资源授权?对OAuth2.0的一次重新认识的过程

什么是OAuth?

OAuth一个开放的授权标准允许用户在不提供关键信息(如账号,密码)给第三方应用的前提下,让第三方应用去访问用户在某网站上的资源(如头像,用户昵称等)

OAuth分为OAuth1.0和OAuth2.0两个版本,后来随着OAuth2.0被使用的越来越广泛,OAuth1.0逐渐退出舞台(当然仍有少部分系统在使用1.0授权标准)。下面我们围绕OAuth2进行展开。

OAuth 2.0致力于简化客户端开发人员的工作,同时为Web应用程序,桌面应用程序,移动电话和客厅设备提供特定的授权流程。

我们以博客园登录为例:

新同学小明想在“博客园”发表文章,这时候他进入登录页面,“博客园”登录首页需要小明提供用户名和密码才允许小明登入。

 而由于小明是第一次使用“博客园”,他对博客园可能不是很信任,于是他想通过下方的他信任QQ应用直接登录。

来到这里我们发现,通过授权,“博客园”将获得小明在QQ应用中的资源(昵称,头像,性别),并成功登录“博客园”,而并不需要提供用户名和密码给“博客园”。

上例中“博客园”就是所谓的第三方应用,而QQ就是提供受保护资源的某个应用。

OAuth2四个参与角色

1.资源所有者(Resource Owner):资源的拥有者(上例中:小明)
2.资源服务器(Resource Server):资源所在的服务器(上例中:QQ应用)
3.授权服务器(Authorization Server):用于验证client(第三方应用)的真实性,提供授权码和令牌token。授权服务器可单独部署,也可以和资源服务器一起部署。
4.第三方应用(Client):访问受保护资源的客户端,上例中:博客园

这里,很多同学会对“授权服务器”存在疑惑,上例中博客园登录流程并未体现授权服务器啊?我们接着往下看

OAuth2标准授权流程

结合OAuth2经典流程图,我们一下再来看下小明登录“博客园”的流程。

(A)第三方应用(client)“博客园”向(资源拥有者)小明发起授权请求,即小明点击博客园登录页中的QQ登录。

(B)QQ登录授权页面,小明登录自己的QQ账号,同意授权给“博客园”,并返回授权许可凭证。

(C)第三方应用(client)“博客园”拿着步骤(B)获取的授权许可凭证,向授权服务器发起请求。

(D)授权服务器同意第三方应用(client)“博客园”的请求,并返回一个令牌Token。

(E)第三方应用(client)“博客园”拿着Token请求(资源服务器)QQ应用中的昵称,头像等资源

(F)(资源服务器)QQ应用验证Token通过,并返回资源给第三方应用(client)“博客园”

通过上述流程,我们可以看出,当QQ授权同意后,并不是马上就将QQ应用中的资源返回给第三方客户端的,而是需要客户端拿着授权许可凭证,向授权服务器请求并获取最终的钥匙Token,然后才能获得受保护资源。

显然,授权服务器充当了一个验证client,并颁发token令牌的服务角色。

那么授权许可凭证到底是什么呢?

OAuth2授权许可凭证

1.授权码(Authorization Code)

 该模式目前是功能最完整、流程最严密的授权模式。一般需要client有专门的后端server,根据获取的授权码code在后端server请求令牌token。

上例中博客园登录授权就是用的“授权码模式”,交互流程如下:

1)博客园向小明发起QQ授权请求。

2)QQ授权验证同意后,根据博客园提供的Redirect_url返回,并带上授权码code

3)博客园前端根据返回的url获取授权码code,并在后端server向授权服务器发起请求获取token

4)授权服务验证通过,并以json格式返回token

5)博客园再根据token请求QQ应用中获取受保护资源(头像,昵称等)

   步骤(1),授权请求(Authorization Request):

   client需提供如下主要参数:

   1.client_id:必填,第三方应用唯一标识ID

   2.redirect_uri:必填,授权同意后,重定向地址URL

   3.response_type:必填,授权码模式下固定值为“code”

   4.state:选填,一个状态码,可用于防止跨站请求伪造(CSRF)攻击。客户端发起授权请求时会生成一个状态码与客户端绑定,授权请求成功后会将该state原样返回

   5.scope:选填,标识授权范围

   例如博客园向QQ发起授权请求:

https://graph.qq.com/oauth2.0/show?which=Login&display=pc
&client_id=101880508
&scope=get_user_info
&response_type=code
&redirect_uri=***
&state=*****

    扩展:跨站请求伪造(CSRF)攻击:用户登录了A可信网站,认证信息保存在浏览器cookie中。当用户访问攻击者创建的B网站时,用户认证信息仍有效,攻击者通过在B网站发送一个伪造的请求提交到A网站服务器上,让A网站服务器误以为请求来自于自己的网站。  

 步骤(2),授权请求同意后,返回信息:

  1.code:授权码

  2.state:原样返回,client提交的state状态码

  步骤(3),根据授权码code,后端请求token,client需提供如下参数

1.grant_type:必填。授权码模式,固定值“authorization_code”。

2.code : 必填。授权同意后返回的授权码。

3.redirect_uri:必填。授权同意后,重定向地址URL

4.client_id:必填。第三方应用唯一标识ID。

5.client_secret:必填。第三方应用授权申请的秘钥。

 例如:

POST /oauth/token HTTP/1.1
Host: authorization-server.com
 
grant_type=authorization_code
&code=xxxxxxxxxxx
&redirect_uri=https://example-app.com/redirect
&client_id=xxxxxxxxxx
&client_secret=xxxxxxxxxx

步骤(4),授权认证通过,返回主要参数。

1.access_token:访问令牌。

2.refresh_token:刷新令牌。

3.expires_in:令牌过期时间。

4.token_type:令牌类型。

其中刷新令牌refresh_token的作用是,当访问令牌token失效时,无需重新发起授权获取新的token,根据刷新令牌直接请求授权服务,就可以获取新的令牌。

2.隐式许可(Implicit)

 授权码模式的简化应用,跳过了获取授权码code的过程,直接获取token。一般用于没有后端的Client。

 如果博客园使用该模式,其工作流程:

1)博客园向小明发起QQ授权请求。

2)QQ授权验证同意后,根据博客园提供的Redirect_url返回,并带上令牌token

3)博客园再根据token请求QQ应用中获取受保护资源(头像,昵称等)

  步骤(1),授权请求参数和授权码模式参数一样,唯一不同的参数是response_type,Implicit模式下固定值为“token”。

  步骤(2),授权请求同意后,返回信息:

1.access_token:访问令牌。

2.token_type:令牌类型。

3.expires_in:令牌过期时间。

  注:隐式授权模式颁发的令牌,不提供refresh刷新令牌

URL格式:

格式:https://a.com/callback#token=ACCESS_TOKEN

注意,令牌的位置是 URL 锚点“#”后面,而不是查询字符串“?”后面,这是因为 OAuth2允许跳转网址是 HTTP 协议,因此存在"中间人攻击"的风险,而浏览器跳转时,锚点不会发到服务器,就减少了泄漏令牌的风险。

3.用户密码模式(Resource Owner Password Credentials)

 客户端提供用户名和密码,获取token。前面我们说OAuth2就是为了避免直接提供用户名和密码给第三方应用程序而诞生,那么这里又是怎么回事呢?

 其实,该授权模式的初衷是为服务自己的应用启用密码登录,用户使用其用户名和密码登录该服务的网站或本机应用程序,但是绝对不允许第三方应用程序询问用户密码。

 授权请求,提供参数:

1.grant_type:必填。该模式下固定值为“password”。

2.username:必填。用户登陆名。

3.passward:必填。用户登陆密码。

4.scope:可填。表示授权范围。

5.客户端认证参数:通常如果授权服务管理系统给客户端颁发了身份秘钥信息(client_id,client_secret),那么客户端发起授权请求时需要携带参数client_id和client_secret。或在HTTP Basic auth标头中接受客户端client_secret和密码client_secret

   其中,客户端认证参数:client_id和client_secret主要是用于授权服务验证客户端的身份。如果客户端都没在授权服务管理系统备案(不需要验证客户端身份),那么授权请求就不需要这两个参数。备案又是什么呢?大家请留意文章末尾。

   以postman请求token为例:

   第一种方式:将client_id和client_secret作为请求体参数

 第二种方式:在HTTP Basic auth请求头中单独验证client_secret和client_secret

 

 

 

授权请求同意后,返回主要参数:

1.access_token:访问令牌。

2.token_type:令牌类型。

3.expires_in:令牌过期时间。

4.scope:授权范围

4.客户端模式(Client Credentials)

 当第三方应用程序请求访问令牌以访问其自己的资源(而非代表其他用户去访问资源)时,使用该模式。此时第三方应用程序将自己当成资源所有者,直接请求授权服务器获取令牌token。

 授权请求,提供参数:

1.grant_type:必填。该模式下固定值为“client_credentials”。

2.scope:可填。表示授权范围。

3.客户端认证:必填,包含参数client_id和client_secret;或在HTTP Basic auth标头中接受客户端
client_secret和密码client_secret

以postman请求token为例:

第一种方式:将client_id和client_secret作为请求体参数

 第二种方式:在HTTP Basic auth请求头中单独验证client_secret和client_secret

 

 

 

两种方式效果一致,都是通过client_id和client_secret,让授权服务器验证客户端的身份。

授权请求同意后,返回参数:

1.access_token:访问令牌。

2.token_type:令牌类型。

3.expires_in:令牌过期时间。

4.scope:授权范围

扩展:第三方应用发起授权请求时,client_id和client_secret是哪来的呢?

授权服务提供第三方应用的管理:

第三方应用申请令牌之前,都必须先到授权服务系统备案,说明自己的身份,然后会拿到两个身份识别码:客户端 ID(client ID)和客户端密钥(client secret)。这是为了防止令牌被滥用,没有备案过的第三方应用,是不会拿到令牌的。

5.刷新令牌refresh  token

前面我们说,当授权请求同意后,通常授权服务器会返回一个刷新令牌refresh  token给我们(该返回参数非必选的,由授权服务定制,通常推荐返回该参数)。

当访问令牌access token 过期后,如果重新发起一遍请求令牌的过程显然有点麻烦,这时候通过refresh token发起一次请求可以直接获取新的访问令牌access token。

请求参数:

1.grant_type:必填。固定值为“refresh_token”。

2.refresh_token:必填。

3.scope:可填。表示授权范围。

4.客户端认证:通常如果授权服务管理系统给客户端颁发了身份秘钥信息(client_id,client_secret),那么客户端发起授权请求时需要携带参数client_id和client_secret。或在HTTP Basic auth标头中接受客户端client_secret和密码client_secret。
如果客户端不需要身份认证,则无需携带任何身份认证的信息

例如:

POST /oauth/token HTTP/1.1
Host: authorization-server.com
 
grant_type=refresh_token
&refresh_token=xxxxxxxxxxx
&client_id=xxxxxxxxxx
&client_secret=xxxxxxxxxx

 

本文,我们结合博客园授权QQ登录的案例,描述了OAuth2的基本概念,OAuth2的授权流程以及各种授权模式的使用。多动手,多动手,多动手才能加深自己的理解。

附:推荐几篇值得学习的OAuth2文章

1.OAuth2.0协议标准

2.大神阮一峰的文章:OAuth2.0的四种方式

posted @ 2021-02-26 16:05  跳跃的键盘手  阅读(951)  评论(1编辑  收藏  举报