OAuth2.0是授权第三方应用访问用户资源的一种安全机制,主要包括授权码、隐藏式、密码式和客户端凭证四种认证流程。授权码方式适用于有后端的Web应用,隐藏式适合纯前端应用,密码式允许应用直接使用用户密码获取令牌,客户端凭证则用于无前端的命令行应用。此外,更新令牌允许在令牌过期前通过刷新令牌获取新令牌。
OAuth 2.0
通俗理解
OAuth 的核心就是向第三方应用颁发令牌
四种认证流程
- 授权码(authorization-code)
- 隐藏式(implicit)
- 密码式(password):
- 客户端凭证(client credentials)
注意:不管哪一种授权方式,第三方应用申请令牌之前,都必须先到系统备案,说明自己的身份,然后会拿到两个身份识别码:客户端 ID(client ID)和客户端密钥(client secret)。这是为了防止令牌被滥用,没有备案过的第三方应用,是不会拿到令牌的。
授权码
授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。
这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。
- 第一步,A 网站提供一个链接,用户点击后就会跳转到 B 网站,授权用户数据给 A 网站使用。下面就是 A 网站跳转 B 网站的一个示意链接
- 用户跳转后,B 网站会要求用户登录,然后询问是否同意给予 A 网站授权。用户表示同意,这时 B 网站就会跳回
redirect_uri参数指定的网址。跳转时,会传回一个授权码 - A 网站拿到授权码以后,就可以在后端,向 B 网站请求令牌
- B 网站收到请求以后,就会颁发令牌。具体做法是向
redirect_uri指定的网址,发送一段 JSON 数据给A - A使用JSON 数据中的令牌,向B申请资源
隐藏式
有些 Web 应用是纯前端应用,没有后端。
这时就不能用上面的方式了,必须将令牌储存在前端。RFC 6749 就规定了第二种方式,允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)“隐藏式”(implicit)。
- A 网站提供一个链接,要求用户跳转到 B 网站,授权用户数据给 A 网站使用。
- 用户跳转到 B 网站,登录后同意给予 A 网站授权。这时,B 网站就会跳回
redirect_uri参数指定的跳转网址,并且把令牌作为 URL 参数,传给 A 网站 - A 网站使用令牌
密码式
如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)。
- A 网站要求用户提供 B 网站的用户名和密码。拿到以后,A 就直接向 B 请求令牌。
- B 网站验证身份通过后,直接给出令牌。注意,这时不需要跳转,而是把令牌放在 JSON 数据里面,作为 HTTP 回应,A 因此拿到令牌
这种方式需要用户给出自己的用户名/密码,显然风险很大,因此只适用于其他授权方式都无法采用的情况,而且必须是用户高度信任的应用。
客户端凭证
适用于没有前端的命令行应用,即在命令行下请求令牌。
- A 应用在命令行向 B 发出请求。
- B 网站验证通过以后,直接返回令牌。
这种方式给出的令牌,是针对第三方应用的,而不是针对用户的,即有可能多个用户共享同一个令牌。
更新令牌
具体方法是,B 网站颁发令牌的时候,一次性颁发两个令牌,一个用于获取数据,另一个用于获取新的令牌(refresh token 字段)。令牌到期前,用户使用 refresh token 发一个请求,去更新令牌。
URL 中,grant_type参数为refresh_token表示要求更新令牌,client_id参数和client_secret参数用于确认身份,refresh_token参数就是用于更新令牌的令牌。
B 网站验证通过以后,就会颁发新的令牌
扫一扫
4061
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
