认证授权(一)-OAuth2.0

一、OAuth2 定义

OAuth（开放授权）是一个开放标准，允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息，而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。

可以联想一下微信公众平台开发，在微信公众平台开发过程中当我们访问某个页面，页面可能弹出一个提示框应用需要获取我们的个人信息问是否允许，点确认其实就是授权第三方应用获取我们在微信公众平台的个人信息。这里微信网页授权就是使用的OAuth2.0。

二、OAuth2 角色

• resource owner（资源所有者）
• resource server（资源服务器）
• client（客户端）：代表资源所有者并且经过所有者授权去访问受保护的资源的应用程序
• authorization server（授权服务器）：在成功验证资源所有者并获得授权后向客户端发出访问令牌

三、OAuth2 授权模式

1.授权码模式

授权码模式是功能最完整、流程最严密的授权模式，它的特点是通过客户端的后台服务器，与“服务器提供”的认证服务器进行互动

它的步骤如下：

• （A）用户访问客户端，后者将前者导向认证服务器
• （B）用户选择是否给予客户端授权
• （C）假设用户给予授权，认证服务器将用户导向客户端事先指定的“重定向 URI”，同时附上一个授权码
• （D）客户端收到授权码，附上早先的“重定向 URI”向认证服务器申请令牌，这一步是在客户端的后台服务器上完成的，对用户不可见
• （E）认证服务器核对了授权码和重定向URI，确认无误后向客户端发送令牌和更新令牌

上述步骤中所需要的参数：

• A步骤中，客户端申请认证的 URI，包含以下参数：

  GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
  &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
  Host: server.example.com

  • repsone_type：授权类型，必选，此处固定值“code”
  • client_id：客户端的ID，必选
  • client_secret：客户端的密码，可选
  • redirect_uri：重定向URI，可选
  • scope：申请的权限范围，可选
  • state：客户端当前的状态，可以指定任意值，认证服务器会原封不动的返回这个值
• C步骤中，服务器回应客户端的URI，包含以下参数：

  HTTP/1.1 302 Found
  Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
  &state=xyz

  • code：表示授权码，必须按，该码有效期应该很短，通常10分钟，客户端只能使用一次，否则会被授权服务器拒绝，该码与客户端 ID 和 重定向 URI 是一一对应关系
  • state：如果客户端请求中包含着歌参数，认证服务器的回应也必须一模一样包含这个参数
• D步骤中，客户端向认证服务器申请令牌的HTTP请求，包含以下参数：

  POST /token HTTP/1.1
  Host: server.example.com
  Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
  Content-Type: application/x-www-form-urlencoded
  
  grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
  &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

  • grant_type：表示使用的授权模式，必选，此处固定值为“authorization_code”
  • code：表示上一步获得的授权吗，必选
  • redirect_uri：重定向URI，必选，与步骤 A 中保持一致
  • client_id：表示客户端ID，必选
• E步骤中，认证服务器发送的HTTP回复，包含以下参数：

  HTTP/1.1 200 OK
       Content-Type: application/json;charset=UTF-8
       Cache-Control: no-store
       Pragma: no-cache
  
       {
         "access_token":"2YotnFZFEjr1zCsicMWpAA",
         "token_type":"example",
         "expires_in":3600,
         "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
         "example_parameter":"example_value"
       }

  • access_token：表示令牌，必选
  • token_type：表示令牌类型，该值大小写不敏感，必选，可以是 bearer 类型或 mac 类型
  • expires_in：表示过期时间，单位为秒，若省略该参数，必须设置其它过期时间
  • refresh_token：表示更新令牌，用来获取下一次的访问令牌，可选
  • scope：表示权限范围

从上面代码可以看到，参数使用 JSON 格式发送（Content-Type: application/json），才外，HTTP头信息中明确指定不得缓存

2.简化模式

简化模式不通过第三方应用程序的服务器，直接在浏览器中向认证服务器申请令牌，跳过了“授权码”这个步骤

 

它的步骤如下：

• （A）客户端将用户导向认证服务器
• （B）用户决定是否给予客户端授权
• （C）假设用户给予授权，认证服务器将用户导向客户端指定的“重定向URI”，并在URI的Hash部分包含了访问令牌
• （D）浏览器向资源服务器发出请求，其中不包括上一步收到的Hash值
• （E）资源服务器返回一个网页，其中包含了代码可以获取Hash值中的令牌
• （F）浏览器执行上一步获得的脚本，取出令牌
• （G）浏览器将令牌发给客户端

上述步骤中所需要的参数：

• A步骤中，客户端发出HTTP请求，包含以下参数：

  GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz
  &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
  Host: server.example.com

  • response_type：表示授权类型，此处固定值为"token"，必选
  • client_id：表示客户端ID，必选
  • redirect_uri：表示重定向URI，可选
  • scope：表示权限范围，可选
  • state：表示客户端当前状态，可指定任意值，认证服务器会原封不动返回这个值
• C步骤中，认证服务器回应客户端的URI，包含以下参数：

  HTTP/1.1 302 Found
  Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA
  &state=xyz&token_type=example&expires_in=3600

  • access_token：表示访问令牌，必选
  • token_type：表示令牌类型，该值大小写不敏感，必选
  • expires_in：表示过期时间，单位为秒
  • scope：表示权限范围，如果与客户端申请的范围一致，可忽略
  • state：如果客户端请求中包含这个参数，认证服务器也要返回一模一样的参数

上面例子中，认证服务器用HTTP头信息的Location栏，指定浏览器重定向的网址，注意，这个网址的Hash部分包含了令牌

根据D步骤，下一步浏览器会访问Location指定的网址，但是Hash部分不会被发送，接下来的E步骤，服务提供商的资源服务器发送过来的代码，提取出Hash令牌

3.密码模式

密码模式中，用户向客户端提供自己的用户名和密码，客户端使用这些信息向“服务提供商”索要授权

在这种模式中，用户必须把密码给客户端，但客户端不得存储密码，这通常在用户对客户端高端信任的情况下，比如客户端是操作系统的一部分，由一个著名的公司出品，而认证服务器只有在其它授权模式无法执行的情况下，才考虑该模式

 

它的步骤如下：

• （A）用户向客户端提供用户名和密码
• （B）客户端将用户名密码发送认证给服务器，向后者请求令牌
• （C）认证服务器确认无误后，向客户端提供访问令牌

上述步骤中所需要的参数：

• B步骤中，客户端发出HTTP请求，包含以下参数：

  POST /token HTTP/1.1
   Host: server.example.com
   Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
   Content-Type: application/x-www-form-urlencoded
  
   grant_type=password&username=johndoe&password=A3ddj3w

  • grant_type：授权类型，必选，此处固定值“password”
  • username：表示用户名，必选
  • password：表示用户密码，必选
  • scope：权限范围，可选
• C步骤中，认证服务器向客户端发送访问令牌，下面是一个例子：

  HTTP/1.1 200 OK
   Content-Type: application/json;charset=UTF-8
   Cache-Control: no-store
   Pragma: no-cache
  
   {
     "access_token":"2YotnFZFEjr1zCsicMWpAA",
     "token_type":"example",
     "expires_in":3600,
     "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
     "example_parameter":"example_value"
   }

4.客户端模式

客户端模式指客户端以自己名义，而不是用户名义，向“服务提供商”进行认证，严格地说，客户端模式不属于OAuth框架要解决的问题，在这种模式中，用户直接向客户端注册，客户端以自己名义要求“服务提供商”提供服务

 

它的步骤如下：
-（A）:客户端向认证服务器进行身份认证，并要求一个访问令牌
-（B）:认证服务器确认无误后，向客户端提供访问令牌

上述步骤中所需要的参数：

• A步骤中，客户端发出HTTP请求，包含以下参数：

  POST /token HTTP/1.1
   Host: server.example.com
   Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
   Content-Type: application/x-www-form-urlencoded
   grant_type=client_credentials

  • granttype：表示授权类型，此处固定值为“clientcredentials”，必选
  • scope：表示权限范围，可选

• B步骤中，认证服务器向客户端发送访问令牌，下面是一个例子

  HTTP/1.1 200 OK
   Content-Type: application/json;charset=UTF-8
   Cache-Control: no-store
   Pragma: no-cache
  
   {
     "access_token":"2YotnFZFEjr1zCsicMWpAA",
     "token_type":"example",
     "expires_in":3600,
     "example_parameter":"example_value"
   }

更新令牌

如果用户访问的时候，客户端“访问令牌”已经过期，则需要使用“更新令牌”申请一个新的令牌

客户端发出更新令牌请求，包含以下参数：

• granttype：表示授权模式，此处固定值为“refreshtoken”，必选
• refresh_token：表示早前收到的更新令牌，必选
• scope：表示申请权限范围，不得超出上一次申请的范围，若省略该参数，则表示与上一次一样

POST /token HTTP/1.1
 Host: server.example.com
 Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
 Content-Type: application/x-www-form-urlencoded
 grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA