OAuth 2

OAuth 2简介

OAuth是一个开放标准，该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源（如头像、照片、视频等），而在这个过程中无须将用户名和密码提供给第三方应用。

实现这一功能是通过提供一个令牌（token），而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站在特定的时段内访问特定的资源。这样，OAuth让用户可以授权第三方网站灵活地访问存储在另外一些资源服务器的特定信息，而非所有内容。

例如，用户想通过QQ登录知乎，这时知乎就是一个第三方应用，知乎要访问用户的一些基本信息就需要得到用户的授权，如果用户把自己的QQ用户名和密码告诉知乎，那么知乎就能访问用户的所有数据，并且只有用户修改密码才能收回授权，这种授权方式安全隐患很大，如果使用OAuth，就能很好地解决这一问题。

采用令牌的方式可以让用户灵活地对第三方应用授权或者收回权限。

OAuth 2是OAuth协议的下一版本，但不向下兼容OAuth 1.0。OAuth 2关注客户端开发者的简易性，同时为Web应用、桌面应用、移动设备、起居室设备提供专门的认证流程。

传统的Web开发登录认证一般都是基于Session的，但是在前后端分离的架构中继续使用Session会有许多不便，因为移动端（Android、iOS、微信小程序等）要么不支持Cookie（微信小程序），要么使用非常不便，对于这些问题，使用OAuth 2认证都能解决。

 

OAuth 2角色

要了解OAuth 2，需要先了解OAuth 2中几个基本的角色。

• 资源所有者：资源所有者即用户，具有头像、照片、视频等资源。

• 客户端：客户端即第三方应用，例如上文提到的知乎。

• 授权服务器：授权服务器用来验证用户提供的信息是否正确，并返回一个令牌给第三方应用。

• 资源服务器：资源服务器是提供给用户资源的服务器，例如头像、照片、视频等。

一般来说，授权服务器和资源服务器可以是同一台服务器。

 

OAuth 2授权流程

OAuth 2的授权流程到底是什么样的呢？如图所示。

 

这是OAuth 2一个大致的授权流程图，具体步骤如下：

步骤01 客户端（第三方应用）向用户请求授权。

步骤02 用户单击客户端所呈现的服务授权页面上的同意授权按钮后，服务端返回一个授权许可凭证给客户端。

步骤03 客户端拿着授权许可凭证去授权服务器申请令牌。

步骤04 授权服务器验证信息无误后，发放令牌给客户端。

步骤05 客户端拿着令牌去资源服务器访问资源。

步骤06 资源服务器验证令牌无误后开放资源。

这是一个大致的流程，因为OAuth 2中有4种不同的授权模式，每种授权模式的授权流程又会有差异。

 

授权模式

OAuth协议的授权模式共分为4种，分别说明如下。

• 授权码模式：授权码模式（authorization code）是功能最完整、流程最严谨的授权模式。它的特点就是通过客户端的服务器与授权服务器进行交互，国内常见的第三方平台登录功能基本都是使用这种模式。

• 简化模式：简化模式不需要客户端服务器参与，直接在浏览器中向授权服务器申请令牌，一般若网站是纯静态页面，则可以采用这种方式。

• 密码模式：密码模式是用户把用户名密码直接告诉客户端，客户端使用这些信息向授权服务器申请令牌。这需要用户对客户端高度信任，例如客户端应用和服务提供商是同一家公司。

• 客户端模式：客户端模式是指客户端使用自己的名义而不是用户的名义向服务提供者申请授权。严格来说，客户端模式并不能算作OAuth协议要解决的问题的一种解决方案，但是，对于开发者而言，在一些前后端分离应用或者为移动端提供的认证授权服务器上使用这种模式还是非常方便的。

这4种模式各有千秋，分别适用于不同的开发场景，开发者要根据实际情况进行选择。

 

文章来源: Spring Boot+Vue全栈开发实战 - 10.4 OAuth 2