OAuth2官网:https://oauth.net/2/
概述
OAuth2.0是一个能够使应用之间彼此访问数据的开放授权协议,OAuth2.0是OAuth1.0协议的延续版本,但不向后兼容OAuth1.0,即完全废止了OAuth1.0。
让我们看看OAuth2.0的流程,如下图:
下面我们以第三方应用简书使用微信快速登录为例说明!!!
以上图中所涉及到的对象分别为:
- Client 第三方应用,即简书;
- Resource Owner 资源所有者,即微信用户;
- Authorization Server 授权服务器,提供第三方登录服务的服务器,即微信服务器;
- Resource Server 拥有资源信息的服务器,即微信服务器。
根据上图的信息,我们可以知道OAuth2.0的基本流程为:
- 第三方应用请求用户授权;
- 用户同意授权,并返回一个用户凭证(code);
- 第三方应用通过第二步的用户凭证(code)向授权服务器请求授权;
- 授权服务器验证用户凭证(code)通过后,同意授权,并返回一个资源访问的凭证(Access Token);
- 第三方应用通过第四步的凭证(Access Token)向资源服务器请求相关资源;
- 资源服务器验证凭证(Access Token)通过后,将第三方应用请求的资源返回。
上述第二步中用户同意授权,返回一个用户凭证code,再由用户凭证code和授权服务器交换一个资源访问的Access Token。
用户凭证主要作用:让用户主动参与到该流程中,确保用户身份正确,实际中需要登录或已经登录,再确定同意授权操作。用户凭证生成也是由授权服务器来完成,并且主动推送到第三方应用,后续操作由第三方应用完成,和用户无关了。
简书微信登录时序图如下:
OAuth2.0解决的问题:
第三方应用无需得到用户密码(如微信密码)就可以得到授权令牌,安全访问用户在服务提供商的数据,令牌有时效和权限范围。
把用户密码提供给第三方应用是不安全的做法!
OAuth2.0专用名词定义
- Third-party application:第三方应用,又称客户端(client),即简书。
- HTTP service:HTTP服务提供商,简称"服务提供商",即微信服务器。
- Resource Owner:资源所有者,即微信用户。
- User Agent:用户代理,本文中就是指浏览器。
- Authorization server:授权服务器,即服务提供商专门用来处理认证的服务器。
- Resource server:资源服务器,即微信服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。
客户端的授权模式
参考oauth2官网:https://tools.ietf.org/html/rfc6749#section-1.3.1