OAuth2.0介绍
Posted 流楚丶格念
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OAuth2.0介绍相关的知识,希望对你有一定的参考价值。
文章目录
OAuth2.0
1. 产生背景
典型案例:如果一个用户需要两项服务:一项服务是图片在线存储服务A,另一个是图片在线打印服务B。如
由于服务A与服务B是由两家不同的服务提供商提供的,所以用户在这两家服务提供商的网站上各自注册了两个用户,假设这两个用户名各不相同,密码也各不相同。当用户要使用服务B打印存储在服务A上的图片时,用户该如何处理。
-
方法一:用户可能先将待打印的图片从服务A上下载下来并上传到服务B上打印,这种方式安全但处理比较繁琐,效率低下;
-
方法二:用户将在服务A上注册的用户名与密码提供给服务B,服务B使用用户的帐号再去服务A处下载待打印的图片,这种方式效率是提高了,但是安全性大大降低了,服务B可以使用用户的用户名与密码去服务A上查看甚至篡改用户的资源。
很多公司和个人都尝试解决这类问题,包括Google、Yahoo、Microsoft,这也促使OAUTH项目组的产生。OAuth是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起的,目的在于为API访问授权提供一个开放的标准。OAuth规范的1.0版于2007年12月4日发布。
2. OAuth2.0介绍
OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。
是一个标准,用来给第三方应用授权来访问当前用户存储在其他应用上的信息
OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。
Oauth协议目前发展到2.0版本,1.0版本过于复杂,2.0版本已得到广泛应用。
参考百度百科:https://baike.baidu.com/item/oAuth/7153134?fr=aladdin
Oauth协议:https://tools.ietf.org/html/rfc6749
3. 授权举例
下边分析一个Oauth2认证的例子,通过例子去理解OAuth2.0协议的认证流程,本例子是一个授权登录简书网站使用微信认证的过程,这个过程的简要描述如下:
3.1 授权流程
1、客户端请求第三方授权
用户进入简书的登录页面,点击微信的图标以微信账号登录系统,用户是自己在微信里信息的资源拥有者。
点击“微信”出现一个二维码,此时用户扫描二维码,开始给简书授权。
2、资源拥有者同意给客户端授权
资源拥有者扫描二维码表示资源拥有者同意给客户端授权,微信会对资源拥有者的身份进行验证, 验证通过后,微信会询问用户是否给授权简书访问自己的微信数据,用户点击“确认登录”表示同意授权,微信认证服务器会 颁发一个授权码,并重定向到简书的网站。
3、客户端获取到授权码,请求认证服务器申请令牌 ,此过程用户看不到,客户端应用程序请求认证服务器,请求携带授权码。
4、认证服务器向客户端响应令牌
微信认证服务器验证了客户端请求的授权码,如果合法则给客户端颁发令牌,令牌是客户端访问资源的通行证。 此交互过程用户看不到,当客户端拿到令牌后,用户在简书看到已经登录成功。
5、客户端请求资源服务器的资源
客户端携带令牌访问资源服务器的资源。 简书网站携带令牌请求访问微信服务器获取用户的基本信息。
6、资源服务器返回受保护资源
资源服务器校验令牌的合法性,如果合法则向用户响应资源信息内容。
以上认证授权详细的执行流程如下:
3.2 过程中的疑问
问题1:用户借助微信认证登录简书网站,用户就不用单独在简书注册用户,怎么样算认证成功啊?
简书网站需要成功从微信获取用户的身份信息则认为用户认证成功
问题2:简书如何从微信获取用户的身份信息?
用户信息的拥有者是用户本人,微信需要经过用户的同意方可为简书网站生成令牌,简书网站拿此令牌方可从微信获取用户的信息
4. OAuth2.0认证流程
通过上边的例子我们大概了解了OAauth2.0的认证过程,下边我们看OAuth2.0认证流程:
引自OAauth2.0协议rfc6749 https://tools.ietf.org/html/rfc6749
例如腾讯QQ的OAauth2.0的认证过程:
OAauth2.0包括以下角色:
| OAauth2.0包括的角色 | 说明 |
|---|---|
| 客户端 | 本身不存储资源,需要通过资源拥有者的授权去请求资源服务器的资源,比如:android客户端、Web客户端(浏览器端)、微信客户端等。 |
| 资源拥有者 | 通常为用户,也可以是应用程序,即该资源的拥有者。 |
| 授权服务器(也称认证服务器) | 用于服务提供商对资源拥有的身份进行认证、对访问资源进行授权,认证成功后会给客户端发放令牌 (access_token),作为客户端访问资源服务器的凭据。本例为微信的认证服务器。 |
| 资源服务器 | 存储资源的服务器,本例子为微信存储的用户信息。 |
这里会产生一个问题,服务提供商能允许随便一个客户端就接入到它的授权服务器吗?
答案是不可以,服务提供商会给准入的接入方一个身份,用于接入时的凭据:
- client_id:客户端标识
- client_secret:客户端秘钥
因此,准确来说,授权服务器对两种OAuth2.0中的两个角色进行认证授权,分别是资源拥有者、客户端。
以上是关于OAuth2.0介绍的主要内容,如果未能解决你的问题,请参考以下文章
Spring Security OAuth2.0认证授权介绍