第三方用户在规定时间内,访问某人在某服务器上共享的资源。
OAuth的特点是“现场授权”或“在线授权”:客户端主要通过浏览器去访问资源,授 权时需要认证Alice的资源所有者身份,并且需要Alice现场审批。OAuth一般在SNS服务中广泛使用,如微博。
IAM服务则不同,它的特点是 “预先授权”或“离线授权”:客户端主要通过REST API方式去访问资源,资源所有者可以预先知道第三方应用所需要的资源请求,一次授权之后,很少会变更。IAM服务一般在云计算服务中使用,如AWS服 务、阿里云计算服务。
OAuth:
1.1协议的参与者
从引言部分的描述我们可以看出,OAuth的参与实体至少有如下三个:
· RO (resource owner): 资源所有者,对资源具有授权能力的人。如上文中的用户Alice。
· RS (resource server): 资源服务器,它存储资源,并处理对资源的访问请求。如Google资源服务器,它所保管的资源就是用户Alice的照片。
· Client: 第三方应用,它获得RO的授权后便可以去访问RO的资源。如网易印像服务。
此外,为了支持开放授权功能以及更好地描述开放授权协议,OAuth引入了第四个参与实体:
· AS (authorization server): 授权服务器,它认证RO的身份,为RO提供授权审批流程,并最终颁发授权令牌(Access Token)。读者请注意,为了便于协议的描述,这里只是在逻辑上把AS与RS区分开来;在物理上,AS与RS的功能可以由同一个服务器来提供服务。
2.2 授权类型
在开放授权中,第三方应用(Client)可能是一个Web站点,也可能是在浏览器中运行的一段JavaScript代码,还可能是安装在本地的一 个应用程序。这些第三方应用都有各自的安全特性。对于Web站点来说,它与RO浏览器是分离的,它可以自己保存协议中的敏感数据,这些密钥可以不暴露给 RO;对于JavaScript代码和本地安全的应用程序来说,它本来就运行在RO的浏览器中,RO是可以访问到Client在协议中的敏感数据。
OAuth为了支持这些不同类型的第三方应用,提出了多种授权类型,如授权码 (Authorization Code Grant)、隐式授权 (Implicit Grant)、RO凭证授权 (Resource Owner Password Credentials Grant)、Client凭证授权 (Client Credentials Grant)。由于本文旨在帮助用户理解OAuth协议,所以我将先介绍这些授权类型的基本思路,然后选择其中最核心、最难理解、也是最广泛使用的一种授 权类型——“授权码”,进行深入的介绍。
2.3 OAuth协议 - 基本思路
http://www.open-open.com/lib/view/open1392863557428.html
扫一扫
1681
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
