深刻浅出OAuth 2.0受权机制

前言

举个简单的例子。新浪微博是你的家，有时候你会想让一些人(第三方应用)去你的家里帮你办点事情，或者取点东西。你能够直接复制一把钥匙(用户名和密码)给他们，但这里存在几个问题：

1. 别人拿了钥匙后能够去你家里的全部房间。
2. 别人拿到你的钥匙后也许会不当心丢到，甚至故意送到它人手里。这样你都不知到谁有你家钥匙。
3. 过一段时间你也许会想要回本身的钥匙，但别人不还怎么办？

总结起来就是两个问题：其一，拿到钥匙的人权限太大，能够进入任一房间；其二，拿到钥匙的人可能对钥匙进行复制和更改。

OAuth是高级钥匙，能够理解为指纹识别，它主要解决了以上的缺陷：

1. 你能够配置不一样权限的钥匙。有些只能进大厅(读取你的微博流)。有些钥匙能够进储藏柜(读取你的相片)。
2. 钥匙上带着指纹验证程序(指纹 = appkey)，只有收到钥匙的人本身能使用钥匙。
3. 钥匙有必定的时效性，同时你也能够远程废除钥匙。

正文

OAuth是一个关于受权(authorization)的开放网络标准，在全世界获得普遍应用，目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程，作一个简明通俗的解释。

应用场景

为了理解OAuth的适用场景，举一个通俗易懂的例子。 有一个"云冲印"的网站，能够将用户储存在Google的照片，冲印出来。用户为了使用该服务，必须让"云冲印"读取本身储存在Google上的照片。

问题是只有获得用户的受权，Google才会赞成"云冲印"读取这些照片。那么，"云冲印"怎样得到用户的受权呢？ 传统方法是，用户将本身的Google用户名和密码，告诉"云冲印"，后者就能够读取用户的照片了。这样的作法有如下几个严重的缺点。

1. "云冲印"为了后续的服务，会保存用户的密码，这样很不安全。
2. Google不得不部署密码登陆，而咱们知道，单纯的密码登陆并不安全。
3. "云冲印"拥有了获取用户储存在Google全部资料的权利，用户无法限制"云冲印"得到受权的范围和有效期。
4. 用户只有修改密码，才能收回赋予"云冲印"的权力。可是这样作，会使得其余全部得到用户受权的第三方应用程序所有失效。
5. 只要有一个第三方应用程序被破解，就会致使用户密码泄漏，以及全部被密码保护的数据泄漏。
复制代码

OAuth就是为了解决上面这些问题而诞生的。

专业术语

在详细讲解OAuth 2.0以前，须要了解几个专用名词。它们对读懂后面的讲解，尤为是几张图，相当重要。

专业术语	中文含义	具体解释说明
Third-party application	第三方应用程序	本文中又称"客户端"(client)，即上一节例子中的"云冲印"
Resource Owner	资源全部者	本文中又称"用户"(user)。
HTTP service	HTTP服务提供商	本文中简称"服务提供商"，即上一节例子中的Google。
User Agent	用户代理	本文中就是指浏览器。
Authorization server	认证服务器	即服务提供商专门用来处理认证的服务器。
Resource server	资源服务器	即服务提供商存放用户生成的资源的服务器。它与认证服务器，能够是同一台服务器，也能够是不一样的服务器。

OAuth的思路

OAuth在"客户端"与"服务提供商"之间，设置了一个受权层(authorization layer)。"客户端"不能直接登陆"服务提供商"，只能登陆受权层，以此将用户与客户端区分开来。"客户端"登陆受权层所用的令牌(token)，与用户的密码不一样。用户能够在登陆的时候，指定受权层令牌的权限范围和有效期。 "客户端"登陆受权层之后，"服务提供商"根据令牌的权限范围和有效期，向"客户端"开放用户储存的资料。

具体流程

(A). 用户打开客户端之后，客户端要求用户给予受权。
(B). 用户赞成给予客户端受权。
(C). 客户端拿到上一步获取到的受权，向认证服务器申请令牌。
(D). 认证服务器对客户端进行认证之后，确认无误，统一发放令牌。
(E). 客户端使用令牌，向资源服务器申请获取用户的资源。
(F). 资源服务器确认令牌无误，赞成向客户端开放资源。
复制代码

不难看出来，上面六个步骤之中，步骤(B)是关键，即用户怎样才能给于客户端受权。有了这个受权之后，客户端就能够获取令牌，进而凭令牌获取资源。

几种受权模式

客户端必须获得了用户的受权。(authorization grant)，才能获取令牌(access token)。OAuth 2.0定义了四种受权方式。

• 受权码模式(authorization code)
• 简化模式(implicit)
• 密码模式(resource owner password credentials)
• 客户端模式(client credentials)

下面一一讲解客户端获取受权的四种模式。

(一). 受权码模式

受权码模式(authorization code)是功能最完整、流程最严密的受权模式。它的特色就是经过客户端的后台服务器，与"服务提供商"的认证服务器进行互动。

它的步骤以下：

(A). 用户访问客户端，后者将前者导向认证服务器。
(B). 用户选择是否给予客户端受权。
(C). 假设用户给予受权，认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI)，同时附上一个受权码。
(D). 客户端收到受权码，附上早先的"重定向URI"，向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的，对用户不可见。
(E). 认证服务器核对了受权码和重定向URI，确认无误后，向客户端发送访问令牌(access token)和更新令牌(refresh token)。
复制代码

对于每一个步骤具体所须要参数以下：

A步骤中，客户端申请认证的URI，包含如下参数：

参数	具体含义	是否必填
response_type	受权类型	必选项，此处的值固定为"code"
client_id	客户端的ID	必选项
redirect_uri	重定向URI	可选项
scope	申请的权限范围	可选项
state	客户端的当前状态，认证服务器会原封不动地返回这个值	可选项，能够指定任意值

下面是一个例子：

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com
复制代码

C步骤中，服务器回应客户端的URI，包含如下参数：

参数	具体含义	是否必填
code	受权码。该码的有效期应该很短，一般设为10分钟，客户端只能使用该码一次，不然会被受权服务器拒绝。该码与客户端ID和重定向URI，是一一对应关系	必选项
state	若是客户端的请求中包含这个参数，认证服务器的回应也必须如出一辙包含这个参数。	可选项

下面是一个例子：

HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

复制代码

D步骤中，客户端向认证服务器申请令牌的HTTP请求，包含如下参数：

参数	具体含义	是否必填
grant_type	受权模式	必选项，此处的值固定为"authorization_code"
code	上一步得到的受权码	必选项
redirect_uri	重定向URI	必选项，且必须与A步骤中的该参数值保持一致
client_id	客户端ID	必选项

下面是一个例子：

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
复制代码

E步骤中，认证服务器发送的HTTP回复，包含如下参数：

参数	具体含义	是否必填
access_token	访问令牌	必选项
token_type	牌类型，该值大小写不敏感	必选项，能够是bearer类型或mac类型
expires_in	过时时间，单位为秒。若是省略该参数，必须其余方式设置过时时间	可选项
refresh_token	更新令牌，用来获取下一次的访问令牌	可选项
scope	申请的权限范围	可选项

下面是一个例子：

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
  "access_token":"2YotnFZFEjr1zCsicMWpAA",
  "token_type":"bearer",
  "expires_in":3600,
  "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
  "example_parameter":"example_value"
}

复制代码

从上面代码能够看到，相关参数使用JSON格式发送(Content-Type: application/json)。此外，HTTP头信息中明确指定不得缓存。

(二). 简化模式

简化模式(implicit grant type)不经过第三方应用程序的服务器，直接在浏览器中向认证服务器申请令牌，跳过了"受权码"这个步骤，所以得名。全部步骤在浏览器中完成，令牌对访问者是可见的，且客户端不须要认证。

它的步骤以下：

(A). 客户端将用户导向认证服务器。
(B). 用户决定是否给于客户端受权。
(C). 假设用户给予受权，认证服务器将用户导向客户端指定的"重定向URI"，并在URI的Hash部分包含了访问令牌。
(D). 浏览器向资源服务器发出请求，其中不包括上一步收到的Hash值。
(E). 资源服务器返回一个网页，其中包含的代码能够获取Hash值中的令牌。
(F). 浏览器执行上一步得到的脚本，提取出令牌。
(G). 浏览器将令牌发给客户端。
复制代码

下面是上面这些步骤所须要的参数：

A步骤中，客户端发出的HTTP请求，包含如下参数：

参数	具体含义	是否必填
response_type	受权类型	必选项，此处的值固定为"token"
client_id	客户端的ID	必选项
redirect_uri	重定向URI	可选项
scope	申请的权限范围	可选项
state	客户端的当前状态，认证服务器会原封不动地返回这个值	可选项，能够指定任意值

下面是一个例子：

GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz
    &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com
复制代码

C步骤中，认证服务器回应客户端的URI，包含如下参数：

参数	具体含义	是否必填
access_token	访问令牌	必选项
token_type	牌类型，该值大小写不敏感	必选项
expires_in	过时时间，单位为秒。若是省略该参数，必须其余方式设置过时时间	可选项
scope	权限范围	若是与客户端申请的范围一致，此项可省略
state	若是客户端的请求中包含这个参数，认证服务器的回应也必须如出一辙包含这个参数	可选项

下面是一个例子：

HTTP/1.1 302 Found
Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA
          &state=xyz&token_type=example&expires_in=3600
复制代码

下面是一个例子：

HTTP/1.1 302 Found
Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA
          &state=xyz&token_type=bearer&expires_in=3600
复制代码

在上面的例子中，认证服务器用HTTP头信息的Location栏，指定浏览器重定向的网址。注意，在这个网址的Hash部分包含了令牌。 根据上面的D步骤，下一步浏览器会访问Location指定的网址，可是Hash部分不会发送。 接下来的E步骤，服务提供商的资源服务器发送过来的脚本代码，会提取出Hash中的令牌。

(三). 密码模式

密码模式(Resource Owner Password Credentials Grant)中，用户向客户端提供本身的用户名和密码。客户端使用这些信息，向"服务商提供商"索要受权。

在这种模式中，用户必须把本身的密码给客户端，可是客户端不得储存密码。这一般用在用户对客户端高度信任的状况下，好比客户端是操做系统的一部分，或者由一个著名公司出品。而认证服务器只有在其余受权模式没法执行的状况下，才能考虑使用这种模式。

它的步骤以下：

(A). 用户向客户端提供用户名和密码。
(B). 客户端将用户名和密码发给认证服务器，向后者请求令牌。
(C). 认证服务器确认无误后，向客户端提供访问令牌。
复制代码

B步骤中，客户端发出的HTTP请求，包含如下参数：

参数	具体含义	是否必填
grant_type	受权类型	必选项，此处的值固定为"password"
username	用户名	必选项
password	用户的密码	必选项
scope	申请的权限范围	可选项

下面是一个例子：

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=password&username=johndoe&password=A3ddj3w
复制代码

C步骤中，认证服务器向客户端发送访问令牌：

参数	具体含义	是否必填
access_token	访问令牌	必选项
token_type	牌类型，该值大小写不敏感	必选项
expires_in	过时时间，单位为秒。若是省略该参数，必须其余方式设置过时时间	可选项
scope	权限范围	若是与客户端申请的范围一致，此项可省略
example_parameter	若是客户端的请求中包含这个参数，认证服务器的回应也必须如出一辙包含这个参数	可选项

下面是一个例子：

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
  "access_token":"2YotnFZFEjr1zCsicMWpAA",
  "token_type":"example",
  "expires_in":3600,
  "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
  "example_parameter":"example_value"
}
复制代码

(四). 客户端模式

客户端模式(Client Credentials Grant)指客户端以本身的名义，而不是以用户的名义，向"服务提供商"进行认证。严格地说，客户端模式并不属于OAuth框架所要解决的问题。

在这种模式中，用户直接向客户端注册，客户端以本身的名义要求"服务提供商"提供服务，其实不存在受权问题。

它的步骤以下：

(A). 客户端向认证服务器进行身份认证，并要求一个访问令牌。
(B). 认证服务器确认无误后，向客户端提供访问令牌。
复制代码

A步骤中，客户端发出的HTTP请求，包含如下参数：

参数	具体含义	是否必填
grant_type	受权类型	必选项，此处的值固定为"clientcredentials"
scope	权限范围	可选项。

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials
复制代码

认证服务器必须以某种方式，验证客户端身份。

B步骤中，认证服务器向客户端发送访问令牌，下面是一个例子：

HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache

{
  "access_token":"2YotnFZFEjr1zCsicMWpAA",
  "token_type":"example",
  "expires_in":3600,
  "example_parameter":"example_value"
}
复制代码

总结

本文介绍了OAuth 2.0的一些基本概念，以及四种受权模式：受权码模式、简单模式、密码模式和客户端模式。o

---

欢迎关注技术公众号： 零壹技术栈

本账号将持续分享后端技术干货，包括虚拟机基础，多线程编程，高性能框架，异步、缓存和消息中间件，分布式和微服务，架构学习和进阶等学习资料和文章。## ##