一、OAuth2.0是什么?
OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。OAuth在全世界得到广泛应用,目前的版本是2.0版,使用可以OAuth2.0解决访问资源的安全性以及灵活性
二、OAuth2.0的应用场景
- 原生app授权:app登录请求后台接口,为了安全认证,所有请求都带token信息,如果登录验证、 请求后台数据。
- 前后端分离单页面应用:前后端分离框架,前端请求后台数据,需要进行oauth2安全认证
- 第三方应用授权登录,比如QQ,微博,微信的授权登录。
三、OAuth2.0授权模式
1.授权码模式(推荐使用)
指的是第三方应用先申请一个授权码,然后再用该码获取令牌。
参数说明:
| 参数类型 | 说明 |
|---|---|
| access_token | 访问令牌,必选项 |
| token_type | 令牌类型,该值大小写不敏感,必选项 |
| expires_in | 过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间 |
| refresh_token | 更新令牌,用来获取下一次的访问令牌,可选项 |
| scope | 权限范围,如果与客户端申请的范围一致,此项可省略 |
2.简化模式
有些 Web 应用是纯前端应用,没有后端。必须将令牌储存在前端。RFC 6749 就规定了第二种方式,允许直接向前端颁发令牌,这种方式没有授权码这个中间步骤,所以称为(授权码)“隐藏式”。
使用步骤如下:
(A)客户端将用户引导向认证服务器。
(B)用户决定是否给于客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端指定的”重定向URI",并在URI的Hash部分包含了访问令牌。
(D)浏览器向资源服务器发出请求,其中不包括上一步收到的Hash值。
(E)资源服务器返回一个网页,其中包含的代码可以获取Hash值中的令牌。
(F)浏览器执行上一步获得的脚本,提取出令牌。
(G)浏览器将令牌发给客户端
3.密码模式
如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式",但是不安全,建议谨慎使用。
使用步骤如下:
(A)用户向客户端提供用户名和密码。
(B)客户端将用户名和密码发给认证服务器,向后者请求令牌。
(C)认证服务器确认无误后,向客户端提供访问令牌。
4.客户端模式
指客户端以自己的名义,而不是以用户的名义,向"服务提供商"进行 授权。
使用步骤如下:
(A)客户端向认证服务器进行身份认证,并要求一个访问令牌。
(B)认证服务器确认无误后,向客户端提供访问令牌。
总结
以上就是OAuth2.0的基本介绍
2130
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
