OAuth2.0协议介绍

什么是OAuth协议
OAuth协议为用户资源的授权提供了一个安全的、开放而又
简易的标准。与以往的授权方式不同之处是OAuth的授权不
会使第三方触及到用户的帐号信息（如用户名与密码），
即第三方无需使用用户的用户名与密码就可以申请获得该
用户资源的授权。
目前的版本是2.0

应用场景
第三方登录分享
开放API 应用接入
微信服务号

名词定义(Roles)
• Resource Owner：资源所有者，用户
• Client：客户端，第三方应用程序
• User Agent：用户代理，一般指浏览器
• Authorization server：认证服务器，即服务提供商专门用
来处理认证的服务器
• Resource server：资源服务器，即服务提供商存放用户生
成的资源的服务器。它与认证服务器，可以是同一台服
务器，也可以是不同的服务器

认证授权模式(Authorization Grant)
• 授权码模式（Authorization Code）
• 隐式模式（Implicit）
• 资源所有者密码凭据模式（Resource Owner Password
Credentials）
• 客户端凭据模式（Client Credentials）

授权码模式授权码模式(Authorization Code)

授权码模式(Authorization Code)
步骤A，用户访问客户端，客户端将用户导向认证服务器
客户端申请认证的URI示例：
GET
/authorize?response_type=code&client_id=s6BhdRkqXtXEF3&
redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fc
b&scope=user_info%20friend_info&state=xyz HTTP/1.1
Host: server.example.com
其中参数response_type和client_id是必选项
步骤B，用户在认证服务器登录

步骤C，假设用户给予授权，认证服务器将用户导向客户
端事先指定的“重定向URI”（redirection URI），同时附上一
个授权码，服务器回应客户端的URI：
HTTP/1.1 302 Found
Location:
https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSb
IA &state=xyz
code表示授权码，必选项。有效期应很短，通常设为10分
钟，客户端只能使用该码一次，否则会被认证服务器拒绝
授权码与client_id和redirect_uri 是一一对应关系

步骤D，客户端收到授权码，附上"重定向URI"，向认证服
务器申请令牌。这一步是在客户端的后台的服务器上完成
的，对用户不可见。
POST /token HTTP/1.1
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&code=SplxYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2
Fcb

步骤E，认证服务器核对了授权码和重定向URI，确认无误
后，向客户端发送访问令牌（access token）和更新令牌
（refresh token），一个成功响应：
HTTP/1.1 200 OK
Content-Type: application/json;charset=UTF-8
Cache-Control: no-store
Pragma: no-cache
{

"access_token":"2YotnFZFEjr1zCsicMWpAA",
"token_type":"example",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
"example_parameter":"example_value"
}
返回JSON格式，不使用缓存
token_type表示令牌类型，该值大小写不敏感，必选项，
可以是bearer类型或mac类型

• 适用场景
• 第三方应用是Web服务器
• 需要长时间访问资源(refresh_token)
• 避免访问令牌经过浏览器，减少泄漏可能（相对于隐
式模式）

简化模式（Implicit）隐式模式(Implicit)

隐式模式(Implicit)
步骤A，用户访问客户端，客户端将用户导向认证服务器
客户端申请认证的URI示例：
GET
/authorize?response_type=token&client_id=s6BhdRkqXtXEF3
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2
Fcb&scope=&state=xyz HTTP/1.1
其中参数response_type和client_id是必选项
步骤B，用户在认证服务器登录

步骤C，假设用户给予授权，认证服务器将用户导向客户端
指定的"重定向URI"，并在URI的Hash部分包含了访问令牌：
HTTP/1.1 302 Found
Location:
http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpA
A&state=xyz&token_type=example&expires_in=3600

• 适用场景
• 只需要临时访问保护资源
• 第三方应用(客户端)运行在浏览器上(JavaScript, Flash …)
• 第三方应用和浏览器是高可信的
• 与授权码模式的区别
• 不使用二次交换，直接发放访问令牌
• 访问令牌在浏览器传输，安全性较低
• 为安全考虑，不提供刷新令牌

资源所有者密码凭据模式(Resource Owner
Password Credentials)

资源所有者密码凭据模式(Resource Owner
Password Credentials)
• 适用场景
• 仅限官方应用
• 刷新令牌要慎用，等同于在第三方应用保存了一份用
户名和密码
• 一般辅助以更高安全保护，如SSL，数字证书、U盾等

客户端凭据模式(Client Credentials)

客户端凭据模式(Client Credentials)
• 使用场景
• 第三方应用自己的资源
• 内部应用，如本身是资源服务器
• 其他流程已经保障了资源安全性和授权

其他
更新令牌(refresh_token)
错误返回
Client注册与认证
HTTP + TLS HTTPS
安全性问题

OAuth2.0的实现
平台完全符合协议支持的认证授权模式
新浪微博 ✕ Authorization Code
QQ ✕ Authorization Code,Implicit
微信 ✕ Authorization Code
豆瓣 ✕ Authorization Code, Implicit
Facebook ✕ Authorization Code, Implicit, Client Credentials
Amazon ◯ Authorization Code, Implicit
GitHub ✕ Authorization Code, Password (自制)

新浪微博OAuth2.0授权机制
1. 引导需要授权的用户到如下地址：
https://api.weibo.com/oauth2/authorize?client_id=YOUR_CLIENT_ID&r
esponse_type=code&redirect_uri=YOUR_REGISTERED_REDIRECT_URI
2. 如果用户同意授权，页面跳转至
YOUR_REGISTERED_REDIRECT_URI/?code=CODE
3. 换取Access Token
https://api.weibo.com/oauth2/access_token?client_id=YOUR_CLIENT_I
D&client_secret=YOUR_CLIENT_SECRET&grant_type=authorization_co
de&redirect_uri=YOUR_REGISTERED_REDIRECT_URI&code=CODE
4.使用获得的Access Token调用API

参考文档
RFC 6749
RFC 6749中文版
oauth.net
OAuth 2.0：通往地狱之路
理解OAuth 2.0
OAuth 2.0 筆記

OAuth2.0协议介绍

Recommandé

Recommandé

Contenu connexe

En vedette

En vedette (20)

OAuth2.0协议介绍

Notes de l'éditeur