理解OAuth 2.0
應用(use),目前的(of)版本是(yes)2.0版。
本文對OAuth 2.0的(of)設計思路和(and)運行流程,做一(one)個(indivual)簡明通俗的(of)解釋,主要(want)參考材料爲(for)RFC 6749。
更新:我(I)後來(Come)又寫了(Got it)一(one)組三篇的(of) 《OAuth 2.0 教程》,更加通俗,并帶有代碼實例,歡迎閱讀。
一(one)、應用(use)場景
爲(for)了(Got it)理解OAuth的(of)适用(use)場合,讓我(I)舉一(one)個(indivual)假設的(of)例子。
有一(one)個(indivual)"雲沖印"的(of)網站,可以(by)将用(use)戶儲存在(exist)Google的(of)照片,沖印出(out)來(Come)。用(use)戶爲(for)了(Got it)使用(use)該服務,必須讓"雲沖印"讀取自己儲存在(exist)Google上(superior)的(of)照片。
問題是(yes)隻有得到(arrive)用(use)戶的(of)授權,Google才會同意"雲沖印"讀取這(this)些照片。那麽,"雲沖印"怎樣獲得用(use)戶的(of)授權呢?
傳統方法是(yes),用(use)戶将自己的(of)Google用(use)戶名和(and)密碼,告訴"雲沖印",後者就可以(by)讀取用(use)戶的(of)照片了(Got it)。這(this)樣的(of)做法有以(by)下幾個(indivual)嚴重的(of)缺點。
(1)"雲沖印"爲(for)了(Got it)後續的(of)服務,會保存用(use)戶的(of)密碼,這(this)樣很不(No)安全。
(2)Google不(No)得不(No)部署密碼登錄,而我(I)們(them)知道,單純的(of)密碼登錄并不(No)安全。
(3)"雲沖印"擁有了(Got it)獲取用(use)戶儲存在(exist)Google所有資料的(of)權力,用(use)戶沒法限制"雲沖印"獲得授權的(of)範圍和(and)有效期。
(4)用(use)戶隻有修改密碼,才能收回賦予"雲沖印"的(of)權力。但是(yes)這(this)樣做,會使得其他(he)所有獲得用(use)戶授權的(of)第三方應用(use)程序全部失效。
(5)隻要(want)有一(one)個(indivual)第三方應用(use)程序被破解,就會導緻用(use)戶密碼洩漏,以(by)及所有被密碼保護的(of)數據洩漏。
OAuth就是(yes)爲(for)了(Got it)解決上(superior)面這(this)些問題而誕生(born)的(of)。
二、名詞定義
在(exist)詳細講解OAuth 2.0之前,需要(want)了(Got it)解幾個(indivual)專用(use)名詞。它們(them)對讀懂後面的(of)講解,尤其是(yes)幾張圖,至關重要(want)。
(1) Third-party application:第三方應用(use)程序,本文中又稱"客戶端"(client),即上(superior)一(one)節例子中的(of)"雲沖印"。
(2)HTTP service:HTTP服務提供商,本文中簡稱"服務提供商",即上(superior)一(one)節例子中的(of)Google。
(3)Resource Owner:資源所有者,本文中又稱"用(use)戶"(user)。
(4)User Agent:用(use)戶代理,本文中就是(yes)指浏覽器。
(5)Authorization server:認證服務器,即服務提供商專門用(use)來(Come)處理認證的(of)服務器。
(6)Resource server:資源服務器,即服務提供商存放用(use)戶生(born)成的(of)資源的(of)服務器。它與認證服務器,可以(by)是(yes)同一(one)台服務器,也可以(by)是(yes)不(No)同的(of)服務器。
知道了(Got it)上(superior)面這(this)些名詞,就不(No)難理解,OAuth的(of)作(do)用(use)就是(yes)讓"客戶端"安全可控地(land)獲取"用(use)戶"的(of)授權,與"服務商提供商"進行互動。
三、OAuth的(of)思路
OAuth在(exist)"客戶端"與"服務提供商"之間,設置了(Got it)一(one)個(indivual)授權層(authorization layer)。"客戶端"不(No)能直接登錄"服務提供商",隻能登錄授權層,以(by)此将用(use)戶與客戶端區分開來(Come)。"客戶端"登錄授權層所用(use)的(of)令牌(token),與用(use)戶的(of)密碼不(No)同。用(use)戶可以(by)在(exist)登錄的(of)時(hour)候,指定授權層令牌的(of)權限範圍和(and)有效期。
"客戶端"登錄授權層以(by)後,"服務提供商"根據令牌的(of)權限範圍和(and)有效期,向"客戶端"開放用(use)戶儲存的(of)資料。
四、運行流程
OAuth 2.0的(of)運行流程如下圖,摘自RFC 6749。
(A)用(use)戶打開客戶端以(by)後,客戶端要(want)求用(use)戶給予授權。
(B)用(use)戶同意給予客戶端授權。
(C)客戶端使用(use)上(superior)一(one)步獲得的(of)授權,向認證服務器申請令牌。
(D)認證服務器對客戶端進行認證以(by)後,确認無誤,同意發放令牌。
(E)客戶端使用(use)令牌,向資源服務器申請獲取資源。
(F)資源服務器确認令牌無誤,同意向客戶端開放資源。
不(No)難看出(out)來(Come),上(superior)面六個(indivual)步驟之中,B是(yes)關鍵,即用(use)戶怎樣才能給于(At)客戶端授權。有了(Got it)這(this)個(indivual)授權以(by)後,客戶端就可以(by)獲取令牌,進而憑令牌獲取資源。
下面一(one)一(one)講解客戶端獲取授權的(of)四種模式。
五、客戶端的(of)授權模式
客戶端必須得到(arrive)用(use)戶的(of)授權(authorization grant),才能獲得令牌(access token)。OAuth 2.0定義了(Got it)四種授權方式。
- 授權碼模式(authorization code)
- 簡化模式(implicit)
- 密碼模式(resource owner password credentials)
- 客戶端模式(client credentials)
六、授權碼模式
授權碼模式(authorization code)是(yes)功能最完整、流程最嚴密的(of)授權模式。它的(of)特點就是(yes)通過客戶端的(of)後台服務器,與"服務提供商"的(of)認證服務器進行互動。
它的(of)步驟如下:
(A)用(use)戶訪問客戶端,後者将前者導向認證服務器。
(B)用(use)戶選擇是(yes)否給予客戶端授權。
(C)假設用(use)戶給予授權,認證服務器将用(use)戶導向客戶端事先指定的(of)"重定向URI"(redirection URI),同時(hour)附上(superior)一(one)個(indivual)授權碼。
(D)客戶端收到(arrive)授權碼,附上(superior)早先的(of)"重定向URI",向認證服務器申請令牌。這(this)一(one)步是(yes)在(exist)客戶端的(of)後台的(of)服務器上(superior)完成的(of),對用(use)戶不(No)可見。
(E)認證服務器核對了(Got it)授權碼和(and)重定向URI,确認無誤後,向客戶端發送訪問令牌(access token)和(and)更新令牌(refresh token)。
下面是(yes)上(superior)面這(this)些步驟所需要(want)的(of)參數。
A步驟中,客戶端申請認證的(of)URI,包含以(by)下參數:
- response_type:表示授權類型,必選項,此處的(of)值固定爲(for)"code"
- client_id:表示客戶端的(of)ID,必選項
- redirect_uri:表示重定向URI,可選項
- scope:表示申請的(of)權限範圍,可選項
- state:表示客戶端的(of)當前狀态,可以(by)指定任意值,認證服務器會原封不(No)動地(land)返回這(this)個(indivual)值。
下面是(yes)一(one)個(indivual)例子。
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1 Host: server.example.com
C步驟中,服務器回應客戶端的(of)URI,包含以(by)下參數:
- code:表示授權碼,必選項。該碼的(of)有效期應該很短,通常設爲(for)10分鍾,客戶端隻能使用(use)該碼一(one)次,否則會被授權服務器拒絕。該碼與客戶端ID和(and)重定向URI,是(yes)一(one)一(one)對應關系。
- state:如果客戶端的(of)請求中包含這(this)個(indivual)參數,認證服務器的(of)回應也必須一(one)模一(one)樣包含這(this)個(indivual)參數。
下面是(yes)一(one)個(indivual)例子。
HTTP/1.1 302 Found Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA &state=xyz
D步驟中,客戶端向認證服務器申請令牌的(of)HTTP請求,包含以(by)下參數:
- grant_type:表示使用(use)的(of)授權模式,必選項,此處的(of)值固定爲(for)"authorization_code"。
- code:表示上(superior)一(one)步獲得的(of)授權碼,必選項。
- redirect_uri:表示重定向URI,必選項,且必須與A步驟中的(of)該參數值保持一(one)緻。
- client_id:表示客戶端ID,必選項。
下面是(yes)一(one)個(indivual)例子。
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
E步驟中,認證服務器發送的(of)HTTP回複,包含以(by)下參數:
- access_token:表示訪問令牌,必選項。
- token_type:表示令牌類型,該值大(big)小寫不(No)敏感,必選項,可以(by)是(yes)bearer類型或mac類型。
- expires_in:表示過期時(hour)間,單位爲(for)秒。如果省略該參數,必須其他(he)方式設置過期時(hour)間。
- refresh_token:表示更新令牌,用(use)來(Come)獲取下一(one)次的(of)訪問令牌,可選項。
- scope:表示權限範圍,如果與客戶端申請的(of)範圍一(one)緻,此項可省略。
下面是(yes)一(one)個(indivual)例子。
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" }
從上(superior)面代碼可以(by)看到(arrive),相關參數使用(use)JSON格式發送(Content-Type: application/json)。此外,HTTP頭信息中明确指定不(No)得緩存。
七、簡化模式
簡化模式(implicit grant type)不(No)通過第三方應用(use)程序的(of)服務器,直接在(exist)浏覽器中向認證服務器申請令牌,跳過了(Got it)"授權碼"這(this)個(indivual)步驟,因此得名。所有步驟在(exist)浏覽器中完成,令牌對訪問者是(yes)可見的(of),且客戶端不(No)需要(want)認證。
它的(of)步驟如下:
(A)客戶端将用(use)戶導向認證服務器。
(B)用(use)戶決定是(yes)否給于(At)客戶端授權。
(C)假設用(use)戶給予授權,認證服務器将用(use)戶導向客戶端指定的(of)"重定向URI",并在(exist)URI的(of)Hash部分包含了(Got it)訪問令牌。
(D)浏覽器向資源服務器發出(out)請求,其中不(No)包括上(superior)一(one)步收到(arrive)的(of)Hash值。
(E)資源服務器返回一(one)個(indivual)網頁,其中包含的(of)代碼可以(by)獲取Hash值中的(of)令牌。
(F)浏覽器執行上(superior)一(one)步獲得的(of)腳本,提取出(out)令牌。
(G)浏覽器将令牌發給客戶端。
下面是(yes)上(superior)面這(this)些步驟所需要(want)的(of)參數。
A步驟中,客戶端發出(out)的(of)HTTP請求,包含以(by)下參數:
- response_type:表示授權類型,此處的(of)值固定爲(for)"token",必選項。
- client_id:表示客戶端的(of)ID,必選項。
- redirect_uri:表示重定向的(of)URI,可選項。
- scope:表示權限範圍,可選項。
- state:表示客戶端的(of)當前狀态,可以(by)指定任意值,認證服務器會原封不(No)動地(land)返回這(this)個(indivual)值。
下面是(yes)一(one)個(indivual)例子。
GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1 Host: server.example.com
C步驟中,認證服務器回應客戶端的(of)URI,包含以(by)下參數:
- access_token:表示訪問令牌,必選項。
- token_type:表示令牌類型,該值大(big)小寫不(No)敏感,必選項。
- expires_in:表示過期時(hour)間,單位爲(for)秒。如果省略該參數,必須其他(he)方式設置過期時(hour)間。
- scope:表示權限範圍,如果與客戶端申請的(of)範圍一(one)緻,此項可省略。
- state:如果客戶端的(of)請求中包含這(this)個(indivual)參數,認證服務器的(of)回應也必須一(one)模一(one)樣包含這(this)個(indivual)參數。
下面是(yes)一(one)個(indivual)例子。
HTTP/1.1 302 Found Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA &state=xyz&token_type=example&expires_in=3600
在(exist)上(superior)面的(of)例子中,認證服務器用(use)HTTP頭信息的(of)Location欄,指定浏覽器重定向的(of)網址。注意,在(exist)這(this)個(indivual)網址的(of)Hash部分包含了(Got it)令牌。
根據上(superior)面的(of)D步驟,下一(one)步浏覽器會訪問Location指定的(of)網址,但是(yes)Hash部分不(No)會發送。接下來(Come)的(of)E步驟,服務提供商的(of)資源服務器發送過來(Come)的(of)代碼,會提取出(out)Hash中的(of)令牌。
八、密碼模式
密碼模式(Resource Owner Password Credentials Grant)中,用(use)戶向客戶端提供自己的(of)用(use)戶名和(and)密碼。客戶端使用(use)這(this)些信息,向"服務商提供商"索要(want)授權。
在(exist)這(this)種模式中,用(use)戶必須把自己的(of)密碼給客戶端,但是(yes)客戶端不(No)得儲存密碼。這(this)通常用(use)在(exist)用(use)戶對客戶端高度信任的(of)情況下,比如客戶端是(yes)操作(do)系統的(of)一(one)部分,或者由一(one)個(indivual)著名公司出(out)品。而認證服務器隻有在(exist)其他(he)授權模式無法執行的(of)情況下,才能考慮使用(use)這(this)種模式。
它的(of)步驟如下:
(A)用(use)戶向客戶端提供用(use)戶名和(and)密碼。
(B)客戶端将用(use)戶名和(and)密碼發給認證服務器,向後者請求令牌。
(C)認證服務器确認無誤後,向客戶端提供訪問令牌。
B步驟中,客戶端發出(out)的(of)HTTP請求,包含以(by)下參數:
- grant_type:表示授權類型,此處的(of)值固定爲(for)"password",必選項。
- username:表示用(use)戶名,必選項。
- password:表示用(use)戶的(of)密碼,必選項。
- scope:表示權限範圍,可選項。
下面是(yes)一(one)個(indivual)例子。
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=password&username=johndoe&password=A3ddj3w
C步驟中,認證服務器向客戶端發送訪問令牌,下面是(yes)一(one)個(indivual)例子。
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" }
上(superior)面代碼中,各個(indivual)參數的(of)含義參見《授權碼模式》一(one)節。
整個(indivual)過程中,客戶端不(No)得保存用(use)戶的(of)密碼。
九、客戶端模式
客戶端模式(Client Credentials Grant)指客戶端以(by)自己的(of)名義,而不(No)是(yes)以(by)用(use)戶的(of)名義,向"服務提供商"進行認證。嚴格地(land)說,客戶端模式并不(No)屬于(At)OAuth框架所要(want)解決的(of)問題。在(exist)這(this)種模式中,用(use)戶直接向客戶端注冊,客戶端以(by)自己的(of)名義要(want)求"服務提供商"提供服務,其實不(No)存在(exist)授權問題。
它的(of)步驟如下:
(A)客戶端向認證服務器進行身份認證,并要(want)求一(one)個(indivual)訪問令牌。
(B)認證服務器确認無誤後,向客戶端提供訪問令牌。
A步驟中,客戶端發出(out)的(of)HTTP請求,包含以(by)下參數:
- granttype:表示授權類型,此處的(of)值固定爲(for)"clientcredentials",必選項。
- scope:表示權限範圍,可選項。
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=client_credentials
認證服務器必須以(by)某種方式,驗證客戶端身份。
B步驟中,認證服務器向客戶端發送訪問令牌,下面是(yes)一(one)個(indivual)例子。
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "example_parameter":"example_value" }
上(superior)面代碼中,各個(indivual)參數的(of)含義參見《授權碼模式》一(one)節。
十、更新令牌
如果用(use)戶訪問的(of)時(hour)候,客戶端的(of)"訪問令牌"已經過期,則需要(want)使用(use)"更新令牌"申請一(one)個(indivual)新的(of)訪問令牌。
客戶端發出(out)更新令牌的(of)HTTP請求,包含以(by)下參數:
- granttype:表示使用(use)的(of)授權模式,此處的(of)值固定爲(for)"refreshtoken",必選項。
- refresh_token:表示早前收到(arrive)的(of)更新令牌,必選項。
- scope:表示申請的(of)授權範圍,不(No)可以(by)超出(out)上(superior)一(one)次申請的(of)範圍,如果省略該參數,則表示與上(superior)一(one)次一(one)緻。
下面是(yes)一(one)個(indivual)例子。
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
