OAuth2.0
是目前使用非常广泛的授权机制,用于授权第三方应用获取用户的数据。 举例说明:
![](https://i-blog.csdnimg.cn/blog_migrate/0527f0dafeb1689d215333c8137d0e45.png)
用户可以通过选择其他登录方式来使用百度,这里就使用到了第三方认证。
OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。 ...... 资源所有者同意 以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。
一、OAuth2中的角色
- 资源所有者
能够授予对受保护资源的访问权限的实体,如果资源的所有者为个人,也被成为最终用户
- 资源服务器
存储有受保护资源的服务器, 能够接受并验证访问令牌,并响应受保护资源的访问请求
- 客户
需要被授权,然后再访问受保护资源的实体。客户这个术语,并不是特指应用程序,服务器,计算机等。
- 授权服务器
验证资源所有者并获取授权成功后,向客户发出访问令牌
二、Oauth设计理念
OAuth在"客户端"与"服务提供商"之间,设置一个授权层(authorization layer)。
- “客户端"不能直接登录"服务提供商”,只能登录授权层,以此将用户与客户端区分开来
- "客户端"登录授权层所用的令牌(token),与用户的密码不同。用户可在登录时,指定授权层令牌的权限范围和有效期。
- "客户端"登录授权层以后,"服务提供商"根据令牌的权限范围和有效期,向"客户端"开放用户储存的资料。
三、认证流程
- client 客户
- authorization-server 认证服务
- resource-owner 资源所有者
- resource-server 资源服务器
流程:
- 客户向资源所有者申请授权码
- 资源所有者下发授权码
- 客户拿到授权码后向认证服务器申请令牌
- 认证服务器接到申请下方令牌
- 客户获取令牌后向资源服务器请求数据
四、OAuth2授权方式
由于互联网有多种场景,
OAuth2
定义了四种获取令牌的方式,可以选择合适与自己的方式
- 授权码(authorization-code)
- 隐藏式(implicit)
- 密码式(password):
- 客户端凭证(client credentials)
五、流程
5.1 资源所有者
资源所有者接到客户的请求,需要返回授权码
5.2客户
编写一个controller,向资源所有者发送请求来获取授权码
5.3客户
资源所有者生成授权码后,需要回调客户的一个接口,将授权码传回, 客户得到授权码后,需要向认证 服务器发出请求,申请令牌
5.4认证服务器
认证服务器接到客户请求,生成令牌,并返回令牌数据
5.5客户
客户获取了令牌,并使用令牌向资源服务器请求数据
5.6资源服务器
资源服务器接到请求,返回数据