Recommandé
Recommandé
Contenu connexe
Tendances
Tendances (20)
En vedette
En vedette (20)
Similaire à OAuth2介紹
Similaire à OAuth2介紹 (20)
Plus de 升煌 黃
Plus de 升煌 黃 (14)
OAuth2介紹
- 1. 黃升煌
- 3. 傳統Client Server架構 Client Resource Server Username/Password
- 4. 傳統Client Server架構 Client Resource Server Username/ Password Third Party App Username/ Password
- 5. 使用Username/Password問題 Client Resource Server Username/ Password Third Party App Username/ Password •需儲存帳號密碼 •擁有完整存取權限 •密碼可能在此被破解 •其他… •只能以密碼驗證 •難以限制Third Party程式權限/時效 •無法撤回Third Party程式存取權 •其他… •必須完全信賴Third Party程式 •其他…
- 7. OAuth如何解決問題 引入Authorization Layer 把Client跟Resource Owner角色分開 Resource Owner Resource Server Client (Third Party App) Authorization Server 身分認證/存取許可 Access Token: 包含存取範圍、時效 等資訊 Access Token Access Token
- 8. OAuth角色定義 Resource Owner - 可以授權別人去存取 Protected Resource 。 如果這個角色是人類的話,則就是指使用者 (end-user)。 Resource Server - 存放 Protected Resource 的伺服器,可以根 據 Access Token 來接受 Protected Resource 的請求。 Client - 代表 Resource Owner 去存取 Protected Resource 的應 用程式。 "Client" 一詞並不指任何特定的實作方式(可以在 Server 上面跑、在一般電腦上跑、或是在其他的設備)。 Authorization Server - 在認證過 Resource Owner 並且 Resource Owner 許可之後,核發 Access Token 的伺服器。
- 9. 基本流程 Resource Owner Resource Server Client Authorization Server 請求授權 授權許可 ( Authorization Grant) RFC6749已定義 4種授權方法 (可 擴充),Resource Owner 需 指 定 其 中一種
- 10. 基本流程 Resource Owner Resource Server Client Authorization Server 請求 Access Token 核發 Access Token Authorization Server 需認證Client及驗證 授權許可
- 11. 基本流程 Resource Owner Resource Server Client Authorization Server 出示 Access Token Resource Server 驗證Access Token, 若合法則處理請求 回傳 Protected Resource
- 12. Access Token 用來存取 Protected Resource 代表Resource Owner 的授權資訊 是一個具體的字串 代替傳統的帳號密碼 認證 資料包含存取範圍 (scope)及時效 (expired) 資料需經過加密演算 法 Resource Owner授權 Resource Server 和 Authorization Server 執行
- 13. Refresh Token 交由Authorization處 理,不該遞交到 Resource Server 代表Resource Owner 授權Client重新取得 Access Token 當Access Token到期 或需要新的權限範圍 (scope)時使用 Client可以自動完成重 新取得這件事 Authorization Server不 一定需要核發Refresh Token,若要核發則須在 核發Access Token時一 併核發
- 14. Refresh Token流程 Resource Server Client Authorization Server 請求 Access Token 核發 Access Token & Refresh Token
- 15. Refresh Token流程 Resource Server Client Authorization Server 出示 Access Token 告知Access Token 無法使用 Access Token 到期或權限不足
- 16. Refresh Token流程 Resource Server Client Authorization Server 出示 Refresh Token 核發新的 Access Token & Refresh Token
- 17. 4種Authorization Grant方法(Grant Flows) Authorization Code Grant Type Flow Implicit Grant Type Flow Resource Owner Password Credentials Grant Type Flow Client Credentials Grant Type Flow
- 18. 4種Authorization Grant方法(Grant Flows) Authorization Code Grant Type Flow 要向 Authorization Server 先取得 Grant Code再 取得 Access Token (兩步) 適合 Confidential Clients ,如部署在 Server 上 面的應用程式 可以核發 Refresh Token 需要 User-Agent Redirection 各大社群網站最常使用
- 19. 4種Authorization Grant方法(Grant Flows) Implicit Grant Type Flow Authorization Server 直接向 Client 核發 Access Token (一步) 適合非常特定的 Public Clients ,例如跑在 Browser 裡面 的應用程式 Authorization Server 不必(也無法)驗證 Client 的身份 禁止核發 Refresh Token 需要 User-Agent Redirection 有資料外洩風險
- 20. 4種Authorization Grant方法(Grant Flows) Resource Owner Password Credentials Grant Type Flow Resource Owner 的帳號密碼直接拿來當做 Grant 適用於 Resource Owner 高度信賴的 Client (像是 OS 內建的)或是官方應用程式 其他流程不適用時才能用 可以核發 Refresh Token 沒有 User-Agent Redirection
- 21. 4種Authorization Grant方法(Grant Flows) Client Credentials Grant Type Flow Client 的 ID 和 Secret 直接用來當做 Grant 適用於跑在 Server 上面的 Confidential Client 不建議核發 Refresh Token 沒有 User-Agent Redirection
- 22. Authorization Code Grant Type Flow Resource Owner Client Authorization Server User Agent Client將Resource Owner的User Agent 轉到Authorization Server,並告知驗證 完成後的轉址 GET 步驟(A)
- 23. Authorization Code Grant Type Flow Resource Owner Client Authorization Server User Agent Resource Owner透過User Agent 對Authorization Server驗證 GET 步驟(B)
- 24. Authorization Code Grant Type Flow Resource Owner Client Authorization Server User Agent 將Authorization Code傳回給Client 步驟(C)
- 25. Authorization Code Grant Type Flow Resource Owner Client Authorization Server User Agent Client將Authorization Code向 Authorization Server取得Access Token, 並告知回傳Access Token網址 POST 步驟(D)
- 26. Authorization Code Grant Type Flow Resource Owner Client Authorization Server User Agent Authorization Server核發Access Token 步驟(E)
- 27. 參考資料 RFC 6749: http://tools.ietf.org/html/rfc6749 OAuth 2.0 筆記: http://blog.yorkxin.org/posts/2013/09/30/ oauth2-1-introduction/
- 28. Facebook Developers / Tools: https://developers.facebook.com https://developers.facebook.com/tools/explorer/145634995501895 Google Developers Console / Tools: https://console.developers.google.com https://developers.google.com/apis-explorer Dot Net Open Auth http://dotnetopenauth.net/ 範例Source Code: https://github.com/wellwind/WebApiOAuthDemo
Notes de l'éditeur
- 在傳統的 Client-Server 架構裡, Client 要拿取受保護的資源 (Protected Resource) 的時候,要向 Server 出示使用者 (Resource Owner) 的帳號密碼才行。為了讓第三方應用程式也可以拿到這些 Resources ,則 Resource Owner 要把帳號密碼給這個第三方程式
- 第三方程式必須儲存 Resource Owner 的帳號密碼,通常是明文儲存。 Server 必須支援密碼認證,即使密碼有天生的資訊安全上的弱點。 第三方程式會得到幾乎完整的權限,可以存取 Protected Resources ,而 Resource Owner 沒辦法限制第三方程式可以拿取 Resource 的時效,以及可以存取的範圍 (subset)。 Resource Owner 無法只撤回單一個第三方程式的存取權,而且必須要改密碼才能撤回。 任何第三方程式被破解 (compromized),就會導致使用該密碼的所有資料被破解。
- OAuth 解決這些問題的方式,是引入一個認證層 (authorization layer) ,並且把 client 跟 resource owner 的角色分開。在 OAuth 裡面,Client 會先索取存取權,來存取 Resource Owner 擁有的資源,這些資源會放在 Resource Server 上面,並且 Client 會得到一組不同於 Resource Owner 所持有的認證碼 (credentials) 。 Client 會取得一個 Access Token 來存取 Protected Resources ,而非使用 Resource Owner 的帳號密碼。Access Token 是一個字串,記載了特定的存取範圍 (scope) 、時效等等的資訊。Access Token 是從 Authorization Server 拿到的,取得之前會得到 Resource Owner 的許可。Client 用這個 Access Token 來存取 Resource Server 上面的 Protected Resources 。 實際使用的例子:使用者 (Resource Owner) 可以授權印刷服務 (Client) 去相簿網站 (Resource Server) 存取他的私人照片,而不需要把相簿網站的帳號密碼告訴印刷服務。這個使用者會直接授權透過一個相簿網站所信任的伺服器 (Authorization Server) ,核發一個專屬於該印刷服務的認證碼 (Access Token)。