介绍OAuth2

目录

一、什么是OAuth2？

二、OAuth2中的角色

1、资源所有者

2、资源服务器

3、客户

4、授权服务器 

三、认证流程

 四、OAuth2授权方式

注：使用令牌方式的优点

1、授权码

2、隐藏方式 

3、密码方式

4、凭证方式  

---

一、什么是OAuth2？

OAuth2.0 是目前使用非常广泛的授权机制，用于授权第三方应用获取用户的数据。

OAuth 引入了一个授权层，用来分离两种不同的角色：客户端和资源所有者。 ...... 资源所有者同意以后，资源服务器可以向客户端颁发令牌。客户端通过令牌，去请求数据。

二、OAuth2中的角色

1、资源所有者

能够授予对受保护资源的访问权限的实体，如果资源的所有者为个人，也被成为最终用户

2、资源服务器

 存储有受保护资源的服务器， 能够接受并验证访问令牌，并响应受保护资源的访问请求

3、客户

 需要被授权，然后再访问受保护资源的实体。客户这个术语，并不是特指应用程序，服务器，计算机 等

4、授权服务器 

验证资源所有者并获取授权成功后，向客户发出访问令牌

三、认证流程

client：客户——>腾讯视频APP

resource owner：资源所有者——>本人的微信（我）

Authorization server：认证服务器——>OAuth2

resource server：资源服务器——>微信服务器

举例说明：

         登录腾讯视频APP，首先由腾讯视频发送认证申请给我的微信，接着由我同意授权，返回一个授权码code给腾讯视频，接着腾讯视频拿着授权码code请求OAuth2，接着OAuth2返回一个token令牌给腾讯视频，腾讯视频拿着token令牌请求微信服务器，微信服务器同意腾讯视频的登录。

 四、OAuth2授权方式

由于互联网有多种场景， OAuth2定义了四种获取令牌的方式：

        授权码（authorization-code）

        隐藏式（implicit）

        密码式（password）

        客户端凭证（client credentials）

注：使用令牌方式的优点

1、令牌又时效性，一般是短期的，且不能修改，密码一般是长期有效的

2、令牌可以由颁发者撤销，且即时生效，密码一般可以不用修改而长期有效

3、令牌可以设定权限的范围，且使用者无法修改

在使用令牌时需要保证令牌的保密，令牌验证有效即可进入系统，不会再做其他的验证。

1、授权码

第三方应用先申请一个授权码，然后再用该码获取令牌。

最常见的用法，安全性高，适合 web 应用。 授权码通过前端传送，令牌则是储存在后端，而且所有与资

源服务器的通信都在后端完成。这样的前后端分离，可以避免令牌泄漏。

资源服务器提供一个链接，用户点击后就会跳转到认证服务器，授权用户数据给资源服务器使用，

资源服务器提供的连接的示例：

 

https : //b.com/oauth/authorize?

response_type = code &                                表示使用授权码方式；

client_id = CLIENT_ID &                                 请求者的身份 ID；

redirect_uri = CALLBACK_URL &        认证服务器接受请求之后的调转连接，可以根据这个连                                                            接将生成 的 code 发送给资源服务器；

scope = read                                                   授权范围为只读。

页面跳转后，用户登录认证服务器，同意或拒绝资源服务器的授权请求，认证服务器根据上一步的

redirect_uri 地址，将生成的授权码返回给资源服务器

https : //resouce.com/callback_url?code=AUTHORIZATION_CODE          code 返回的认证码

客户拿到认证码之后，向认证服务器发给请求，申请令牌 

https : //b.com/oauth/token?                                     

client_id = CLIENT_ID &                                                    资源服务器的身份 ID

client_secret = CLIENT_SECRET &                                    安全参数，只能在后端发请求

grant_type = authorization_code &                                     表示授权的方式为授权码

code = AUTHORIZATION_CODE &                                    用来获取令牌的授权码

redirect_uri = CALLBACK_URL                                          令牌生成后的颁发地址

认证服务器对授权码进行认证，通过后颁发令牌，

{

"access_token" : 访问令牌 ,

"token_type" : "bearer" ,

"expires_in" : 过期时间 ,

"refresh_token" : "REFRESH_TOKEN" ,

"scope" : "read" ,

"uid" : 用户 ID ,

"info" :{ ... }

}

2、隐藏方式 

隐藏方式合适的场景：

        当web 应用为纯前端应用没有后端，此时必须将令牌放在前端保存，省略了申请授权码的步骤。

 

资源服务器提供连接，跳转到认证服务器，

https : //b.com/oauth/authorize?

response_type = token &                                 表示直接返回令牌

client_id = CLIENT_ID &                                   客户的身份 ID

redirect_uri = CALLBACK_URL &                    生成令牌后的回调地址

scope = read                                                     授权范围，只读

用户需要在认证服务器登录，并进行授权， 授权成功后会根据第一步提供的CALLBACK_URL地址

返回生成的 token

https : //a.com/callback#token=ACCESS_TOKEN

这种方式的特点：这种方式不安全，适用于对安全性不高的场景，令牌的有效期一般设置的比较短，通常是会话期间有效，浏览器关闭令牌就时效了

3、密码方式

非常信任某个应用，将用户名和密码直接告诉应用，应用拿到用户名和密码后直接申请令牌

1、 资源服务器要求用户提供认证服务器的用户名和密码，拿到以后资源服务器向认证服务器申请令牌

https : //oauth.b.com/token?

grant_type = password &                       认证方式

username = USERNAME &                    用户名

password = PASSWORD &                     密码

client_id = CLIENT_ID                            客户 id

认证服务器验证身份通过后，直接在响应中发放令牌，资源服务器在响应中获取令牌。

4、凭证方式  

这种方式适用于没有前端的命令行应用，通过命令行的方式请求令牌

1. 资源服务器使用命令行向认证服务器发送请求

https : //oauth.b.com/token?

grant_type = client_credentials &                           凭证方式

client_id = CLIENT_ID &                                         客户身份 ID

client_secret = CLIENT_SECRET                          认证码

该方式真对的是第三方应用，而不是用户，可以多个用户共享一个令牌