Oauth 2.0认证机制

Oauth 2.0是目前流行的授权机制，用来授权第三方应用。

例如：使用微信、支付宝登录就是比较常见的场景

OAuth 的核心就是向第三方应用颁发令牌，OAuth 2.0 规定了四种获得令牌的流程。你可以选择最适合自己的那一种，向第三方应用颁发令牌

授权码（authorization-code）

授权码（authorization code）方式，指的是第三方应用先申请一个授权码，然后再用该码获取令牌。

这种方式是最常用的流程，安全性也最高，它适用于那些有后端的 Web 应用。授权码通过前端传送，令牌则是储存在后端，而且所有与资源服务器的通信都在后端完成。这样的前后端分离，可以避免令牌泄漏。

第一步，A 网站提供一个链接，用户点击后就会跳转到 B 网站，授权用户数据给 A 网站使用。下面就是 A 网站跳转 B 网站的一个示意链接。

https://b.com/oauth/authorize?
  response_type=code&
  client_id=CLIENT_ID&
  redirect_uri=CALLBACK_URL&
  scope=read

上面 URL 中，response_type参数表示要求返回授权码（code），client_id参数让 B 知道是谁在请求，redirect_uri参数是 B 接受或拒绝请求后的跳转网址，scope参数表示要求的授权范围（这里是只读）。

第二步，用户跳转后，B 网站会要求用户登录，然后询问是否同意给予 A 网站授权。用户表示同意，这时 B 网站就会跳回redirect_uri参数指定的网址。跳转时，会传回一个授权码，就像下面这样。

https://a.com/callback?code=AUTHORIZATION_CODE

上面 URL 中，code参数就是授权码。

第三步，A 网站拿到授权码以后，就可以在后端，向 B 网站请求令牌。 

https://b.com/oauth/token?
 client_id=CLIENT_ID&
 client_secret=CLIENT_SECRET&
 grant_type=authorization_code&
 code=AUTHORIZATION_CODE&
 redirect_uri=CALLBACK_URL

 上面 URL 中，client_id参数和client_secret参数用来让 B 确认 A 的身份（client_secret参数是保密的，因此只能在后端发请求），grant_type参数的值是AUTHORIZATION_CODE，表示采用的授权方式是授权码，code参数是上一步拿到的授权码，redirect_uri参数是令牌颁发后的回调网址。

第四步，B 网站收到请求以后，就会颁发令牌。具体做法是向redirect_uri指定的网址，发送一段 JSON 数据。

{    
  "access_token":"ACCESS_TOKEN",
  "token_type":"bearer",
  "expires_in":2592000,
  "refresh_token":"REFRESH_TOKEN",
  "scope":"read",
  "uid":100101,
  "info":{...}
}

上面 JSON 数据中，access_token字段就是令牌，A 网站在后端拿到了。  

OAuth 2.0在设计上区分了授权和令牌的返回过程，主要是出于安全性和灵活性的考虑。

1. 减少令牌暴露风险：在授权码流程中，用户首先会被重定向到授权服务器，并且在那里直接与授权服务器交互，完成认证和授权。这时候获取到的是授权码而非实际的访问令牌。授权码本身通常有很短的有效期，并且只能使用一次。即使这个授权码被截获，攻击者由于没有客户端的认证信息，也无法通过授权码换取访问令牌。

2. 保护用户凭证：用户的登录凭证（如用户名和密码）不用在客户端输入，而是直接在授权服务器上输入，这样用户的凭证就不会经过客户端，降低了用户凭证被泄露的风险。

3. 客户端验证：在使用授权码换取访问令牌时，客户端需要向授权服务器提供它自己的认证信息（client_id 和 client_secret 或其他认证方法），这个过程确保了只有经过认证的客户端才能获取访问令牌，增加了安全性。

4. 中间人攻击防护：分开的流程减少了中间人攻击的机会。因为即使在授权阶段中间人拦截了授权码，由于不知道客户端的秘密（client_secret），也无法得到访问令牌。

5. 安全的重定向：通过授权码的方法，提供了对回调重定向的更好控制。授权服务器可以验证重定向的URL是否在预先注册的安全列表中，从而避免将授权码重定向到恶意网站。

6. 限制访问范围：在用户授权阶段，可以明确授权的范围(scope)，仅允许访问用户明确同意的数据。这种精细化的访问控制进一步增强了用户数据的安全性。

7. 允许细粒度的控制：通过分开授权和令牌获取过程，OAuth 2.0允许在用户授权时就对授权范围、有效期等进行细粒度的控制。这样，当客户端随后使用授权码获取令牌时，令牌的权限和有效期已经根据之前的授权明确了。这有助于进一步提升系统的安全性和透明度，同时也让用户更清楚地知道自己授权了哪些权限。

总的来说，OAuth 2.0将授权和令牌获取过程分开，主要是为了提高安全性、灵活性和可控性。这种设计虽然在某些情况下会增加实施的复杂度，但是从长远来看，能够更好地保护用户数据和系统安全。

隐藏式（implicit）

有些 Web 应用是纯前端应用，没有后端。这时就不能用上面的方式了，必须将令牌储存在前端。允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤，所以称为（授权码）"隐藏式"（implicit）。

第一步，A 网站提供一个链接，要求用户跳转到 B 网站，授权用户数据给 A 网站使用。

https://b.com/oauth/authorize?
  response_type=token&
  client_id=CLIENT_ID&
  redirect_uri=CALLBACK_URL&
  scope=read

上面 URL 中，response_type参数为token，表示要求直接返回令牌。

第二步，用户跳转到 B 网站，登录后同意给予 A 网站授权。这时，B 网站就会跳回redirect_uri参数指定的跳转网址，并且把令牌作为 URL 参数，传给 A 网站。

https://a.com/callback#token=ACCESS_TOKEN

上面 URL 中，token参数就是令牌，A 网站因此直接在前端拿到令牌。

注意，令牌的位置是 URL 锚点（fragment），而不是查询字符串（querystring），这是因为 OAuth 2.0 允许跳转网址是 HTTP 协议，因此存在"中间人攻击"的风险，而浏览器跳转时，锚点不会发到服务器，就减少了泄漏令牌的风险。

这种方式把令牌直接传给前端，是很不安全的。因此，只能用于一些安全要求不高的场景，并且令牌的有效期必须非常短，通常就是会话期间（session）有效，浏览器关掉，令牌就失效了。 

密码式（password）

如果你高度信任某个应用，Oauth也允许用户把用户名和密码，直接告诉该应用。该应用就使用你的密码，申请令牌，这种方式称为"密码式"（password）。

第一步，A 网站要求用户提供 B 网站的用户名和密码。拿到以后，A 就直接向 B 请求令牌。

https://oauth.b.com/token?
  grant_type=password&
  username=USERNAME&
  password=PASSWORD&
  client_id=CLIENT_ID

上面 URL 中，grant_type参数是授权方式，这里的password表示"密码式"，username和password是 B 的用户名和密码。

第二步，B 网站验证身份通过后，直接给出令牌。注意，这时不需要跳转，而是把令牌放在 JSON 数据里面，作为 HTTP 回应，A 因此拿到令牌。

这种方式需要用户给出自己的用户名/密码，显然风险很大，因此只适用于其他授权方式都无法采用的情况，而且必须是用户高度信任的应用。

客户端凭证（client credentials）

适用于没有前端的命令行应用，即在命令行下请求令牌。

第一步，A 应用在命令行向 B 发出请求。

https://oauth.b.com/token?
  grant_type=client_credentials&
  client_id=CLIENT_ID&
  client_secret=CLIENT_SECRET

上面 URL 中，grant_type参数等于client_credentials表示采用凭证式，client_id和client_secret用来让 B 确认 A 的身份。

第二步，B 网站验证通过以后，直接返回令牌。

这种方式给出的令牌，是针对第三方应用的，而不是针对用户的，即有可能多个用户共享同一个令牌。

微信授权登录