OAuth 2.0定义了四种授权方式。
1.授权码模式(authorization token)
2.简化模式(implicit)
3.密码模式(resource owner password credentials)
4.客户端模式(client credential)
在详细讲解OAuth 2.0之前,先了解下面的几个专业名词,以便大家更好的去理解
(1)、third-party application : 第三方应用程序 --如CSDN博客系统
(2)、http service : 服务提供商 --如微信
(3)、user-agent : 用户代理 --如浏览器
(4)、authorization server : 认证服务器 --服务器提供商专门处理认证的服务器
(5)、resource owner: 资源拥有者 --比如我是微信用户
运行流程图如下:摘抄别人的(逻辑很清晰的图)
一、授权码模式的图解
在(A)Client Identifer 的url中,包含以下参数:
(1) response_type:表示授权类型,必须。固定值为"code"
(2) client_id : 客户端ID ,必选
(3) redirect_uri : 重定向URL,必选
(4) scope:表示申请的权限范围,可选
(5) state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。
例子
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com
在(C)Authorization Code 步骤中,服务器回应客户端的URI,包含以下参数:
- code:表示授权码,必选项。该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。
- state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。
HTTP/1.1 302 Found #302是重定向的http状态码
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
&state=xyz
D步骤中,客户端向认证服务器申请令牌的HTTP请求,包含以下参数:
- grant_type:表示使用的授权模式,必选项,此处的值固定为"authorization_code"。
- code:表示上一步获得的授权码,必选项。
- redirect_uri:表示重定向URI,必选项,且必须与A步骤中的该参数值保持一致。
- client_id:表示客户端ID,必选项。
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
E步骤中,认证服务器发送的HTTP回复,包含以下参数:
- access_token:表示访问令牌,必选项。
- token_type:表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
- expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
- refresh_token:表示更新令牌,用来获取下一次的访问令牌,可选项。
- scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store #Cache-Control : no-store 不缓存任何数据
Pragma: no-caches
{
"access_token":"UNs15sc15Sc16Zcs16SD51S",
"token_type":"example",
"expires_in":3600,
"refresh_token":"ZOKIneafonozn5SCd;",
"example_parameter":"example_value"
}