OAuth 2.0 基础介绍 1
1.OAuth 2.0是什么
OAuth 2.0是一个授权协议框架,全称(Open Authorization)是为用户资源的授权提供了一个安全的、开放而又简易的标准。互联网很多服务如Web API都提供了OAUTH认证服务。为桌面程序、手机端或web应用提供了一种简单的,标准的方式去访问需要用户授权的API服务。
最常见的是客户端应用,代表资源拥有者访问受保护的资源。
2. 为什么要用OAuth 2.0
以前客户端直接索要用户的用户名和密码,去访问受保护的资源,当客户端属于当第三方应用,即认为是不安全的客户端,当客户端被攻破或用户名和密码泄漏,这意味着该用户在所有系统中的账户都被攻破。如果修改密码,让会其它客户端访问受保护的资源失效。
如何解决呢,常见的就是为客户端颁发一个开发者密钥,让客户端使用该密钥直接调用受保护的资源。一般一个密钥代表一个指定的用户,当密钥泄漏,将会对受保护的资源造成灾难性的损害。
3.OAuth 2.0优点
OAuth 2.0有授权服务器,用于客户端获取令牌,通过令牌访问受保护的资源,一般情况下,客户端的量总比授权服务器和受保护的资源多出好几个数量级。单个授权服务器可以很轻松的保护多个资源服务器,一台授权服务器可以有多个不同的客户端信任等级(控制客户端获取令牌过程的方式,也是授权许可类型)。
客户端只要保持好自身的客户端凭据和用户令牌即可,单个客户端被攻破,只有该客户端的用户受到影响。
4.OAuth 2.0的角色成员
OAuth 2.0系统中有4个主要的角色:资源拥有者,客户端、授权服务器、受保护的资源。这四个组件分别负责OAuth协议的不同部分,并且相互协作使OAuth协议运转。
资源拥有者:是指一个人,不是软件,是授权给客户端的主体。
客户端:代表资源拥有者访问受保护资源的软件,客户端通常是OAuth系统中最简单的组件,它的职责主要是从授权服务器获取令牌,以及通过令牌访问受保护资源,客户端不需要理解令牌,也不需要查看令牌内容,只需要将令牌视为一个不透明的字符串即可。OAuth客户端可以是web应用,原生应用,甚至浏览器内的javascript应用。
OAuth授权服务器:是一个HTTP服务器,它是OAuth系统中充当中央组件,授权服务器对资源拥有者和客户端进行身份认证,让资源拥有者向客户端授权,为客户端颁发令牌。
受保护的资源:是能够通过HTTP服务器进行访问,在访问时需要OAuth访问令牌,一般是指web api服务。
5.访问令牌
OAuth访问令牌,有时也简称令牌,英文叫accessToken。由授权服务器颁发给客户端,客户端通过令牌访问受保护的资源, 受保护的资源验证客户端的令牌。授权服务器和受保护的资源都需要理解令牌本身含义,客户端对这一切一无所知。
6.权限范围
OAuth的权限范围表示一组访问受保护资源的权限,OAuth协议中使用字符串表示权限范围,可以用空格分隔的字符串,权限范围的值不能包含空格。权限范围是由受保护的资源根据自身的API定义的,客户端要以请求某些权限范围。客户端向授权服务器获取令牌时,指定scope权限,如下所示:
request.AddParameter("scope", "openid profile email readPhoto");
7.刷新令牌
OAuth刷新令牌与访问令牌相似,也是由授权服务器颁发给客户端的令牌,客户端不知道也不关心令牌的内容,但该令牌不会发送给受保护的资源,相反客户端使用刷新令牌向授权服务器请求新的访问令牌,需不需要用户参与。
如果刷新令牌失效了,则需要用户在场再次授权。
后端信道通信:授权服务器提供了一个授权端点,供客户端请求访问令牌和刷新令牌,客户端直接向该端点发出请求,携带一组表单格式的参数,授权服务器解析并处理这些参数,然后授权服务器返回一个代表令牌的Json对象,如下所示使用postman客户端:
前端信道通信:客户端与授权服务器端点交互的时候,以web浏览器作发媒介的一种间接通信方式,浏览器隔离了二端的会话,实现了跨域工作,常见的是使用OpenID Connect技术。