OAuth认证

OAuth简介

OAuth是在不提供用户名和密码的状况之下，受权第三方应用访问Web资源的安全协议。

OAuth容许用户提供一个令牌给第三方网站，一个令牌对应一个特定的第三方网站，同时该令牌只能在特定的时间内访问特定的资源。

好比在FB上想要导入MSN好友，在没有OAuth时，可能须要用户向FB提供MSN的用户名和密码。

OAuth解决了这个信任问题。它使得用户不须要向FB提供MSN的用户名和密码的状况下，能够受权MSN将用户的好友名单提供给FB。

OAuth中的角色：

服务商（Server）：用户使用服务的提供方，通常用来存消息、储照片、视频、联系人、文件等(好比Twitter、Sina等)。

用  户（Resource Owner）：服务商的用户

消费方（Client）：一般是网站，该网站想要访问用户存储在服务商那里的信息。

上面例子里面，Client是FB，Server是MSN，Resource Owner是用户。

另一个实例：

Jane在f.com上有两张照片，她想要将这两张照片分享到b.com,这个过程如何实现？

Jane在b.com上选择要分享的两张照片.

在b.com的后台会建立一个临时凭证，稍后Jane将持此凭证前往f.com.

而后页面跳转到f.com的OAuth页面，并要求Jane登陆。注意，这里是在f.com上登陆。

登陆成功后，f.com会询问Jane是否受权b.com访问Jane在f.com里面的私有照片。

若是Jane受权成功，f.com会将Jane带来的临时凭证标记为Jane已经受权，同时跳转回b.com，并带上临时凭证(Temporary Credentials)，凭此，b.com知道它能够去获取Jane的照片了。

 

对于b.com来讲，它首先经过Request Token去f.com来换取Access Token，而后就能够用Access Token访问资源了。Request Token只能用于获取用户的受权，Access Token才能用于访问用户的资源。

最终，Jane成功将照片从f.com分享到b.com上。

一个通用的流程：

一、用户访问Client网站，想对用户存放在Server的某些资源进行操做。

二、Client网站向服务商请求一个临时Token。

三、Server验证Client网站的身份后，授予一个临时Token。

四、Client网站得到临时令牌后，将用户导向至Server的受权页面请求用户受权，而后这个过程当中将临时Token和Client网站的返回地址发送给Server。

五、用户在Server的受权页面上输入本身的用户名和密码，受权Client网站访问所相应的资源。

六、受权成功后，Server将用户导向Client网站的返回地址。

七、Client网站根据临时Token从Server那里获取访问Token。

八、Server根据Token和用户的受权状况授予Client网站访问Token。

九、Client网站使用获取到的访问Token访问存放在Server的对应的用户资源。

流程图以下

：

 中小网站没有必要本身实现OAuth协议，可使用一些比较成熟的库。具体的库能够查看：http://oauth.net/2/

参考：《白帽子讲web安全》