OAuth2.0 详解

小新1号
526 阅读7分钟

一、什么是OAuth2.0

oAuth是一个关于授权的开放网络标准,用来授权第三方应用,获取用户的数据。其最终的目的是为了给第三方应用颁发一个有时效性的令牌access_token,第三方应用根据这个access_token就可以去获取用户的相关资源,如头像,昵称,email这些信息。现在大家用的基本是2.0的版本。

oAuth2.0的这个协议是从RFC 6749这篇文章当中提出来的

二、OAuth2.0流程

OAuth2协议定义了几个角色:

  • Resource Owner:资源拥有者,能够授予受保资源访问权限的主体,一般指用户
  • Resource Server:资源服务器,持有受保护资源的服务器。允许持有合法令牌的请求访问受保护的资源
  • Client:客户端,比如web网站、app等
  • Authorization Server:授权服务器,主要用来处理给客户端颁发令牌

image.png

  • A.客户端(Client)向资源所有者(Resource Owner)请求授权
  • B.资源所有者(Resource Owner)同意客户端(Client)授权请求后,客户端收到授权授予(Authorization Grant),该授权表示资源所有者的凭据。
  • C.客户端(Client)使用刚获取到的用户授权(Authorization Grant)请求认证服务器(Authorization Server)认证
  • D.认证服务器(Authorization Server)认证通过后,给客户端发送令牌(Access Token)
  • E.客户端携带令牌(Access Token)向资源服务器(Resource Server)申请获取受保护资源
  • F.资源服务器(Resource Server)确认令牌后,返回客户端受保护资源

三、授权方式

OAuth2.0中定义四种授权方式以应对不同的业务场景:

  • 授权码模式(authorization code): 流程最完整和严密的一种授权方式,服务器和客户端配合使用,主要是针对web服务器的情况采用

  • 简化模式(implicit):主要用于移动应用程序或纯前端的web应用程序,主要是针对没有web服务器的情况采用

  • 密码模式(resource owner password credentials):不推荐,用户需要向客户端提供自己的账号和密码,如果客户端是自家应用的话,也是可以的

  • 客户端模式(client credentials):客户端以自己的名义,而不是用户的名义,向“服务提供商”进行认证,如微信公众号以此access_token来拉取所有已关注用户的信息

不管哪种授权方式,第三方应用申请令牌前都必须先到系统备案说明自己的身份,然后会拿到两个身份识别码:客户端ID(client ID)和客户端密钥(client secret)。为了防止令牌被滥用,未备案过的第三方应用是不会拿到令牌的。

3.1 授权码模式

授权码模式指第三方应用先申请一个授权码,然后再用授权码换取令牌

这种方式是最常用的流程,安全性也最高。它适用于有后端的Web应用,授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这种前后分离的模式可以避免令牌泄露

Step 1

A网站提供一个链接,用户点击后跳转至B网站,授权用户数据给A网站使用。示意链接如下:

https://b.com/oauth/authorize?
  response_type=code&
  client_id=CLIENT_ID`&`
  redirect_uri=CALLBACK_URL&
  scope=read

上述URL中,

  • response_type:表示要求返回授权码(code)
  • client_id:表示客户端身份,B通过client_id可以知道是哪个客户端请求。
  • redirect_uri:表示请求后需要跳转的网址
  • scope:表示要求的授权范围

image.png

Step 2

用户跳转后,B网站会要求用户登录(扫码或密码等),然后询问是否同意给予A网站授权。用户同意后B网站会跳回redirect_uri参数指定的网址,跳转时会传回一个授权码(code)。如下:

https://a.com/callback?code=AUTHORIZATION_CODE

image.png

Step 3

A网站拿到授权码后可以在后端向B网站请求令牌

https://b.com/oauth/token?
 client_id=CLIENT_ID&
 client_secret=CLIENT_SECRET&
 grant_type=authorization_code&
 code=AUTHORIZATION_CODE&
 redirect_uri=CALLBACK_URL
  • client_id和client_secret:参数用来让B确认A身份
  • grant_type:值为AUTHORIZATION_CODE表示采用的授权方式是授权码
  • code:参数是上一步拿到的授权码
  • redir_uri:颁发令牌后需要跳转的回调地址

Step 4

B网站收到请求后颁发令牌,具体做法是向redirect_uri只当的网址,发送一段JSON数据

{    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  "uid":100101,
  "info":{...}
}

上述JSON数据中,access_token字段就是令牌,A网站在后端拿到了

image.png

3.2 简化式

有些 Web 应用是纯前端应用,没有后端。这时就不能用上面的方式了,必须将令牌储存在前端。RFC 6749 就规定了第二种方式,允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)"隐藏式"(implicit)。

第一步,A 网站提供一个链接,要求用户跳转到 B 网站,授权用户数据给 A 网站使用。


https://b.com/oauth/authorize?
  response_type=token&
  client_id=CLIENT_ID&
  redirect_uri=CALLBACK_URL&
  scope=read

上面 URL 中,response_type参数为token,表示要求直接返回令牌。

第二步,用户跳转到 B 网站,登录后同意给予 A 网站授权。这时,B 网站就会跳回redirect_uri参数指定的跳转网址,并且把令牌作为 URL 参数,传给 A 网站。


https://a.com/callback#token=ACCESS_TOKEN

上面 URL 中,token参数就是令牌,A 网站因此直接在前端拿到令牌。

注意,令牌的位置是 URL 锚点(fragment),而不是查询字符串(querystring),这是因为 OAuth 2.0 允许跳转网址是 HTTP 协议,因此存在"中间人攻击"的风险,而浏览器跳转时,锚点不会发到服务器,就减少了泄漏令牌的风险。

这种方式把令牌直接传给前端,是很不安全的。因此,只能用于一些安全要求不高的场景,并且令牌的有效期必须非常短,通常就是会话期间(session)有效,浏览器关掉,令牌就失效了。

3.3 密码式

如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)。

第一步,A 网站要求用户提供 B 网站的用户名和密码。拿到以后,A 就直接向 B 请求令牌。


https://oauth.b.com/token?
  grant_type=password&
  username=USERNAME&
  password=PASSWORD&
  client_id=CLIENT_ID

上面 URL 中,grant_type参数是授权方式,这里的password表示"密码式",usernamepassword是 B 的用户名和密码。

第二步,B 网站验证身份通过后,直接给出令牌。注意,这时不需要跳转,而是把令牌放在 JSON 数据里面,作为 HTTP 回应,A 因此拿到令牌。

这种方式需要用户给出自己的用户名/密码,显然风险很大,因此只适用于其他授权方式都无法采用的情况,而且必须是用户高度信任的应用。

3.4 凭证式

最后一种方式是凭证式(client credentials),适用于没有前端的命令行应用,即在命令行下请求令牌。

第一步,A 应用在命令行向 B 发出请求。


https://oauth.b.com/token?
  grant_type=client_credentials&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET

上面 URL 中,grant_type参数等于client_credentials表示采用凭证式,client_idclient_secret用来让 B 确认 A 的身份。

第二步,B 网站验证通过以后,直接返回令牌。

这种方式给出的令牌,是针对第三方应用的,而不是针对用户的,即有可能多个用户共享同一个令牌。

四、更新令牌

令牌的有效期到了,如果让用户重新走一遍上面的流程,再申请一个新的令牌,很可能体验不好,而且也没有必要。OAuth 2.0 允许用户自动更新令牌。

具体方法是,B 网站颁发令牌的时候,一次性颁发两个令牌,一个用于获取数据,另一个用于获取新的令牌(refresh token 字段)。令牌到期前,用户使用 refresh token 发一个请求,去更新令牌。


https://b.com/oauth/token?
  grant_type=refresh_token&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET&
  refresh_token=REFRESH_TOKEN

上面 URL 中,grant_type参数为refresh_token表示要求更新令牌,client_id参数和client_secret参数用于确认身份,refresh_token参数就是用于更新令牌的令牌。

B 网站验证通过以后,就会颁发新的令牌。

参考:

avatar
文章
阅读
粉丝