前言:之前一直觉得Oauth比较神秘,今天就花了点时间,了解了下,感觉Oauth认证确实对目前互联网是一个不错的选择
一、什么是OAuth2
百度百科定义是这样的:OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 2.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。同时为Web应用,桌面应用和手机,和起居室设备提供专门的认证流程。2012年10月,OAuth 2.0协议正式发布为RFC 6749 [1] 。
二、OAuth2使用场景
假设你现在使用一款软件,但是不想注册,就可以使用微信授权登录。
如图微信会告诉你,授权应用将会访问你的那些用户数据。
首先我们来理解下OAuth2.0协议的一些定义
- Third-party application:第三方应用程序(client)。
- HTTP service:HTTP服务提供商。
- Resource Owner:资源所有者-“用户”(user)。
- User Agent:用户代理-浏览器。
- Authorization server:认证服务器,即服务提供商专门用来处理认证的服务器。
- Resource server:资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。
三、Oauth设计理念
OAuth在"客户端"与"服务提供商"之间,设置一个授权层(authorization layer)。
- “客户端"不能直接登录"服务提供商”,只能登录授权层,以此将用户与客户端区分开来
- "客户端"登录授权层所用的令牌(token),与用户的密码不同。用户可在登录时,指定授权层令牌的权限范围和有效期。
- "客户端"登录授权层以后,"服务提供商"根据令牌的权限范围和有效期,向"客户端"开放用户储存的资料。
四、OAuth 2.0的运行流程
(A)用户打开客户端,客户端要求用户给予授权。
(B)用户同意给予客户端授权。
(C)客户端使用上一步获得的授权(一般是Code),向认证服务器申请令牌TOKEN。
(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。
(E)客户端使用令牌,向资源服务器申请获取资源(用户信息等)。
(F)资源服务器确认令牌无误,同意向客户端开放资源。
五、客户端获取授权的四种模式
客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。
OAuth 2.0定义了四种授权方式:
- 授权码模式(authorization code)
- 简化模式(implicit)
- 密码模式(resource owner password credentials)
- 客户端模式(client credentials)
详细授权模式可以参考大佬文章讲的很详细。