OAuth2.0 原理简介

写在前面：

    在正式介绍OAuth2.0以前咱们先来看一个场景：小李是一个文艺小青年， 常常喜欢出去旅游而且把本身旅行中的美景照片分享到各大社交网站上，好比朋友圈，新浪微博。小李立刻要向女友求婚了，他想把这三年来和本身女友出去旅游的照片打印出来作成照片墙，好在求婚的时候讲女朋友感动的一塌糊涂，而后你懂得...，那么问题来了，按照小李带女友一个月出去玩一次，每次分享30张照片，三年就是30 * 12 * 3 = 1080 张，小李如今想把这1080张照片所有打印出来他首先得找个提供打印照片服务的公司（美图快印），而后把须要打印的照片给到服务公司而后才能打印。怎么把这些照片给到美图快印呢，通常来讲有下面两种方式：

1.小李到本身的微博相册中吭哧吭哧下载他须要打印的全部照片，而后装到U盘里或者转储到网盘里，再给到美图快印（那但是1080张照片啊，纯手工操做，好累啊）

2.小李到美图快印告诉工做人员本身的帐户名和密码，并告诉他那些须要打印，那些不须要打印，而后小李还会担忧：本身和女朋友的亲密照被工做人员看到了怎么办（更可怕的是某一天本身会不会出如今某论坛上成为网红）？万一他记住了个人密码而后悄悄的登录上去把个人密码改了怎么办？。。。。

小李以为有点头疼了，有没有什么方法客户既不告诉工做人员本身的帐号和密码又可以方便快捷的把照片给到美图快印呢？

这就要说到咱们今天的正题了，用OAuth就能够轻松的解决此类特定范围的受权问题。

OAuth2.0简介：　　

    OAuth2.0 是一个开放的工业标准的受权协议，它容许用户受权让第三方应用直接访问用户在某一个服务中的特定资源，可是不提供给第三方帐号及密码信息。完整定义请移步官网：https://oauth.net/2/

OAuth2.0的基本概念

    在了解OAuth2.0以前咱们有必要先介绍一下下面几个基本的概念：

1. 资源全部者（Resource Owner）：一个可以访问受保护资源的实体。当资源全部者是一我的时，它被称为终端用户。（小李）

2. 资源服务器（Resource Server）：托管受保护资源的服务器，可以使用访问令牌接受和响应受保护的资源请求。（新浪微博）

3. 客户端（Client）：表明资源全部者和其受权的应用程序来保护资源请求。术语客户端并不意味着任何特定的实现特征（例如，应用程序是否在服务器、桌面或其余设备上执行）（美图快印）

4. 受权服务器（Authorization Server）：在成功验证资源全部者并得到受权以后，服务器向客户端发出访问令牌。（受权服务器是用来管理Resource Owner，Resource Server，Client的中间人）

Authorization Server和Resource Server可使独立的服务提供商，也能够是在一块儿的，好比上面例子中新浪微博既做受权服务器也用来存储用户的图片资源，OAuth2解决的问题是：经过Authorization Server能够提供一个访问的凭据（token）给client（美图快印的工做人员），使得client能够在不知道Resource Owner以及Resource Server的用户名和密码的状况下访问到Resource Owner受保护的资源，它是一个完美的中间人。　　

 OAuth2.0详解

一般 Resource server自己就提供Authorization server服务，它主要提供两类接口：

1. 受权服务接口：接受Client的受权请求，并引导用户到Resource server完成登录受权的过程。
2. 获取访问令牌的接口：使用受权接口提供的许可凭据来颁发Resource owner的访问令牌给Client，或由Client更新过时的访问令牌。

除此以外还须要提供一个第三方应用程序注册管理的服务。一般状况下会为注册完成的第三方应用程序分配两个成对出现的重要参数：

1. client_id：第三方应用程序的一个标识id，这个信息一般是公开的信息，用来区分哪个第三方应用程序。
2. client_secret：第三方应用程序的私钥信息，这个信息是私密的信息，不容许在OAuth2流程中传递的，用于安全方面的检测和加密。

Client在取得client_id和client_secret以后再向Authorization Server发起受权请求，并获取AccessToken，而后携带Token来访问和消费受保护的资源。美图快印要想直接获取小李新浪微博相册中的照片资源就须要先引导小李到新浪的登录界面，而后完成受权登录，而后再向受权服务器发起受权请求，而后获取到新浪微博办法给他的token，再携带者token才能访问到微博的相册。

下面咱们来看一下OAuth2.0的详细受权过程：

咱们能够看到在上述的受权过程当中最关键的部分是获取token的那一步，这也是OAuth2.0的核心。有了这个token咱们就能够访问到resource server上的资源，ABCD这几步都是为了获取这个token。

那么这个token到底包含了哪些信息呢？咱们来从头分析一下，咱们须要实现的是：让美图快印可以在不用小李用户名和密码的前提下访问到小李新浪微博帐户相册中的特定图片。

注意上面加粗的部分，要实现这样的需求咱们须要从token中解析出来下面3类信息：

1. 客户端标识，代表是谁在请求访问资源（美图快印）；
2. 用户标识，获得了谁的许可（小李）；
3. 客户端能访问资源全部者的哪些资源以及其相应的权限。

有了上面的这些信息，那么资源服务器（Resouce Server）就能够区分出来是哪一个第三方应用（Client）要访问哪一个用户（Resource Owner）的哪些资源（以及有没有权限）

在上面的流程中出现了受权许可（Authorization Grant）这个概念，那到底它是什么意思呢？

书面解释是：受权许但是一个表明资源全部者受权（访问受保护资源）的凭据，客户端用它来获取访问令牌。

这个解释比较抽象，那么咱们来翻译一下就是：受权许但是小李授予美图快印得到新浪微博相册的访问令牌的一个凭据。

那么咱们该如何得到这个凭据呐，OAuth2定义了四种许可类型：

1. Authorization Code：受权码；
2. Implicit：隐式许可；
3. Resource Owner Password Credentials：资源全部者密码凭据；
4. Client Credentials ：客户端凭据。

具体每一种许可类型到底怎么实现咱们将放到后面详细讨论，本文不作详细解释。

写到最后：

   总结：OAuth2.0是一套工业级的标准受权协议，能够很方便的解决第三方服务的受权而不须要资源全部者直接提供身份信息，它大大下降了咱们在实现认证和受权时的复杂度。目前基于OAuth2.0实现的框架有不少，基于.NET Core实现最好的是IdentityServer4

 在后续文章中咱们将一块儿探讨IdentityServer4在.NET Core中的使用，欢迎持续关注。

 若是你以为本文写得不错，麻烦给个赞呗~~~

参考资料：

https://oauth.net/2/