oAuth 2 如何工作？

Posted 2023-03-04

【中文标题】oAuth 2 如何工作？

【英文标题】：How oAuth 2 works?

【发布时间】：2016-03-27 15:29:36

【问题描述】：

我已经通过On a high level, how does OAuth 2 work?，但我还有一些具体的 质疑 oauth 2 的工作原理

以下是来自所述链接的 oAuth 的步骤顺序

Site-A 向 Site-B 注册，并获得一个 Secret 和一个 ID。

当用户告诉站点 A 访问站点 B 时，用户会被发送到站点 B，在那里他告诉站点 B 他确实想授予站点 A 访问特定信息的权限。

站点 B 将用户重定向回站点 A，并附上授权代码。

然后站点 A 将该授权代码连同其秘密一起传递回站点 B，以换取安全令牌。

站点 A 然后通过将安全令牌与请求捆绑在一起来代表用户向站点 B 发出请求。

我的问题是关于以下几点：-

1) 身份验证：- 哪个步骤以及它是如何发生的。没有人解释这里的身份验证实际上是如何发生的

My Understanding on this point:- 来自William Jones 的答案看起来好像发生在第 2 步。如果是，它是如何发生的？我相信它发生在 cookie 的帮助（如果用户已经登录并且如果没有服务，则当从相同的浏览器实例（如基于 java 的应用程序的 jsessionid）点击 url 时自动发送 提供者明确要求提供凭据）。对吗？

2) 授权码：- 我不确定这里的使用授权码有什么用。为什么站点 B 不能立即提供安全令牌。 我的意思是为什么步骤 4 和步骤 2 不能合并，其中 sita 通过 cookie 提供密码和经过身份验证的数据，而站点 B 提供安全令牌

3) 安全/访问令牌：- 我的理解是，一旦安全令牌被共享，站点 B 将仅基于此共享信息。假设站点 A 从站点获得安全令牌编号为 100 B 代表用户 X。现在如果站点 A 的用户 Y 获得一些安全令牌（我明白 它可能无法在 SSL 上嗅探它），然后他可以访问用户 X 的公共信息

【参考方案1】：

您似乎正在描述一种称为授权代码流的协议流。

OAuth 2.0 中有四个“Actor”。

资源所有者 -（最终用户） OAuth 客户端（WEB 应用程序） 授权服务器为资源所有者和资源提供便利 服务器和颁发令牌（可能与资源服务器相同的服务器） 资源服务器 - 持有受保护的资源（由资源拥有 所有者）

通常 OAuth 客户端、授权服务器和资源服务器都在同一台机器上或在同一域中。 OAuth 2.0 并未真正指定授权服务器和资源服务器之间的通信方式。

1) 身份验证：- 哪个步骤以及它是如何发生的。没有人 解释了身份验证实际上是如何发生的 记住OAuth 2.0 is not an authentication protocol.

2) 授权码 您的步骤定义不明确。尝试通过图片查看Grant Type: Authorization Code。

3) 安全/访问令牌 不共享。由授权服务器发布并通过 OAuth 客户端呈现给资源服务器。

【讨论】：

对于第 1 点，这是我的问题：-*** 使用 facebook oauth 进行身份验证/授权？当我在 facebook 上登录时，我可以直接登录到 SO（我只需要说我想使用 FB 登录），当我没有登录 FB 时，它会询问我的凭据。所以我想了解那个过程。我相信它发生在第 2 步。我不确定它是 oauth 的一部分还是某些单独的协议？

@jwillwkw 查看我的相关问题meta.stackexchange.com/questions/271623/…。如果你能回答，那就更清楚了