Oauth2.0及五种授权协议

思达帕克
1,878 阅读5分钟

基本概念:

  1. Third-party application:第三方应用程序(client)。
  2. HTTP service:HTTP服务提供商。
  3. Resource Owner:资源所有者-"用户"(user)。
  4. User Agent:用户代理-浏览器。
  5. Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。
  6. Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。

Oauth2.0运行流程

  • 流程说明: (A)用户打开客户端以后,客户端要求用户给予授权。
    (B)用户同意给予客户端授权。
    (C)客户端使用上一步获得的授权,向认证服务器申请令牌。
    (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。
    (E)客户端使用令牌,向资源服务器申请获取资源。
    (F)资源服务器确认令牌无误,同意向客户端开放资源。

客户端获取授权的五种模式

OAuth 2.0定义了五种授权方式:

  1. 授权码模式(authorization code)
  2. 简化模式(implicit)
  3. 密码模式(resource owner password credentials)
  4. 客户端模式(client credentials)
  5. 扩展模式(Extension)
授权码模式

  • 流程说明: (A)用户访问客户端,后者将前者导向认证服务器。
    (B)用户选择是否给予客户端授权。
    (C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
    (D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
    (E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)
  • 请求参数
    • response_type:表示授权类型,必选项,此处的值固定为"code"
    • client_id:表示客户端的ID,必选项
    • redirect_uri:表示重定向URI,可选项
    • scope:表示申请的权限范围,可选项
    • state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。
  • A步骤示例:
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
  • C步骤示例:
    • code:表示授权码,必选项。该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。
https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz
  • D步骤示例:
    • 客户端向认证服务器申请令牌的HTTP请求,包含以下参数:
      1. grant_type:表示使用的授权模式,必选项,此处的值固定为"authorization_code"。
      2. code:表示上一步获得的授权码,必选项。
      3. redirect_uri:表示重定向URI,必选项,且必须与A步骤中的该参数值保持一致。
      4. client_id:表示客户端ID,必选项。
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
  • E步骤示例:
    • 认证服务器发送的HTTP回复,包含以下参数:
      1. access_token:表示访问令牌,必选项
      2. token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型
      3. expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间
      4. refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项
      5. scope:表示权限范围,如果与客户端申请的范围一致,此项可省略
     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }
简化模式

简化模式不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了"授权码"这个步骤,所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。

密码模式

密码模式(Resource Owner Password Credentials Grant)中,用户向客户端提供自己的用户名和密码。客户端使用这些信息,向"服务商提供商"索要授权。在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,比如客户端是操作系统的一部分,或者由一个著名公司出品。而认证服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式。

  • 流程说明: (A)用户向客户端提供用户名和密码。
    (B)客户端将用户名和密码发给认证服务器,向后者请求令牌。
    (C)认证服务器确认无误后,向客户端提供访问令牌。
  • B步骤示例:
    • 客户端发出的HTTP请求,包含以下参数:
      1. grant_type:表示授权类型,此处的值固定为"password",必选项。
      2. username:表示用户名,必选项。
      3. password:表示用户的密码,必选项。
      4. scope:表示权限范围,可选项。
新增一种自定义授权模式
  • 定义一个新的TokenGranter继承AbstractTokenGranter
  • 将新建的TokenGranter添加到CompositeTokenGranter
  • 在申请令牌的时候然后通过判断 grantType 参数来定位具体使用那个 TokenGranter 实现类来处理授权
  • 关于授权登录逻辑
    • 每种授权方式都会有一个对应的AuthenticationProvider实现类来实现。
    • 所有AuthenticationProvider实现类都通过ProviderManager中的providers集合存起来。
    • TokenGranter类会new一个AuthenticationToken实现类,如UsernamePasswordAuthenticationToken传给 ProviderManager类
    • 而ProviderManager则通过AuthenticationToken来判断具体使用那个AuthenticationProvider实现类来处理授权
    • 具体的登录逻辑由AuthenticationProvider实现类来实现,如DaoAuthenticationProvider
  • Spring Security如何优雅的增加OAuth2协议授权模式
avatar
文章
阅读
粉丝