OAuth2.0 协议入门指南

最新推荐文章于 2023-08-31 10:16:45 发布
最新推荐文章于 2023-08-31 10:16:45 发布
阅读量170 收藏
点赞数
文章标签: 移动开发 操作系统 密码学
原文链接:https://yq.aliyun.com/articles/586621
版权

本文希望以应用场景的角度出发,帮助大家快随了解OAuth协议流程,更为清楚明白的介绍在各种情况使用什么授权模式更为合适。
OAuth2 官网
原文地址
本系列相关文章:
OpenID Connect 协议入门指南
SAML2.0入门指南

1. 协议中各种角色:应用、API和用户

第三方应用:客户端
客户端,即尝试去获得用户账号信息的应用,用户需要先对此操作授权。

API: 资源服务器
即资源服务器,提供用来获得用户信息的API。

授权服务器
授权服务器用来提供接口,让用户同意或者拒接访问请求。在某些情况下,授权服务器和API资源服务器会是同一个,但是在大多数情况下,二者是独立的。

用户:资源的拥有者
资源的拥有者,当前的请求正在尝试获得他们账户的部分信息。

2. 创建App

在开始OAuth流程之前,你首选需要注册一个新应用到服务器。通常在注册的过程中,需要提供应用的基本信息,比如应用名称、网站信息、logo等等。此外,你还需要注册一个重定向URI,用以将用户通过浏览器或者移动客户端重定向回Web服务器,这个URI很重要,在后面的我们会具体讲到

2.1 重定向URI

服务器只会把用户重定向回注册过的URI以避免一些安全攻击。任何HTTP的从定向请求都必须使用TLS保护,所以要求使用HTTPS。这样的要求是为了防止token在传输的过程中被截获。对于原生APP,重定向的URI可以被注册为一个自定义的URL scheme,比如

demoapp://redirect

2.2 Client ID & Secret

当注册完毕之后,一般会返回给用户一个客户端ID(Client ID)和一个客户端密钥(Client Secret)。这个ID一般是公开的信息,用来构造登录URL,或者被包含在页面的JS代码中。这个密钥(Secret) 必须是保密的。如果一个已经部署的应用不能保护密钥,比如一个简单的JS网页,则不应该使用客户端密钥,同时理论上服务器也不应该向这类应用颁发密钥。

3. 授权:得到授权码

OAuth 2流程的第一步是获得用户的授权。对于基于浏览器应用或是移动应用,这一步通常是在服务器显示给用户的接口上完成。

OAuth 2提供了多种授权模式(grant types),根据不同的情况而使用。

  • 授权码模式:适用于Web应用、浏览器应用或是移动APP;
  • 口令模式:适用于使用用户名和口令登录的模式;
  • 应用访问模式:适用于应用访问;
  • 默认模式:之前被推荐在没有Secret情况下使用,现在被没有客户端密钥的授权码模式取代。

每一个模式的使用细节将在下面的章节中说明。

3.1 Web服务

Web服务是最常见的应用类型。用户所使用的Web App程序运行在服务器端,其源码不会公开暴露,这就代表着这类应用在授权的过程中可以使用客户端密钥(Client Secret),以避免某些攻击手段。

3.1.1 授权

创建登录链接,将用户重定向到授权服务器:

https://oauth2server.com/auth?response_type=code&
 client_id=CLIENT_ID&redirect_uri=REDIRECT_URI&scope=photos&state=1234zyx
  • code: 代表服务器希望收到授权码;
  • client_id: 注册应用时颁发的ID;
  • redirect_uri: 指明当用户授权完成之后返回的地址;
  • scope: 一个或多个值,用来指明希望获得用户账户哪部分权限;
  • state:由应用生成的一个随机字符串,会在稍后的过程中去验证。

通过以上的链接,用户将会看到如下的界面


image.png

当用户点击“Allow”之后,授权服务器会把用户重定向回应用网站,并在链接中带上授权码:

https://oauth2client.com/cb?code=AUTH_CODE_HERE&state=1234zyx
  • code: 服务器返回的授权码;
  • state: 返回请求授权码过程中发送的state;

当应有接收到这个请求时,要首先验证state是否就是应用刚才发送的值。在发送state之后,可以把state保存到Session以便于后续的比较。这样做的目的是防止应用接受任意伪造的授权码。

3.1.2 换取Token

然后使用授权码到资源服务器换取Token:

POST https://api.oauth2server.com/token
  grant_type=authorization_code&
  code=AUTH_CODE_HERE&
  redirect_uri=REDIRECT_URI&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET
  • grant_type=authorization_code - 代表授权模式为验证码;
  • code=AUTH_CODE_HERE - 验证码;
  • redirect_uri=REDIRECT_URI - 重定向URI;
  • **client_id=CLIENT_ID **- 注册应用时颁发的ID;
  • client_secret=CLIENT_SECRET - 客户端密钥,因为当前请求时服务器之间传输的,并没有暴露给用户。

API服务器会返回授权码和其有效期:

{
  "access_token":"RsT5OjbzRn430zqMLgV3Ia",
  "expires_in":3600
}

或者是授权失败的提示:

{
  "error":"invalid_request"
}

安全性提示:服务器要求应用必须提前注册从定向URI

3.2 纯页面应用

纯页面应用,也称为浏览器应用,其所有运行代码都会加载到本地的浏览器上。因此其代码会暴露给使用者的浏览器,不能保护客户端密钥的安全,所以客户端密钥不能在这种情况下使用,除此之外其和Web应用没有太大区别。

以前,曾经推荐使用默认模式(implicit type),该种模式将会直接返回token,并不使用授权码来换取token。但是到了本文编写之时,业界已经开始转为推荐使用没有Scret的授权码流程,这样这样协议流程更为安全,具体内容请见引文: Redhat, Deutsche Telekom, Smart Health IT.

3.2.1 授权

创建登录链接,将用户发送至授权服务器:

https://oauth2server.com/auth?response_type=code&
client_id=CLIENT_ID&redirect_uri=REDIRECT_URI&scope=photos&state=1234zyx
  • code - 指明使用授权码模式;
  • client_id - 注册时颁发的client ID;
  • redirect_uri - 重定向URI,代表当授权完成之后,返回的路径;
  • scope - 一个或多个值,代表所希望访问当前用户的那部分信息;
  • state - 由于后续步骤验证实用的随机字符串。
    之后,同样用户会显示授权页面:
    image.png

    当用户点击“Allow”,授权服务器依据重定向URI将用户返回到应用网站:
https://oauth2client.com/cb?code=AUTH_CODE_HERE&state=1234zyx
  • code - 授权服务器返回的授权码;
  • state - 登录请求中发出的随机码;

应有服务器收到该请求之后,应该先核对state的值,以避免接受伪造的授权码;

3.2.2 换取Token

POST https://api.oauth2server.com/token
  grant_type=authorization_code&
  code=AUTH_CODE_HERE&
  redirect_uri=REDIRECT_URI&
  client_id=CLIENT_ID
  • grant_type=authorization_code - 代表授权模式为验证码;
  • code=AUTH_CODE_HERE - 验证码;
  • redirect_uri=REDIRECT_URI - 重定向URI;
  • **client_id=CLIENT_ID **- 注册应用时颁发的ID;

3.3 移动APP

以前,曾经推荐使用默认模式(implicit type),该种模式将会直接返回token,并不使用授权码来换取token。但是到了本文编写之时,业界已经开始转为推荐使用没有Scret的授权码流程,这样这样协议流程更为安全,

类似于纯页面应用,移动应用不能包含客户端密钥,所以使用的是没有客户端密钥的Oauth流程。此外,对于移动APP,还有一些特别地方需要注意。

3.3.1 授权

创建一个登陆按钮,将用户跳转到服务器在手机上原生APP,或是通过手机的浏览器跳转到服务器Web页面、无论是IOS还是Android,都可以通过URL Scheme协议启动本地APP;

3.3.1.1 使用服务器的APP

如果用户安装了服务器的原生APP,比如微博APP或是微信APP,可以通过URL来直接启动APP:

fbauth2://authorize?response_type=code&client_id=CLIENT_ID
  &redirect_uri=REDIRECT_URI&scope=email&state=1234zyx
  • code - 指明使用授权码模式;
  • client_id - 注册时颁发的client ID;
  • redirect_uri - 重定向URI,代表当授权完成之后,返回的路径;
  • scope - 一个或多个值,代表所希望访问当前用户的那部分信息;
  • state - 由于后续步骤验证实用的随机字符串。

对于还要支持PKCE extension的服务器,还需要创建一个随机字符串("code verifier")保存本地,然后再URL中追加如下参数:

  • code_challenge=XXXXXXX - 过base64编码后的"code verifier"的Hash值;
  • code_challenge_method=S256 - 指明Hash算法种类,这里是sha256;

需要说明的是,这里的URL用的协议App提前向操作系统定义好的。

3.3.1.2 使用手机Web浏览器

如果服务器在手机上没有一个原生的APP,也可以通过手机浏览器上来走标准的Web认证流程。这里需要注意的是,不要使用应用内置的WebView,因为这样就不无法保证用户正在登陆网站是不是伪造的。

一般是使用移动端的原生浏览器,对于IOS 9+版本的用户,可以使用“SafariViewController”在应用中启动嵌入浏览器,这个API会显示地址栏让用户判断是否打开正确的网页,同时还提供和Safari浏览器共享cookie的功能。该API能保证应用被注入和修改,所以可以被认为是安全的。对于Android开发者,可以考虑使用Chrome Custom Tabs来提供类似的功能。

https://facebook.com/dialog/oauth?response_type=code&client_id=CLIENT_ID
 &redirect_uri=REDIRECT_URI&scope=email&state=1234zyx

参数的意义和使用服务器原生APP的情况是一样的。比如用户登录FaceBook,就会在手机上看到如下界面:

everyday-city-auth.png

3.3.2 换取Token

当用户点击"Approve"之后,用户将会被重定向到应用,同样可以使用URL Scheme:

fb00000000://authorize#code=AUTHORIZATION_CODE&state=1234zyx

应用收到该请求之后,要先比较state的值是否满足预期,然后用授权码来换取Token。

换取Token的过程和在Web中请求类似,只不过没有加入Client Secret。如果服务器需要支持PKCE,则还需要添加更多的参数:

POST https://api.oauth2server.com/token
  grant_type=authorization_code&
  code=AUTH_CODE_HERE&
  redirect_uri=REDIRECT_URI&
  client_id=CLIENT_ID&
  code_verifier=VERIFIER_STRING
  • grant_type=authorization_code - 标识这是授权码模式;
  • code=AUTH_CODE_HERE - 授权码;
  • redirect_uri=REDIRECT_URI -重定向URL;
  • client_id=CLIENT_ID - Client ID;
  • code_verifier=VERIFIER_STRING - 之前步骤中,生成的随机字符串

如果服务器支持PKCE,则授权服务器需要能“Code-Challenge”中识别code,也就是提供再次对code_verifier进行Hash,并且比较计算出的Hash值和之前的code_challenge是否一致,以此代替Client Secret,保证安全性。

3.4 其他授权模式

3.4.1 口令模式

这种模式直接使用用户名和口令来取回Token。很显然,这要求应用去收集用户的口令,所以只建议当前的APP是专门为服务器设计的情况下使用。比如Twitter的App使用该模式登录。

POST https://api.oauth2server.com/token
  grant_type=password&
  username=USERNAME&
  password=PASSWORD&
  client_id=CLIENT_ID
  • grant_type=password - 指明使用口令模式;
  • username=USERNAME - 用户名;
  • password=PASSWORD - 口令;
  • client_id=CLIENT_ID - client ID;

资源服务器返回的Token和其他模式是一样的。值得注意的是,因为口令模式多用于移动端和桌面应用,使用Secret并不合适

3.4.2 应用访问模式

在一些情况下,是应用去访问服务区获取资源,而不是某个用户。比如应用去获取一些服务在应用配置信息,这些信息不属于某个用户的。在这种情形下,应用也需要被授权,得到Token去访问数据,这就是应用访问模式的意义。

OAuth提供了client_credentials模式来结局这个问题:

POST https://api.oauth2server.com/token
    grant_type=client_credentials&
    client_id=CLIENT_ID&
    client_secret=CLIENT_SECRET

资源服务器返回形式和其他模式是相同的。

4. 创建已经授权的请求

最后就是使用Token获取资源,如何表面一个请求是已经呗授权?就是Http的头中加入Token:

curl -H "Authorization: Bearer RsT5OjbzRn430zqMLgV3Ia" \
https://api.oauth2server.com/1/me

另外还要确保是使用HTTPS通信,这样才能确保信息安全。

5. 与OAuth 1.0版本的差异

最后说明下两个版本的OAuth协议有什么不同点。

5.1 认证和签名

OAuth 1.0 流程中有大量密码学上的签名操作,以保证数据完整性;OAuth 2中有HTTPS来保护数据。

5.2 用户体验

和OAuth 1.0相比,OAuth 2在移动端的体验更好。

5.3 性能

和OAuth 1.0相比,OAuth 2性能更好,减少了流程的步骤。

其他参考

Learn more about creating OAuth 2.0 Servers
PKCE Extension
Recommendations for Native Apps
More information is available on OAuth.net
Some content adapted from hueniverse.com.

weixin_34384681
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
codeChallenge:Code Challenge是一个用于测试小代码问题并实时评估其解决方案的平台
04-30
代码挑战 Code Challenge是一个用于测试小代码问题并实时评估其解决方案的平台。 它支持基本身份验证和cookie。 它是一个使用React,React-Bootstrap,Node.js,Express和MongoDB构建的同构应用程序。 演示版 入门 安装 注意:确保mongoDB已安装并正在运行。 第一的 $ git clone https://github.com/jmariomejiap/codeChallenge.git 安装依赖项。 $ npm install 或者 $ yarn install 如果要在本地运行Code Challenge。 $ npm start 并转到 挑战数据 例子 挑战的数据结构。 挑战数据 数学 001 代码 描述 info.json 可以将新挑战添加到Challenge_data文件夹中。 每个挑战(例如数学)都可以进行多
Java--MD5加密
yanlzhl的博客
01-22 625
import java.security.MessageDigest; public class MD5Util { /*** * MD5加码 生成32位md5码 */ public static String string2MD5(String inStr){ MessageDigest md5 = null; try{
Oauth2.0实战
qq_41201565的博客
07-22 2095
oauth2.0 授权
PKCE 流程中,code_verifier 和 code_challenge 的生成
weixin_44951259的博客
08-31 451
Oauth2 的 PKCE 流程中, code_verifier 和 code_challenge 的生成规则
OAuth 2.0实战课 07-08 笔记
fuxuan_7的博客
11-29 1006
极客时间 OAuth 2.0实战课 07-08 笔记 移动端使用OAuth2.0 无server端APP (OAuth2.0 不建议) 为避免请求访问令牌时需要的 app_secret 只能保存在用户本地设备上带来的安全隐患,OAuth2.0给出指导方案: PKCE 协议(Proof Key for Code Exchange by OAuth Public Clients :OAuth公共客户端代码交换的证明密钥)。 可通过code_verifier 和 code_challenge挑战码来代替app
OAuth2.0协议中文版.pdf
03-27
OAuth2.0OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用...
OAuth2.0协议原理与实现
03-08
OAuth2.0协议原理与实现
OAuth 2.0授权协议详解
10-25
主要介绍了OAuth 2.0授权协议详解,本文对OAuth协议做了详解讲解,对OAuth协议的各个方面做了分解,读完本文你就会知道到底啥是OAuth了,需要的朋友可以参考下
Oauth2.0 协议 服务端 客户端 thinkphp5.0
02-08
Oauth2.0协议 整合php框架 客户端 服务端授权码模式小demo
oauth2.0协议授权
08-15
基于oauth2.0开发的一套授权服务,其中包括一些实体类是需要自己定义的,是无法拿到即用的,需要自己看懂并且应用于自己的项目
code_challenge:代码库的代码挑战
03-04
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: 纱线安装 yarn start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误。 yarn test 在交互式监视模式下启动测试运行器。 有关更多信息,请参见关于的部分。 yarn build 构建生产到应用程序build文件夹。 它在生产模式下正确捆绑了React,并优化了构建以获得最佳性能。 生成被最小化,并且文件名包括哈希值。 您的应用已准备好进行部署! 有关更多信息,请参见关于的部分。 yarn eject 注意:这是单向操作。 eject ,您将无法返回! 如果您对构建工具和配置选择不满意,则可以随时eject 。 此命令将从您的项目中删除单个生成依赖项。 相反,它将所有配置文件和传递依赖项(w
code-challenge
04-07
CodeWizardsHQ代码挑战的官方存储库
code_challenges:网络上的一些编码挑战
05-15
代码挑战 这些都是来自网络和旧工作面试的一大堆挑战 Google Code Jam:旧的Google Code Jam带来了两个挑战 Spotify:在Spotify网站上发现的一些挑战 卡片组挑战:模拟卡片组的挑战。 作为工作面试的一部分被给予了 RedditDailyChallenge来自www / reddit.com / r / dailyprogrammer
code_challenge:该项目是Statflo的Spring Boot制作的VanHack Leap编码挑战赛的一部分
05-15
挑战 此项目是Statflo为VanHack Leap进行的编码挑战的一部分。 这是Java服务器代码存储库,该存储库实现了一个简单的应用程序,该应用程序可与两个REST API一起使用。 该项目建立在非常知名和值得信赖的技术和框架的基础上: Java 8; Sprint Boot子; H2数据库; 数据存储; JPA; Maven。 如果需要在项目中应用任何更改(例如服务器端口),可以通过修改位于“ code_challenge / src / main / resources”目录中的applications.properties文件来执行。 由于此项目由Maven管理,因此可以通过在终端中输入以下命令来生成它的构建(确保您位于项目的pom.xml文件所在的目录中): mvn clean package 此命令将在项目目录内名为“ target”的文件夹中生成一个名
CodeChallenge
04-17
挑战代码 我考虑过数据的标准化形式 我在创建mdf文件时遇到了麻烦,因为我使用的是工作笔记本电脑,并且出于安全原因无法使用bcoz,所以我无法安装任何文件或创建mdf文件来使用realdata 关于标准化数据的第一个问题,我想将所有员工数据提取到1个表EmployeeInfo中,该表包含(Firstname,Lastname,Address,EmployeeId),其中employeeId是标识种子设置为1的主键,EmployeeType将是一个查找/类型表它可以包含…所有3种不同的员工类型(员工/主管/经理),并且是api prj中的一个枚举 EmployeeFinancials tbl可以是子tbl,它可以与emp表建立fk关系,并且可以保存所有财务数据,如薪水,时薪,年薪。 我在存储库/上下文类中嘲笑了fakedata,并测试了它是否可以与邮递员一起使用。 我想进行快速设置,但
认证学习6 - Oauth2认证讲解、代码实现、演示
weixin_39651356的博客
09-19 1258
认证学习6 - Oauth2认证讲解、代码实现、演示
OAuth2】二十、OAuth2扩展协议 PKCE
weixin_43333483的博客
08-09 2952
OAuth2扩展协议 PKCE
Spring Security OAuth2 带有用于代码交换的证明密钥 (PKCE) 的授权码流
new_ord的博客
07-17 1699
保护OAuth2公共客户端中的授权代码流,使用了一个名为代码交换证明密钥 (PKCE) 的扩展。
移动端获得微信openid_构建用于移动设备的OpenID Connect流
weixin_26722031的博客
08-31 606
移动端获得微信openidFinding precise guidelines on how to implement OpenID Connect for native mobile apps is a harsh journey. Most resources available don’t follow best practices and the other ones leave some...
oauth2.0协议中文文档
最新发布
10-18
以下是OAuth 2.0协议中文文档的一些重要内容: 1. 术语解释:文档解释了OAuth 2.0协议中使用的一些术语,例如“资源所有者”(资源的拥有者,即用户)、“客户端”(需要访问资源的应用程序)以及“授权服务器”...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值