深入淺出OAuth 2.0授權機制
深入淺出OAuth 2.0授權機制
來自專欄 java後臺的學習分享2 人贊了文章
前言
舉個簡單的例子。新浪微博是你的家,有時候你會想讓一些人(第三方應用)去你的家裡幫你辦點事情,或者取點東西。你可以直接複製一把鑰匙(用戶名和密碼)給他們,但這裡存在幾個問題:
- 別人拿了鑰匙後可以去你家裡的所有房間。
- 別人拿到你的鑰匙後也許會不小心丟到,甚至故意送到它人手裡。這樣你都不知到誰有你家鑰匙。
- 過一段時間你也許會想要回自己的鑰匙,但別人不還怎麼辦?
總結起來就是兩個問題:其一,拿到鑰匙的人許可權太大,可以進入任一房間;其二,拿到鑰匙的人可能對鑰匙進行複製和更改。
OAuth是高級鑰匙,可以理解為指紋識別,它主要解決了以上的缺陷:
- 你可以配置不同許可權的鑰匙。有些只能進大廳(讀取你的微博流)。有些鑰匙可以進儲藏櫃(讀取你的相片)。
- 鑰匙上帶著指紋驗證程序(指紋 = appkey),只有收到鑰匙的人自己能使用鑰匙。
- 鑰匙有一定的時效性,同時你也可以遠程廢除鑰匙。
正文
OAuth
是一個關於授權(authorization
)的開放網路標準,在全世界得到廣泛應用,目前的版本是2.0
版。 本文對OAuth 2.0
的設計思路和運行流程,做一個簡明通俗的解釋。
應用場景
為了理解OAuth
的適用場景,舉一個通俗易懂的例子。 有一個"雲沖印"的網站,可以將用戶儲存在Google的照片,沖印出來。用戶為了使用該服務,必須讓"雲沖印"讀取自己儲存在Google上的照片。
問題是隻有得到用戶的授權,Google才會同意"雲沖印"讀取這些照片。那麼,"雲沖印"怎樣獲得用戶的授權呢? 傳統方法是,用戶將自己的Google用戶名和密碼,告訴"雲沖印",後者就可以讀取用戶的照片了。這樣的做法有以下幾個嚴重的缺點。
1. "雲沖印"為了後續的服務,會保存用戶的密碼,這樣很不安全。2. Google不得不部署密碼登錄,而我們知道,單純的密碼登錄並不安全。3. "雲沖印"擁有了獲取用戶儲存在Google所有資料的權利,用戶沒法限制"雲沖印"獲得授權的範圍和有效期。4. 用戶只有修改密碼,才能收回賦予"雲沖印"的權力。但是這樣做,會使得其他所有獲得用戶授權的第三方應用程序全部失效。5. 只要有一個第三方應用程序被破解,就會導致用戶密碼泄漏,以及所有被密碼保護的數據泄漏。
OAuth就是為瞭解決上面這些問題而誕生的。
專業術語
在詳細講解OAuth 2.0
之前,需要了解幾個專用名詞。它們對讀懂後面的講解,尤其是幾張圖,至關重要。
OAuth的思路
OAuth
在"客戶端"與"服務提供商"之間,設置了一個授權層(authorization layer
)。"客戶端"不能直接登錄"服務提供商",只能登錄授權層,以此將用戶與客戶端區分開來。"客戶端"登錄授權層所用的令牌(token
),與用戶的密碼不同。用戶可以在登錄的時候,指定授權層令牌的許可權範圍和有效期。 "客戶端"登錄授權層以後,"服務提供商"根據令牌的許可權範圍和有效期,向"客戶端"開放用戶儲存的資料。
具體流程
(A). 用戶打開客戶端以後,客戶端要求用戶給予授權。(B). 用戶同意給予客戶端授權。(C). 客戶端拿到上一步獲取到的授權,向認證伺服器申請令牌。(D). 認證伺服器對客戶端進行認證以後,確認無誤,統一發放令牌。(E). 客戶端使用令牌,向資源伺服器申請獲取用戶的資源。(F). 資源伺服器確認令牌無誤,同意向客戶端開放資源。
不難看出來,上面六個步驟之中,步驟(B)
是關鍵,即用戶怎樣才能給於客戶端授權。有了這個授權以後,客戶端就可以獲取令牌,進而憑令牌獲取資源。
幾種授權模式
客戶端必須得到了用戶的授權。(authorization grant
),才能獲取令牌(access token
)。OAuth 2.0
定義了四種授權方式。
- 授權碼模式(authorization code)
- 簡化模式(implicit)
- 密碼模式(resource owner password credentials)
- 客戶端模式(client credentials)
下面一一講解客戶端獲取授權的四種模式。
(一). 授權碼模式
授權碼模式(authorization code
)是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端的後臺伺服器,與"服務提供商"的認證伺服器進行互動。
它的步驟如下:
(A). 用戶訪問客戶端,後者將前者導向認證伺服器。(B). 用戶選擇是否給予客戶端授權。(C). 假設用戶給予授權,認證伺服器將用戶導向客戶端事先指定的"重定向URI"(redirection URI),同時附上一個授權碼。(D). 客戶端收到授權碼,附上早先的"重定向URI",向認證伺服器申請令牌。這一步是在客戶端的後臺的伺服器上完成的,對用戶不可見。(E). 認證伺服器核對了授權碼和重定向URI,確認無誤後,向客戶端發送訪問令牌(access token)和更新令牌(refresh token)。
對於每個步驟具體所需要參數如下:
A步驟中,客戶端申請認證的URI,包含以下參數:
下面是一個例子:
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1Host: server.example.com
C步驟中,伺服器回應客戶端的URI,包含以下參數:
下面是一個例子:
HTTP/1.1 302 FoundLocation: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz
D步驟中,客戶端向認證伺服器申請令牌的HTTP請求,包含以下參數:
下面是一個例子:
POST /token HTTP/1.1Host: server.example.comAuthorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JWContent-Type: application/x-www-form-urlencodedgrant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
E步驟中,認證伺服器發送的HTTP回復,包含以下參數:
下面是一個例子:
HTTP/1.1 200 OKContent-Type: application/json;charset=UTF-8Cache-Control: no-storePragma: no-cache{ "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"bearer", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value"}
從上面代碼可以看到,相關參數使用JSON
格式發送(Content-Type: application/json
)。此外,HTTP
頭信息中明確指定不得緩存。
(二). 簡化模式
簡化模式(implicit grant type
)不通過第三方應用程序的伺服器,直接在瀏覽器中向認證伺服器申請令牌,跳過了"授權碼"這個步驟,因此得名。所有步驟在瀏覽器中完成,令牌對訪問者是可見的,且客戶端不需要認證。
它的步驟如下:
(A). 客戶端將用戶導向認證伺服器。(B). 用戶決定是否給於客戶端授權。(C). 假設用戶給予授權,認證伺服器將用戶導向客戶端指定的"重定向URI",並在URI的Hash部分包含了訪問令牌。(D). 瀏覽器向資源伺服器發出請求,其中不包括上一步收到的Hash值。(E). 資源伺服器返回一個網頁,其中包含的代碼可以獲取Hash值中的令牌。(F). 瀏覽器執行上一步獲得的腳本,提取出令牌。(G). 瀏覽器將令牌發給客戶端。
下面是上面這些步驟所需要的參數:
A步驟中,客戶端發出的HTTP請求,包含以下參數:
下面是一個例子:
GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1Host: server.example.com
C步驟中,認證伺服器回應客戶端的URI,包含以下參數:
下面是一個例子:
HTTP/1.1 302 FoundLocation: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA &state=xyz&token_type=example&expires_in=3600
下面是一個例子:
HTTP/1.1 302 FoundLocation: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA &state=xyz&token_type=bearer&expires_in=3600
在上面的例子中,認證伺服器用HTTP
頭信息的Location
欄,指定瀏覽器重定向的網址。注意,在這個網址的Hash
部分包含了令牌。 根據上面的D
步驟,下一步瀏覽器會訪問Location
指定的網址,但是Hash
部分不會發送。 接下來的E
步驟,服務提供商的資源伺服器發送過來的腳本代碼,會提取出Hash
中的令牌。
(三). 密碼模式
密碼模式(Resource Owner Password Credentials Grant
)中,用戶向客戶端提供自己的用戶名和密碼。客戶端使用這些信息,向"服務商提供商"索要授權。
在這種模式中,用戶必須把自己的密碼給客戶端,但是客戶端不得儲存密碼。這通常用在用戶對客戶端高度信任的情況下,比如客戶端是操作系統的一部分,或者由一個著名公司出品。而認證伺服器只有在其他授權模式無法執行的情況下,才能考慮使用這種模式。
它的步驟如下:
(A). 用戶向客戶端提供用戶名和密碼。(B). 客戶端將用戶名和密碼發給認證伺服器,向後者請求令牌。(C). 認證伺服器確認無誤後,向客戶端提供訪問令牌。
B步驟中,客戶端發出的HTTP請求,包含以下參數:
下面是一個例子:
POST /token HTTP/1.1Host: server.example.comAuthorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JWContent-Type: application/x-www-form-urlencodedgrant_type=password&username=johndoe&password=A3ddj3w
C步驟中,認證伺服器向客戶端發送訪問令牌:
下面是一個例子:
HTTP/1.1 200 OKContent-Type: application/json;charset=UTF-8Cache-Control: no-storePragma: no-cache{ "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value"}
(四). 客戶端模式
客戶端模式(Client Credentials Grant
)指客戶端以自己的名義,而不是以用戶的名義,向"服務提供商"進行認證。嚴格地說,客戶端模式並不屬於OAuth框架所要解決的問題。
在這種模式中,用戶直接向客戶端註冊,客戶端以自己的名義要求"服務提供商"提供服務,其實不存在授權問題。
它的步驟如下:
(A). 客戶端向認證伺服器進行身份認證,並要求一個訪問令牌。(B). 認證伺服器確認無誤後,向客戶端提供訪問令牌。
A步驟中,客戶端發出的HTTP請求,包含以下參數:
POST /token HTTP/1.1Host: server.example.comAuthorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JWContent-Type: application/x-www-form-urlencodedgrant_type=client_credentials
認證伺服器必須以某種方式,驗證客戶端身份。
B步驟中,認證伺服器向客戶端發送訪問令牌,下面是一個例子:
HTTP/1.1 200 OKContent-Type: application/json;charset=UTF-8Cache-Control: no-storePragma: no-cache{ "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "example_parameter":"example_value"}
總結
本文介紹了OAuth 2.0
的一些基本概念,以及四種授權模式:授權碼模式、簡單模式、密碼模式和客戶端模式。o
歡迎關注技術公眾號: 零壹技術棧
http://weixin.qq.com/r/VDgkPNHE1YyqrZVf921G (二維碼自動識別)
本帳號將持續分享後端技術乾貨,包括虛擬機基礎,多線程編程,高性能框架,非同步、緩存和消息中間件,分散式和微服務,架構學習和進階等學習資料和文章。
推薦閱讀: