：表示授權(quán)類型，此處的值固定為”token”，必選項(xiàng)。
• client_id：表示客戶端的ID，必選項(xiàng)。
• redirect_uri：表示重定向的URI，可選項(xiàng)。
• scope：表示權(quán)限范圍，可選項(xiàng)。
• state：表示客戶端的當(dāng)前狀態(tài)，可以指定任意值，認(rèn)證服務(wù)器會(huì)原封不動(dòng)地返回這個(gè)值。

GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

Access Token Response

參數(shù)包括：

• access_token：表示訪問(wèn)令牌，必選項(xiàng)。
• token_type：表示令牌類型，該值大小寫不敏感，必選項(xiàng)。
• expires_in：表示過(guò)期時(shí)間，單位為秒。如果省略該參數(shù)，必須其他方式設(shè)置過(guò)期時(shí)間。
• scope：表示權(quán)限范圍，如果與客戶端申請(qǐng)的范圍一致，此項(xiàng)可省略。
• state：如果客戶端的請(qǐng)求中包含這個(gè)參數(shù)，認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個(gè)參數(shù)。

HTTP/1.1 302 Found
Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA
&state=xyz&token_type=example&expires_in=3600

用戶密碼模式

流程

（A）資源所有者（Resource Owner）提供給客戶端（Client）用戶名和密碼
（B）客戶端（Client）使用用戶名/密碼，向認(rèn)證服務(wù)器（Authorization Server)請(qǐng)求訪問(wèn)憑證（Access Token）
（C）證服務(wù)器（Authorization Server)驗(yàn)證用戶名/密碼，驗(yàn)證通過(guò)后頒發(fā)訪問(wèn)憑證（Access Token）

訪問(wèn)憑證請(qǐng)求 Access Token Request

參數(shù)包括：

• grant_type：表示授權(quán)類型，此處的值固定為”password”，必選項(xiàng)。
• username：表示用戶名，必選項(xiàng)。
• password：表示用戶的密碼，必選項(xiàng)。
• scope：表示權(quán)限范圍，可選項(xiàng)。

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=password&username=johndoe&password=A3ddj3w

訪問(wèn)憑證響應(yīng) Access Token Response

HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache
     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

客戶端憑證模式

流程

（A）客戶端（Client）向認(rèn)證服務(wù)器（Authorization Server)請(qǐng)求訪問(wèn)憑證(Access Token）
（B）認(rèn)證服務(wù)器（Authorization Server)驗(yàn)證客戶端（Client），如果驗(yàn)證通過(guò)則頒發(fā)訪問(wèn)憑證(Access Token）

Access Token Request

參數(shù)：

• grant_type：表示授權(quán)類型，此處的值固定為”client_credentials”，必選項(xiàng)。
• scope：表示權(quán)限范圍，可選項(xiàng)。

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=client_credentials

Access Token Response

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{
"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"example_parameter":"example_value"
}