OAuth2 授权开放标准

码匠君 ... 2021-10-28 大约 12 分钟

# OAuth2 授权开放标准

# 介绍

OAuth 全称是 Open Authentication

开放授权(OAuth)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth 让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非所有内容。

目前使用最广泛的是 OAuth 2.0OAuth 1.0 已经被废弃了。本文中的OAuth都是指 OAuth 2.0

# OAuth2授权流程中的角色

  • 资源拥有者(resource owner):能授权访问受保护资源的一个实体,可以是一个人,那我们称之为最终用户;
  • 资源服务器(resource server):存储受保护资源,客户端通过access token请求资源,资源服务器响应受保护资源给客户端;
  • 授权服务器(authorization server):成功验证资源拥有者并获取授权之后,授权服务器颁发授权令牌(Access Token)给客户端。
  • 客户端(client):第三方应用,也可以是它自己的官方应用;其本身不存储资源,而是资源拥有者授权通过后,使用它的授权(授权令牌)访问受保护资源,然后客户端把相应的数据展示出来/提交到服务器。

# 令牌与密码

令牌(token)与密码(password)的作用是一样的,都可以进入系统,但是有三点差异。

  • (1)令牌是短期的,到期会自动失效,用户自己无法修改。密码一般长期有效,用户不修改,就不会发生变化。
  • (2)令牌可以被数据所有者撤销,会立即失效。以上例而言,屋主可以随时取消快递员的令牌。密码一般不允许被他人撤销。
  • (3)令牌有权限范围(scope),比如只能进小区的二号门。对于网络服务来说,只读令牌就比读写令牌更安全。密码一般是完整权限。

上面这些设计,保证了令牌既可以让第三方应用获得权限,同时又随时可控,不会危及系统安全。这就是 OAuth 2.0 的优点。

注意

只要知道了令牌,就能进入系统。系统一般不会再次确认身份,所以令牌必须保密,泄漏令牌与泄漏密码的后果是一样的。 这也是为什么令牌的有效期,一般都设置得很短的原因。

# 四种模式

OAuth 的核心就是向第三方应用颁发令牌。OAuth 2.0 协议根据使用不同的适用场景,规定了四种获得令牌的流程。你可以选择最适合自己的那一种,向第三方应用颁发令牌。下面就是这四种授权方式。

  • 授权码模式(Authorization Code Grant
  • 隐式模式(Implicit Grant
  • 密码模式式(Resource Owner Password Credentials Grant):
  • 客户端凭证模式(Client Credentials Grant

# 授权码模式(Authorization Code Grant)

授权码授权模式主要流程如下图所示:

授权码模式流程

  • 第一步:用户访问页面或者出发认证地址
  • 第二步:访问的页面将请求重定向到认证服务器
  • 第三步:用户登录成功只有,认证服务器向用户展示授权页面,等待用户授权
  • 第四步:用户授权,认证服务器生成一个 code 和带上 client_id 发送给应用服务器。然后,应用服务器拿到 code,并用 client_id 去后台查询对应的client_secret
  • 第五步:将 code,client_id,client_secret传给认证服务器换取 access_tokenrefresh_token
  • 第六步:将 access_tokenrefresh_token 传给应用服务器
  • 第七步:验证 token,访问真正的资源页面

授权码授权模式优劣势:

授权码模式优劣势

# 隐式模式(Implicit Grant)

隐式模式主要流程如下图所示:

隐式模式流程

  • 第一步:用户访问页面时,重定向到认证服务器。
  • 第二步:认证服务器给用户一个认证页面,等待用户授权。
  • 第三步:用户授权,认证服务器想应用页面返回 Token
  • 第四步:验证 Token,访问真正的资源页面

隐式模式优劣势:

隐式模式优劣势

# 密码模式(Resource Owner Password Credentials Grant)

密码模式主要流程如下图所示:

密码流程

  • 第一步:用户访问用页面时,输入第三方认证所需要的信息(QQ/微信账号密码)
  • 第二步:应用页面那种这个信息去认证服务器授权
  • 第三步:认证服务器授权通过,拿到token,访问真正的资源页面

说明

优点:不需要多次请求转发,额外开销,同时可以获取更多的用户信息。(都拿到账号密码了)

缺点:局限性,认证服务器和应用方必须有超高的信赖。(比如亲兄弟?)

应用场景:自家公司搭建的认证服务器

# 客户端凭证模式(Client Credentials Grant)

客户端凭证模式主要流程如下图所示:

客户端凭证流程

  • 第一步:用户访问应用客户端
  • 第二步:通过客户端定义的验证方法,拿到token,无需授权
  • 第三步:访问资源服务器A
  • 第四步:拿到一次token就可以畅通无阻的访问其他的资源页面。

说明

这是一种最简单的模式,只要client请求,我们就将AccessToken发送给它。这种模式是最方便但最不安全的模式。因此这就要求我们对client完全的信任,而client本身也是安全的。

因此这种模式一般用来提供给我们完全信任的服务器端服务。在这个过程中不需要用户的参与。

# 模式验证

注意

以下内容中,所有URL地址一定要使用IP访问。如果是本地环境,那么也要使用本机真实的IP,不要使用 127.0.0.1 或者 localhost。切记!!!

说明

不管哪一种授权方式,第三方应用申请令牌之前,都必须先到系统备案,说明自己的身份,然后会拿到两个身份识别码:客户端 ID(client ID)和客户端密钥(client secret)。这 是为了防止令牌被滥用,没有备案过的第三方应用,是不会拿到令牌的。

即:要在系统中为该客户端分配ID(client ID)和客户端密钥(client secret),换句话说 oauth-client-details 表中要有该客户端对应的数据

# 授权码模式验证

指的是第三方应用先申请一个授权码,然后再用该码获取令牌。这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。

# 第一步:客户端向资源端申请code

说明

这里所说的客户端,是指任意想要使用 Eurynome Cloud 的应用系统。

主要逻辑:假设,某网站或者系统(客户端),我们称之为 A 。Eurynome Cloud 向A网站提供一个认证链接,A 网站会把这个连接做成一个按钮,用户点击后就会根据这个连接跳转到 Eurynome Cloud,在 Eurynome Cloud 认证通过后授权用户数据给 A 网站使用。

上面所说的连接,就是如下的认证连接:

http://192.168.101.10:8847/eurynome-cloud-uaa/oauth/authorize?response_type=code&client_id=010e659a-4005-4610-98f6-00b822f4758e&redirect_uri=http://localhost:9999/passport/login&scope=all
1

参数

  • response_type:必选。值固定为“code”。
  • client_id:必选参数(第三方应用的标识ID,告诉服务器谁需要得到授权)
  • state:Client提供的一个字符串,服务器会原样返回给Client。这个要自己实现,用于防止恶意攻击。
  • redirect_uri:必选参数(授权成功后的重定向地址)
  • scope:可选参数(表示授权范围)

# 第二步:资源端返回code给客户端

可以采用以下两种方式进行验证:

  • 第一种:如果有想要接入的系统,那么就在这个系统中做一个图标按钮,点击后跳转到上面的地址。(比如:很多系统都支持微信登录,那么在页面上就会有一个微信的图标按钮,点击后跳转到一个地址)
  • 第二种:如果没有想接入的系统,可以将上面的地址输入到浏览器,获取信息后配合 Postman 等工具进行验证。

下面采用第二种浏览器的方式

在浏览器中输入上面的地址,会跳出如下登录界面。

流程1

输入用户名,密码和验证码进行用户验证。

可以使用系统默认用户:system 密码:123456

登录成功后,会跳转到授权页面进行授权,如下图所示:

流程2

授权成功后,就会跳转到一个新的地址,同时在地址的后面会跟随生成的code, 如下所示。这个地址就是系统中设置的 redirect_uri

http://localhost:9999/passport/login?code=P6dxH5
1

# 第三步:客户端根据code向资源端请求令牌

在你习惯的工具中,输入下面的地址:

http://192.168.101.10:8847/eurynome-cloud-uaa/oauth/token?client_id=010e659a-4005-4610-98f6-00b822f4758e&client_secret=04165a07-cffd-45cf-a20a-1c2a69f65fb1&grant_type=authorization_code&code=P6dxH5&scope=all&redirect_uri=http://localhost:9999/passport/login
1

参数

  • grant_type:必选参数(固定值“authorization_code”)
  • code : 必选参数(上一步Response 中响应的code,避免在请求的过程中被篡改)
  • redirect_uri:必选参数(必须和Request中提供的redirect_uri相同)
  • client_id:必选参数(必须和上一步Request中提供的client_id相同,不能token和授权码请求的第三方应用不一致)

下图以 Postman 为例:

流程3

# 第四步:资源端向客户端返回令牌及明细

返回如下所示 Token 则表示验证成功

{
    "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.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.BdTMSL2QTxyWe4Xs6piAS1Ldk23zUfhlG5_dA0xaNFA",
    "token_type": "bearer",
    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.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.JIQ7N_rqsbhSb1M9voFhbAJq9QmPoKbirZ2lV_AYkYM",
    "expires_in": 43199,
    "scope": "all",
    "license": "herodotus-cloud",
    "openid": "1",
    "jti": "4bb54345-dd24-4347-8d26-655e5d4085f7"
}
1
2
3
4
5
6
7
8
9
10

参数

  • access_token:访问令牌(服务器端加密过的字符串)。
  • refresh_token:刷新令牌(刷新令牌的字符串)
  • expires_in:过期时间(令牌的过期时间)

# 隐式模式验证

有些 Web 应用是纯前端应用,没有后端。这时就不能用上面的方式了,必须将令牌储存在前端。RFC 6749 就规定了第二种方式,允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)"隐藏式"(implicit)

# 第一步:客户端向资源端申请Token

在浏览器中输入如下的认证连接:

http://192.168.101.10:8847/eurynome-cloud-uaa/oauth/authorize?response_type=token&client_id=010e659a-4005-4610-98f6-00b822f4758e&redirect_uri=http://www.baidu.com&scope=all
1

参数

  • response_type:必选。值固定为“token”。
  • client_id:必选参数(第三方应用的标识ID,告诉服务器谁需要得到授权)
  • state:Client提供的一个字符串,服务器会原样返回给Client。这个要自己实现,用于防止恶意攻击。
  • redirect_uri:必选参数(授权成功后的重定向地址)
  • scope:可选参数(表示授权范围)

# 第二步:到认证服务器认证

在浏览器中输入上面的地址,会跳出如下登录界面。

流程1

输入用户名,密码和验证码进行用户验证。

可以使用系统默认用户:system 密码:123456

登录成功后,会跳转到授权页面进行授权,如下图所示:

流程2

# 第三步:资源端转向客户端并传递token

授权成功后,就会跳转到一个新的地址,同时在地址的后面会跟随生成的token, 如下所示。这个地址就是系统中设置的 redirect_uri

https://www.baidu.com/#access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsaWNlbnNlIjoiaGVyb2RvdHVzLWNsb3VkIiwidXNlcl9uYW1lIjoic3lzdGVtIiwib3BlbmlkIjoiMSIsInNjb3BlIjpbImFsbCJdLCJleHAiOjE2MzE2NjA5ODQsImF1dGhvcml0aWVzIjpbIk9QXzExNTk4MzkxNzUiLCJPUF8yMDY3MDA2OTYyIiwiT1BfMjAzODgxODY1IiwiT1BfMTgzMTkzMzI1NiIsIk9QXzM0NzEwODY4NCIsIk9QXzE1Mjk0OTk3MzQiLCJPUF8xNzkxNDgyODQwIiwiT1BfNTM5NzkwMTU0IiwiT1BfMTI5MTk4NjQyMCIsIk9QXzQxNDY2NTUwNSIsIk9QXzQ5MDczNzk0IiwiT1BfNzg3NjI3NTU1IiwiT1BfMTczNTYzMTgyNyIsIk9QXzEyNTYzNDY4ODciLCJPUF8xNTk1NjM4NiIsIk9QXzY1NDE2MjAxMSIsIk9QXzE2ODEwMjg3OTEiLCJPUF8xNTM4MzQzNDAiLCJPUF85NTI1NjU1NzAiLCJPUF8xOTg5ODY5MjkxIiwiT1BfMTcxODk4ODQwOCIsIk9QXzEyMTMxODc4MDkiLCJPUF85OTMxNjU1IiwiT1BfNzMwMTA1NDk5IiwiT1BfMTE5ODg3Njk4NSIsIk9QXzMyMjc3NjY4MSIsIk9QXzYyNTQ3MTI0OCIsIk9QXzIwNDA2OTk0NDMiLCJPUF83MzQwODE3MTYiLCJPUF80NTM5MjE4MjUiLCJPUF83MTUxMTUyNzIiLCJPUF82NzI5Mjg4NyIsIk9QXzE2MDM5NTM4NTgiLCJPUF8xNzQzMDQ0MzA1IiwiT1BfOTkzOTYyNDAzIiwiT1BfMTU3ODIxMTczOSIsIk9QXzI1NjIwMTkiLCJPUF8xODQwMDkwOTkyIiwiT1BfNDE1NjI2MzI5IiwiT1BfMTMxMTQ4MDk3IiwiT1BfMTc3NDc3NDczMSIsIk9QXzE4MjIwODE3NzIiLCJPUF83MjkxNDY4NDMiLCJPUF82MDA5MjI1NjEiLCJPUF82MjczMjEwNDUiLCJPUF8yMDkxMzM3OTIyIiwiT1BfNDc0NTk0NDAzIiwiT1BfMTk4OTk0MDM1MSIsIk9QXzM1NjI0MjY2OSIsIk9QXzM1NjA3Nzk5NSIsIk9QXzYyNTc3NDk4MyIsIk9QXzIxNzEyODM2NyIsIlJPTEVfQURNSU5JU1RSQVRPUiIsIk9QXzE1NDAwMTAyNDYiLCJPUF8xNjU3ODY0Njg2IiwiT1BfODEzNTM1MjIwIiwiT1BfOTk3ODg0MDg1IiwiT1BfMjk0MTgzNTIwIiwiT1BfNTYzMjI3MTc5IiwiT1BfMTc5NzU2ODIzNCIsIk9QXzgzNDYyODg1MCIsIk9QXzE5NzkwNjg5NzciLCJPUF8xNjU0NTEzMjYxIiwiT1BfMzIyOTQ3NTEwIiwiT1BfNzIxNDU2MDMzIiwiT1BfMTQ0NDM1NDg4IiwiT1BfNjQyMTQ1MjM4IiwiT1BfMTYxMzY5NzgwOSIsIk9QXzE0MDI5NTM1ODgiLCJPUF8xOTI0OTk4NTYzIiwiT1BfMTkwODM4MzQyNiIsIk9QXzIxMTk5NTYwNjQiXSwianRpIjoiNGJiNTQzNDUtZGQyNC00MzQ3LThkMjYtNjU1ZTVkNDA4NWY3IiwiY2xpZW50X2lkIjoiMDEwZTY1OWEtNDAwNS00NjEwLTk4ZjYtMDBiODIyZjQ3NThlIn0.BdTMSL2QTxyWe4Xs6piAS1Ldk23zUfhlG5_dA0xaNFA&token_type=bearer&expires_in=42511&license=herodotus-cloud&openid=1&jti=4bb54345-dd24-4347-8d26-655e5d4085f7
1

上面 URL 中,access_token参数就是令牌

# 密码模式验证

如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)。

Eurynome Cloud 前端就是使用密码模式进行登录

直接使用如下地址获取Token即可

http://192.168.101.10:8847/eurynome-cloud-uaa/oauth/token
1

操作如下图所示:

流程4

参数

  • username:必选参数(登录用户名)
  • password:必选参数(登录用户密码)
  • grant_type:必选参数(固定值“password”)
  • client_id:必选参数
  • client_secret:必选参数
  • scope:可选参数(表示授权范围)

# 客户端凭证模式验证

这种模式直接根据client的id和密钥即可获取token,无需用户参与 这种模式比较合适消费api的后端服务,比如拉取一组用户信息等

直接使用如下地址获取Token即可

http://192.168.101.10:8847/eurynome-cloud-uaa/oauth/token
1

操作如下图所示:

流程5

参数

  • grant_type:必选参数(固定值“client_credentials”)
  • client_id:必选参数
  • client_secret:必选参数
  • scope:可选参数(表示授权范围)
上次编辑于: 2021年10月28日 23:24
贡献者: herodotus