一口气说出 OAuth2.0 的四种受权方式

1、OAuth2.0 为什么物

OAuth 简单理解就是一种受权机制，它是在客户端和资源全部者之间的受权层，用来分离两种不一样的角色。在资源全部者赞成并向客户端颁发令牌后，客户端携带令牌能够访问资源全部者的资源。

OAuth2.0 是OAuth 协议的一个版本，有2.0版本那就有1.0版本，有意思的是OAuth2.0 却不向下兼容OAuth1.0 ，至关于废弃了1.0版本。

举个小栗子解释一下什么是 OAuth 受权？

在家肝文章饿了定了一个外卖，外卖小哥30秒火速到达了我家楼下，奈何有门禁进不来，能够输入密码进入，但出于安全的考虑我并不想告诉他密码。

此时外卖小哥看到门禁有一个高级按钮“一键获取受权”，只要我这边赞成，他会获取到一个有效期 2小时的令牌（token）正常出入。

令牌（token）和 密码 的做用虽然类似均可以进入系统，但还有点不一样。token 拥有权限范围，有时效性的，到期自动失效，并且无效修改。

2、OAuth2.0 受权方式

OAuth2.0 的受权简单理解其实就是获取令牌（token）的过程，OAuth 协议定义了四种得到令牌的受权方式（authorization grant ）以下：

• 受权码（authorization-code）
• 隐藏式（implicit）
• 密码式（password）：
• 客户端凭证（client credentials）

但值得注意的是，无论咱们使用哪种受权方式，在三方应用申请令牌以前，都必须在系统中去申请身份惟一标识：客户端 ID（client ID）和 客户端密钥（client secret）。这样作能够保证 token 不被恶意使用。

下面咱们会分析每种受权方式的原理，在进入正题前，先了解 OAuth2.0 受权过程当中几个重要的参数：

• response_type：code 表示要求返回受权码，token 表示直接返回令牌
• client_id：客户端身份标识
• client_secret：客户端密钥
• redirect_uri：重定向地址
• scope：表示受权的范围，read只读权限，all读写权限
• grant_type：表示受权的方式，AUTHORIZATION_CODE（受权码）、password（密码）、client_credentials（凭证式）、refresh_token 更新令牌
• state：应用程序传递的一个随机数，用来防止CSRF***。

一、受权码

OAuth2.0四种受权中受权码方式是最为复杂，但也是安全系数最高的，比较经常使用的一种方式。这种方式适用于兼具先后端的Web项目，由于有些项目只有后端或只有前端，并不适用受权码模式。

下图咱们以用WX登陆掘金为例，详细看一下受权码方式的总体流程。

用户选择WX登陆掘金，掘金会向WX发起受权请求，接下来 WX询问用户是否赞成受权（常见的弹窗受权）。response_type 为 code 要求返回受权码，scope 参数表示本次受权范围为只读权限，redirect_uri 重定向地址。

https://wx.com/oauth/authorize?
  response_type=code&
  client_id=CLIENT_ID&
  redirect_uri=http://juejin.im/callback&
  scope=read

用户赞成受权后，WX 根据 redirect_uri重定向并带上受权码。

http://juejin.im/callback?code=AUTHORIZATION_CODE

当掘金拿到受权码（code）时，带受权码和密匙等参数向WX申请令牌。grant_type表示本次受权为受权码方式 authorization_code ，获取令牌要带上客户端密匙 client_secret，和上一步获得的受权码 code。

https://wx.com/oauth/token?
 client_id=CLIENT_ID&
 client_secret=CLIENT_SECRET&
 grant_type=authorization_code&
 code=AUTHORIZATION_CODE&
 redirect_uri=http://juejin.im/callback

最后 WX 收到请求后向 redirect_uri 地址发送 JSON 数据，其中的access_token 就是令牌。

{    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  ......
}

二、隐藏式

上边提到有一些Web应用是没有后端的， 属于纯前端应用，没法用上边的受权码模式。令牌的申请与存储都须要在前端完成，跳过了受权码这一步。

前端应用直接获取 token，response_type 设置为 token，要求直接返回令牌，跳过受权码，WX受权经过后重定向到指定 redirect_uri 。

https://wx.com/oauth/authorize?
  response_type=token&
  client_id=CLIENT_ID&
  redirect_uri=http://juejin.im/callback&
  scope=read

三、密码式

密码模式比较好理解，用户在掘金直接输入本身的WX用户名和密码，掘金拿着信息直接去WX申请令牌，请求响应的 JSON结果中返回 token。grant_type 为 password 表示密码式受权。

https://wx.com/token?
  grant_type=password&
  username=USERNAME&
  password=PASSWORD&
  client_id=CLIENT_ID

这种受权方式缺点是显而易见的，很是的危险，若是采起此方式受权，该应用必定是能够高度信任的。

四、凭证式

凭证式和密码式很类似，主要适用于那些没有前端的命令行应用，能够用最简单的方式获取令牌，在请求响应的 JSON 结果中返回 token。

grant_type 为 client_credentials 表示凭证式受权，client_id 和 client_secret 用来识别身份。

https://wx.com/token?
  grant_type=client_credentials&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET

3、令牌的使用与更新

一、令牌怎么用？

拿到令牌能够调用 WX API 请求数据了，那令牌该怎么用呢？

每一个到达WX的请求都必须带上 token，将 token 放在 http 请求头部的一个Authorization字段里。

若是使用postman 模拟请求，要在Authorization -> Bearer Token 放入 token，注意：低版本postman 没有这个选项。

二、令牌过时怎么办？

token是有时效性的，一旦过时就须要从新获取，可是重走一遍受权流程，不只麻烦并且用户体验也很差，那如何让更新令牌变得优雅一点呢？

通常在颁发令牌时会一次发两个令牌，一个令牌用来请求API，另外一个负责更新令牌 refresh_token。grant_type 为 refresh_token 请求为更新令牌，参数 refresh_token 是用于更新令牌的令牌。

https://wx.com/oauth/token?
  grant_type=refresh_token&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET&
  refresh_token=REFRESH_TOKEN

总结

OAuth2.0 受权其实并非很难，只不过受权流程稍显麻烦，逻辑有些绕，OAuth2.0它是面试常常会被问到的知识点，仍是应该多了解一下。下一篇实战 OAuth2.0四种受权，敬请期待，欢迎关注哦~

---

原创不易，燃烧秀发输出内容，若是有一丢丢收获，点个赞鼓励一下吧！

整理了几百本各种技术电子书，送给小伙伴们。关注公号回复【666】自行领取。和一些小伙伴们建了一个技术交流群，一块儿探讨技术、分享技术资料，旨在共同窗习进步，若是感兴趣就加入咱们吧！