一、Oauth2应用场景
- 从本系统角度:系统需要一个统一认证平台进行第三方授权登录,从而使本系统无需提供用户账号、密码也可使用统一认证平台资源信息。
- 从统一认证平台角度:可给多个外部系统提供授权登录功能,多个外部系统皆可使用认证系统用户信息、资源信息。
- 例如微信给爱奇艺、腾讯视频提供授权登录功能,用户使用qq账号与密码信息进行爱奇艺等应用快速登录,爱奇艺等应用可获取微信头像、用户名。实现由qq平台验证qq账号、密码,以此使爱奇艺等应用不必涉及账号密码安全性问题。
二、授权码模式
Oauth2有四种授权模式,本文主要介绍的授权码模式(authorization code)是功能最完整、流程最严密的授权模式,该模式下,授权服务器给客户端返回code,客户端通过code换取token的过程,使token不用经由浏览器,而是直接由服务端换取返回,极大提高了token的安全性。
1、角色行为功能
- 客户端client: 申请访问资源服务器提供的用户信息与资源
- 授权服务器: 提供授权许可code、令牌token等
-
资源服务器: 提供给外部系统注册接口;提供给外部系统资源的接口;可提供给外部系统client_id和client_secret;
2、授权码模式步骤
- 用户请求资源,被重定向到授权服务器。
- 用户在授权服务器下登录、授权。(至此用户动作结束,接下来均是客户端与授权服务器、资源服务器的交互)
- 授权服务器给客户端返回code。
- client通过code向授权服务器换取token。
- 客户端可通过token访问资源服务器用户所需资源。
总结
本文仅仅简单介绍了授权码模式实现第三方授权认证的场景和步骤,接下来会从代码的角度进而分析客户端及服务端的配置细节。