一、OAuth2(开放授权)
1、一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息
2、应用场景:
第三方应用授权登录:访问平台,需要用户登录时,如qq、微信、微博等
3、四种角色
1、资源所有者:代表用户本身
2、资源服务器:存储受保护的账号信息
3、授权服务器:成功验证用户身份,并获得授权后,给客户端派发资源令牌
4、客户端:代表访问的第三方应用
4、授权模式
(1)授权码模式:功能最完整、流程最严密的授权模式
1)用户访问客户端,后者将前者导向认证服务器,假设用户给与授权,认证服务器将用户导向客户端事先指定的重定向URL,并附上一个授权码
2)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌:GET /oauth/token?response_type=code&client_id=test&redirect_uri=重定向页 面链接。请求成功返回code授权码,一般有效时间是10分钟。
3)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。POST /oauth2/authorize?response_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=重定向页面链接
参数:
client_id 客户端接入标识。
response_type 授权码模式固定为code
scope 客户端权限
redirect_uri 跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)
例如: 微博授权码登录:(微博开放平台:https://open.weibo.com/developers/identity)
1)获取授权码code
https://api.weibo.com/oauth2/authorize?client_id=4075361029&response_type=code&scope=app&redirect_uri=https://sh28673186.jz.fkw.com/
2)浏览器出现向授权服务器授权页面,之后将用户同意授权
3)授权服务器将授权码(AuthorizationCode)转经浏览器发送给client(通过redirect_uri)
4)客户端拿着授权码向授权服务器索要访问access_token,请求如下:
参数:
client_id 客户端接入标识。
client_secret 客户端秘钥
grant_type 授权类型,填写authorization_code,表示授权码模式
code 授权类型,填写authorization_code,表示授权码模式
redirect_uri 跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)
https://api.weibo.com/oauth2/authorize?client_id=4075361029&client_secret=60a58550dff2982696a0e57f482bbb25&grant_type=authorization_code&code=10bb57bdb44e97026ab5e231ab6b0529&redirect_uri=https://sh28673186.jz.fkw.com/
注:四种模式中最安全的一种模式
这种模式中access_token不会经过浏览器或移动端的App,而是直接从服务端去交换,这样就最大限度的减小了令牌泄漏的风险
(2)密码模式
密码模式使用较多,适应于第一方的单页面应用以及第一方的原生App,比如:闪聚支付平台运营平台用户使用此模式完成用户登录。 密码模式认证流程如下:
1)资源拥有者将用户名、密码发送给客户端
2)客户端拿着资源拥有者的用户名、密码向授权服务器请求令牌(access_token),请求如下:
https://api.weibo.com/oauth2/authorize?client_id=4075361029&client_secret=60a58550dff2982696a0e57f482bbb25&grant_type=password&username=18298325163&password=qi092612&redirect_uri=https://sh28673186.jz.fkw.com/
参数列表:
client_id 客户端准入标识
client_secret 客户端秘钥
grant_type 授权类型,填写password表示密码模式
username 资源拥有者用户名
password 资源拥有者密码
3)授权服务器将令牌(access_token)
发送给client 这种模式十分简单,但是却意味着直接将用户敏感信息泄漏给了client,因此这就说明这种模式只能用于client是 我们自己开发的情况下。
因此密码模式一般用于我们自己开发的,第一方原生App或第一方单页面应用。
(3)客户端模式
1)客户端向授权服务器发送自己的身份信息,并请求令牌(access_token)
2)确认客户端身份无误后,将令牌(access_token)发送给client,请求如下:
https://api.weibo.com/oauth2/authorize?client_id=4075361029&client_secret=60a58550dff2982696a0e57f482bbb25&grant_type=client_credentials&redirect_uri=https://sh28673186.jz.fkw.com/
参数列表:
参数列表:
client_id 客户端准入标识
client_secret 客户端秘钥
grant_type 授权类型,填写client_credentials表示客户端模式
注意:
这种模式是最方便但最不安全的模式。因此这就要求我们对client完全的信任,而client本身也是安全的。
(4)简化模式
1)资源拥有者打开客户端,客户端要求资源拥有者给予授权,它将浏览器被重定向到授权服务器,重定向时会附加客户端的身份信息。
https://api.weibo.com/oauth2/authorize?client_id=4075361029&response_type=token&scope=app&redirect_uri=https://sh28673186.jz.fkw.com/
参数列表:
client_id 客户端准入标识
response_type 简化模式固定为token , response_type=token,说明是简化模式
scope 客户端权限
redirect_uri 跳转uri,当授权码申请成功后会跳转到此地址,并在后边带上code参数(授权码)
2)浏览器出现向授权服务器授权页面,之后将用户同意授权。
3)授权服务器将授权码将令牌(access_token)以Hash的形式存放在重定向uri的fargment中发送给浏览器
注:
fragment 主要是用来标识 URI 所标识资源里的某个资源,在 URI 的末尾通过 (#)作为 fragment 的开头, 其中 # 不属于 fragment 的值。如https://domain/index#L18这个 URI 中 L18 就是 fragment 的值。