OAuth2.0
一、是什么
- OAuth2.0是行业标准的授权协议,是一个关于授权的开放网络标准
二、Logo
三、授权方式
- 授权码
- 通过客户端的后台服务器,与需要授权使用的服务提供者的认证服务器进行互动
- 简化
- 不通过第三方应用程序的服务器,直接向认证服务器申请令牌,跳过授权码
- 密码
- 用户向客户端提供自己的用户名和密码,客户端使用用户名和密码,向服务提供商所要授权
- 客户端
- 这个不涉及授权问题,用户直接在客户端进行注册,客户端以自己的名义要求服务提供商提供服务
四、例子
- 角色描述
- 菜鸟创新平台:网站
- 菜鸟:用户
- 场景
- 菜鸟第一次访问该网站,该网站进入登录页面,可以使用快捷方式进行登录。快捷方式主要有QQ登录、微信登录、微博登录这些,菜鸟目前只申请了QQ,想通过QQ方式进行授权登录操作
- 问题
- 菜鸟创新平台有自己的注册平台吗?
- 有
- 有注册平台的话,为什么还有设置第三方的授权?
- 这样减少注册的填写信息的交互,用户尽量少操作
- 可不可以把自己的qq账号密码再菜鸟创新平台中保存下来,以后让菜鸟创新平台来维护
- 你是不是sha,这样做首先把自己的账号面透露,非常的不安全
- 其次
- 菜鸟创新平台为了后续的服务,会保存用户的密码,这样非常不安全
- 创鸟创新平台的后台不得不部署账号密码登录QQ,在接受反馈的信息,单纯的登录不安全
- 菜鸟没法限制菜鸟创新平台获取到的权限的范围和有效期
- 菜鸟先要收回之前的权限,还得修改自己的密码,非常麻烦
- 数据泄露--关联其他的账号密码
- 菜鸟创新平台有自己的注册平台吗?
- 解决方案
- 其中一种就是OAuth2.0
解决四中的问题
- 先看这张图
- 上面这幅图基本解释了OAuth,它的作用就是让菜鸟创新平台安全可控的获取菜鸟的授权,与QQ服务进行互动。
- OAuth的思路
- OAuth在“客户端”与“服务提供商”【QQ服务】之间,设置了一个授权层。“客户端”不能直接登录“服务提供商”,只能登录授权层,以此将用户【菜鸟】和客户端【菜鸟创新平台】区分开。“客户端”登录授权层所用的令牌(token),与用户的密码不同,token可以被用户指定授权令牌的权限和有效期。“服务提供商”根据令牌的权限范围和有效期,向“客户端”开放用户存储的资料
- 完整的流程
- 用户打开客户端,客户端要求用户给予授权
- 用户同意给与客户端授权【关键】
- 客户端使用上一步获得的授权,向认证服务器申请令牌
- 认证服务器对客户端进行认证以后,确认无误,同意发放令牌
- 客户端使用令牌,向资源服务器申请获取资源
- 资源服务器确认令牌无误,同意向客户端开放资源
客户端的授权模式
序号 | 模式名称 | 特点 | 授权过程 |
---|---|---|---|
1 | 授权码模式 | 最完整、流程最严密 | 1.用户端访问客户端,后者将前者导向认证服务器 2.用户选择是否基于客户端授权 3.假设用户给予授权,认证服务器将用户导向客户端事先指定的“重定向的URI”,同时附上一个授权码 4.客户端收到授权码,附上早先的“重定向URI”,向认证服务器申请令牌【这一步是在客户端的后台服务器上完成的,对用户不可见】 5.认证服务器核对授权码重定向URI,确认无误后,向客户端发送访问令牌(Access Token)和更新令牌 |
2 | 简化模式 | 不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了“授权码”这个步骤 | 1.用户端访问客户端,后者将前者导向认证服务器 2.用户选择是否基于客户端授权 3.假设用户给予授权,认证服务器将用户导向指定的“重定向URI”,并在URI的Hash部分包含了访问令牌 4.浏览器向资源服务器发出请求,其中不包括上一步收到的Hash值 5.资源服务器返回一个网页,其中包含的代码可以获取Hash值中的令牌 6.浏览器执行上一步获得的脚本,提取出令牌 7.浏览器将令牌发给客户端 |
3 | 密码模式 | 用户向客户端提供自己的用户名和密码,客户端使用这些信息,向“服务提供商”索要授权 | 1.用户向客户提供用户名和密码 2.客户端将用户的用户名和密码发送给认证服务器,向后者请求令牌 3.认证服务器确认无误后,向客户提供访问令牌 |
4 | 客户端模式 | 客户端以自己的名义,而不是以用户的名义,向“服务提供商”进行认证。这种模式下,用户直接向客户端注册,客户端以自己的名义要求“服务提供商”提供服务,其实不存在授权问题 | 1.客户端向认证服务器进行身份认证,并要求一个访问令牌 2.认证服务器确认无误后,向客户端提供访问令牌 |
参考地址
- 阮一峰的网络日志【http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html】
- 闪客sun的“一张图搞定OAuth2.0” 【https://www.cnblogs.com/flashsun/p/7424071.html】