OAuth快速入门

1、概述

An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications.

OAuth是Open Authorization（开放受权）的缩写，容许用户受权给第三方应用访问服务提供商所提供的用户资源，而且保证受权是安全的。

官网地址

2、概念

四种角色：

• Resource owner：资源全部者，也叫用户
• Resource server：资源服务器，服务提供商用来存储资源，以及处理对资源的请求的服务器
• Client：客户端，也叫第三方应用，经过获取用户的受权，继而访问用户在资源服务器上的资源
• Authorization server：认证服务器，服务提供商用来处理认证的服务器，物理上与资源服务器能够是同一台服务器

两种实体：

• HTTP service：服务提供商
• User Agent：用户代理，一般指浏览器

3、工做原理

(A) 用户打开客户端，客户端请求用户受权

(B) 用户赞成受权给客户端

(C) 客户端使用获取的受权，向认证服务器请求令牌

(D) 认证服务器对客户端进行认证，并验证受权，确认有效后发放令牌给客户端

(E) 客户端使用令牌，向资源服务器请求资源

(F) 资源服务器验证令牌，确认有效后处理请求

4、受权类型

客户端必须获取用户的受权，才可以获取令牌。OAuth定义了四种获取受权的方式：

一、受权码模式（Authorization Code）

是功能最齐全、流程最严谨，也是最经常使用的受权模式。

(A) 用户经过用户代理访问客户端，客户端将其重定向到认证服务器

• response_type：表示受权类型，必选项，此种模式固定为“code”
• client_id：表示客户端ID，必选项
• redirect_uri：表示重定向URI，可选项
• scope：表示申请的权限范围，可选项
• state：表示客户端当前状态，可选项

实例：

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
    &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

(B) 用户选择是否受权给客户端

(C) 若是用户受权，认证服务器将用户重定向到客户端事先指定的URI，并附加一个受权码

• code：表示受权码，必选项，客户端只能使用一次，与客户端ID和重定向URI一一对应
• state：表示客户端的状态

实例：

HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
    &state=xyz

(D) 客户端使用受权码和重定向URI，向认证服务器申请令牌

• grant_type：表示受权类型，必选项，此种模式固定为“authorization_code”
• code：表示受权码，必选项
• redirect_uri：表示重定向URI，必选项
• client_id：表示客户端ID，必选项

实例：

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
    &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

(E) 认证服务器验证受权码和URI，确认无误后，向客户端发放令牌

• access_token：表示访问令牌，必选项
• token_type：表示令牌类型，必选项，能够是bearer或mac类型
• expires_in：表示过时时间，单位为秒。若是省略，则其余方式必须设置
• refresh_token：表示刷新令牌，可选项，用来获取下一次的访问令牌
• scope：表示权限范围，若是与客户端申请的范围一致，可省略

实例：

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
  "access_token":"2YotnFZFEjr1zCsicMWpAA",
  "token_type":"example",
  "expires_in":3600,
  "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
  "example_parameter":"example_value"
}

二、简化模式（Implicit）

不经过第三方应用的服务器，直接在浏览器中进行，不须要使用受权码。

(A) 用户经过用户代理访问客户端，客户端将其重定向到认证服务器

• response_type：表示受权类型，必选项，此种模式固定为“token”
• client_id：表示客户端ID，必选项
• redirect_uri：表示重定向URI，可选项
• scope：表示申请的权限范围，可选项
• state：表示客户端当前状态，可选项

实例：

GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz
    &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

(B) 用户选择是否受权给客户端

(C) 若是用户受权，认证服务器将用户重定向到客户端事先指定的URI，并在URI的Hash部分包含访问令牌

• access_token：表示访问令牌，必选项
• token_type：表示令牌类型，必选项
• expires_in：表示过时时间，单位为秒。若是省略，则其余方式必须设置
• scope：表示申请的权限范围，可选项
• state：表示客户端的状态

实例：

HTTP/1.1 302 Found
Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA
    &state=xyz&token_type=example&expires_in=3600

(D) 浏览器向资源服务器发送请求，但不包含Hash值

(E) 资源服务器返回一个网页，包含获取Hash值中令牌的代码

(F) 浏览器执行脚本，获取令牌

(G) 浏览器将令牌发送给客户端

三、密码凭证模式（Resource Owner Password Credentials）

用户必须向客户端提供用户名和密码，存在较大的风险。一般只有在认证服务器没法经过其余方式进行受权时，才会考虑使用此种模式。

(A) 用户向客户端提供用户名和密码凭证

(B) 客户端将用户名和密码凭证发送给认证服务器，并请求令牌

• grant_type：表示受权类型，必选项，此种模式固定为“password”
• username：表示用户名，必选项
• password：表示密码，必选项
• scope：表示权限范围，可选项

实例：

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=password&username=johndoe&password=A3ddj3w

(C) 认证服务器确认无误后，向客户端发放令牌

四、客户端凭证模式（Client Credentials）

由客户端直接向服务提供商进行认证，其实并不存在受权问题。

(A) 客户端向认证服务器提供身份凭证，并请求令牌

• grant_type：表示受权类型，必选项，此种模式固定为“client_credentials”
• scope：表示权限范围，可选项

实例：

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials

(B) 认证服务器确认无误后，向客户端发放令牌

五、刷新令牌

若是用户访问的时候，客户端所获取的访问令牌已通过期，则须要使用刷新令牌从新申请新的访问令牌。

客户端发送的HTTP请求，包括如下参数：

• grant_type：表示受权类型，必选项，此种模式固定为“refresh_token”
• refresh_token：表示以前收到的刷新令牌，必选项
• scope：表示权限范围，不可以超出上次申请的范围。若是省略，则表示与上次申请的权限范围一致

实例：

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA

---

参考文章：

阮一峰：理解OAuth 2.0

帮你深刻理解OAuth2.0协议