MQTT 与auth

一.MQTT介绍

1.简介

MQTT（message queuing telemetry transport）是IBM开发的即时通信协议，是一种发布/订阅极其轻量级的消息传输协议，专门为网络受限设备、低宽带以及高延迟和不可靠的网络而设计的。因为以上轻量级的特色，是实现智能家居的首选传输协议，相比于XMPP，更加轻量级并且占用宽带低。

2.特色

a.因为采用发布/订阅的消息模式，能够提供一对多的消息发布
b.轻量级，网络开销小
c.对负载内容会有屏蔽的消息传输
d.有三种消息发布质量（Qos）：
qos=0：“至多一次”，这一级别会发生消息丢失或重复，消息发布依赖于TCP/IP网络
qos=1：“至少一次”，确保消息到达，但消息重复可能会发生
qos=2：“只有一次”，确保消息到达一次
e.通知机制，异常中断时会通知双方

3.原理

 

14523188625918865.png

MQTT协议有三种身份：发布者、代理、订阅者，发布者和订阅者都为客户端，代理为服务器，同时消息的发布者也能够是订阅者（为了节约内存和流量发布者和订阅者通常都会定义在一块儿）。
MQTT传输的消息分为主题（Topic，可理解为消息的类型，订阅者订阅后，就会收到该主题的消息内容（payload））和负载（payload，能够理解为消息的内容）两部分。

-----------------------------------------------

Auth是一个关于受权（authorization）的开放网络标准，在全世界获得普遍应用，目前的版本是2.0版。目前Auth2.0已经获得了普遍应用，好比微信登陆、微博、QQ等。

1、为何要使用OAuth
为了理解OAuth的适用场合，让我举一个假设的例子。
有一个"云冲印"的网站，能够将用户储存在Google的照片，冲印出来。用户为了使用该服务，必须让"云冲印"读取本身储存在Google上的照片。
问题是只有获得用户的受权，Google才会赞成"云冲印"读取这些照片。那么，"云冲印"怎样得到用户的受权呢？
传统方法是，用户将本身的Google用户名和密码，告诉"云冲印"，后者就能够读取用户的照片了。这样的作法有如下几个严重的缺点。
（1）"云冲印"为了后续的服务，会保存用户的密码，这样很不安全。
（2）Google不得不部署密码登陆，而咱们知道，单纯的密码登陆并不安全。
（3）"云冲印"拥有了获取用户储存在Google全部资料的权力，用户无法限制"云冲印"得到受权的范围和有效期。
（4）用户只有修改密码，才能收回赋予"云冲印"的权力。可是这样作，会使得其余全部得到用户受权的第三方应用程序所有失效。
（5）只要有一个第三方应用程序被破解，就会致使用户密码泄漏，以及全部被密码保护的数据泄漏。

OAuth就是为了解决上面这些问题而诞生的。

 

2、OAuth2.0受权流程
关于OAuth2.0协议的受权流程能够参考下面的流程图

 

其中Client指第三方应用，Resource Owner指用户，Authorization Server是咱们的受权服务器，Resource Server是API服务器。

解释一下上述流程：

（A）用户打开客户端之后，客户端要求用户给予受权。
（B）用户赞成给予客户端受权。
（C）客户端使用上一步得到的受权，向认证服务器申请令牌。
（D）认证服务器对客户端进行认证之后，确认无误，赞成发放令牌。
（E）客户端使用令牌，向资源服务器申请获取资源。
（F）资源服务器确认令牌无误，赞成向客户端开放资源。

3、受权模式
客户端必须获得用户的受权（authorization grant），才能得到令牌（access token）。OAuth 2.0定义了四种受权方式。
受权码模式（authorization code）
简化模式（implicit）
密码模式（resource owner password credentials）
客户端模式（client credentials）

4、受权码模式
受权码模式（authorization code）是功能最完整、流程最严密的受权模式。

 

它的步骤以下：
（A）用户访问客户端，后者将前者导向认证服务器。
（B）用户选择是否给予客户端受权。
（C）假设用户给予受权，认证服务器将用户导向客户端事先指定的"重定向URI"（redirection URI），同时附上一个受权码。
（D）客户端收到受权码，附上早先的"重定向URI"，向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的，对用户不可见。
（E）认证服务器核对了受权码和重定向URI，确认无误后，向客户端发送访问令牌（access token）和更新令牌（refresh token）。

下面是上面这些步骤所须要的参数。
A步骤中，客户端申请认证的URI，包含如下参数：
response_type：表示受权类型，必选项，此处的值固定为"code"
client_id：表示客户端的ID，必选项
redirect_uri：表示重定向URI，可选项
scope：表示申请的权限范围，可选项
state：表示客户端的当前状态，能够指定任意值，认证服务器会原封不动地返回这个值。

下面是一个例子。

[html] view plain copy
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz  
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1  
Host: server.example.com  
C步骤中，服务器回应客户端的URI，包含如下参数：
code：表示受权码，必选项。该码的有效期应该很短，一般设为10分钟，客户端只能使用该码一次，不然会被受权服务器拒绝。该码与客户端ID和重定向URI，是一一对应关系。
state：若是客户端的请求中包含这个参数，认证服务器的回应也必须如出一辙包含这个参数。
下面是一个例子。
[html] view plain copy
HTTP/1.1 302 Found  
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA  
          &state=xyz  
D步骤中，客户端向认证服务器申请令牌的HTTP请求，包含如下参数：
grant_type：表示使用的受权模式，必选项，此处的值固定为"authorization_code"。
code：表示上一步得到的受权码，必选项。
redirect_uri：表示重定向URI，必选项，且必须与A步骤中的该参数值保持一致。
client_id：表示客户端ID，必选项。
下面是一个例子。

[html] view plain copy
POST /token HTTP/1.1  
Host: server.example.com  
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW  
Content-Type: application/x-www-form-urlencoded  
  
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA  
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb  

E步骤中，认证服务器发送的HTTP回复，包含如下参数：
access_token：表示访问令牌，必选项。
token_type：表示令牌类型，该值大小写不敏感，必选项，能够是bearer类型或mac类型。
expires_in：表示过时时间，单位为秒。若是省略该参数，必须其余方式设置过时时间。
refresh_token：表示更新令牌，用来获取下一次的访问令牌，可选项。
scope：表示权限范围，若是与客户端申请的范围一致，此项可省略。

下面是一个例子。

[html] view plain copy
HTTP/1.1 200 OK  
    Content-Type: application/json;charset=UTF-8  
    Cache-Control: no-store  
    Pragma: no-cache  
  
    {  
      "access_token":"2YotnFZFEjr1zCsicMWpAA",  
      "token_type":"example",  
      "expires_in":3600,  
      "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",  
      "example_parameter":"example_value"  
    }  
Refresh Token 是 Access Grants 的一种，在获取 Access Token 时，认证服务器将返回相应的 Refresh Token，若是 Access Token 过时，就能够用 Refresh Token 去刷新。

通常针对移动应用时，在返回access_token时会返回refresh_token。refresh_token 也是有有效期的，当refresh_token失效的后，须要用户从新受权。

 

refresh_token失效后，可从新获取。
首选须要用户受权，获取code后获取refresh_token，包含参数：

client_id：表示客户端的ID，必填项

grant_type：固定值 ，填refresh_token ， 必填项

refresh_token：填写经过access_token获取到的refresh_token参数，必填项。