本篇笔记记录了OAuth协议的基本概念,OAuth2.0协议解决的问题以及基本流程,授权码模式(authorization code)的认证步骤和涉及到的参数及示例
OAuth协议基本概念
OAuth 是 Open Authorization 的简写,OAuth协议是第三方平台在不触及用户敏感信息(如:密码)的情况下,经用户授权,获得用户资源的协议
OAuth2.0协议解决的问题
任何身份认证,本质上都是基于对请求方的不信任所产生的,OAuth2.0正是为了解决用户(这里是指属于服务方的用户)、服务方(如微信、微博等)、第三方应用之间的信任问题
OAuth2协议的基本流程
1.用户访问第三方应用。
2.第三方应用请求用户授权
3.用户同意授权,返回一个一次性授权凭据(code)
4.第三方应用通过第3步的授权凭据(code)和服务方分配给它的的身份凭据(如AppId)向授权服务器申请访问令牌(Access Token)
5.授权服务器验证凭证(code)通过后,同意授权,并返回一个资源访问令牌(Access Token)
6.第三方应用通过第5步的凭证(Access Token)向资源服务器请求相关资源
7.资源服务器验证访问令牌(Access Token)通过后,将第三方应用请求的资源返回
授权模式
第三方应用必须得到用户的授权,才能获得访问令牌(Access Token),OAuth 2.0定义了四种授权方式。
授权码模式(authorization code)
简化模式(implicit)
密码模式(resource owner password credentials)
客户端模式(client credentials)
授权码模式
授权码模式(authorization code)是功能最完整、流程最严密的授权模式
授权步骤:
1.用户访问第三方应用,第三方应用将用户导向认证服务器
参数:
名称含义
response_type表示授权类型,必选项,此处的值固定为"code"
client_id表示客户端的ID,必选项。(如微信授权登录,此ID是APPID)
redirect_uri表示重定向URI,可选项
scope表示申请的权限范围,可选项
state表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值
示例:
2.用户选择是否给予第三方应用授权
3.假设用户给予授权,认证服务器将用户导向第三方应用事先指定的重定向URI,同时带上一个授权码
参数:
名称含义
code表示授权码,必选项。该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。
state如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。
示例:
4.第三方应用收到授权码,带上上一步时的重定向URI,向认证服务器申请访问令牌。这一步是在第三方应用的后台的服务器上完成的,对用户不可见
参数:
名称含义
grant_type表示使用的授权模式,必选项,此处的值固定为"authorization_code"。
code表示上一步获得的授权码,必选项。
redirect_uri表示重定向URI,必选项,且必须与步骤1中的该参数值保持一致。
client_id表示客户端ID,必选项。
示例:
5.认证服务器核对了授权码和重定向URI,确认无误后,向第三方应用发送访问令牌(Access Token)和更新令牌(Refresh token)
参数:
名称含义
access_token表示访问令牌,必选项。
token_type表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
expires_in表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
refresh_token表示更新令牌,用来获取下一次的访问令牌,可选项。
scope表示权限范围,如果与客户端申请的范围一致,此项可省略。
示例:
6.访问令牌过期后,刷新访问令牌
参数:
名称含义
granttype表示使用的授权模式,此处的值固定为"refreshtoken",必选项。
refresh_token表示早前收到的更新令牌,必选项。
scope表示申请的授权范围,不可以超出上一次申请的范围,如果省略该参数,则表示与上一次一致。
示例:
2707
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
