MQTT 與auth

一.MQTT介紹

1.簡介

MQTT（message queuing telemetry transport）是IBM開發的即時通信協議，是一種發佈/訂閱極其輕量級的消息傳輸協議，專門爲網絡受限設備、低寬帶以及高延遲和不可靠的網絡而設計的。因爲以上輕量級的特色，是實現智能家居的首選傳輸協議，相比於XMPP，更加輕量級並且佔用寬帶低。

2.特色

a.因爲採用發佈/訂閱的消息模式，能夠提供一對多的消息發佈
b.輕量級，網絡開銷小
c.對負載內容會有屏蔽的消息傳輸
d.有三種消息發佈質量（Qos）：
qos=0：「至多一次」，這一級別會發生消息丟失或重複，消息發佈依賴於TCP/IP網絡
qos=1：「至少一次」，確保消息到達，但消息重複可能會發生
qos=2：「只有一次」，確保消息到達一次
e.通知機制，異常中斷時會通知雙方

3.原理

 

14523188625918865.png

MQTT協議有三種身份：發佈者、代理、訂閱者，發佈者和訂閱者都爲客戶端，代理爲服務器，同時消息的發佈者也能夠是訂閱者（爲了節約內存和流量發佈者和訂閱者通常都會定義在一塊兒）。
MQTT傳輸的消息分爲主題（Topic，可理解爲消息的類型，訂閱者訂閱後，就會收到該主題的消息內容（payload））和負載（payload，能夠理解爲消息的內容）兩部分。

-----------------------------------------------

Auth是一個關於受權（authorization）的開放網絡標準，在全世界獲得普遍應用，目前的版本是2.0版。目前Auth2.0已經獲得了普遍應用，好比微信登陸、微博、QQ等。

1、爲何要使用OAuth
爲了理解OAuth的適用場合，讓我舉一個假設的例子。
有一個"雲沖印"的網站，能夠將用戶儲存在Google的照片，沖印出來。用戶爲了使用該服務，必須讓"雲沖印"讀取本身儲存在Google上的照片。
問題是隻有獲得用戶的受權，Google纔會贊成"雲沖印"讀取這些照片。那麼，"雲沖印"怎樣得到用戶的受權呢？
傳統方法是，用戶將本身的Google用戶名和密碼，告訴"雲沖印"，後者就能夠讀取用戶的照片了。這樣的作法有如下幾個嚴重的缺點。
（1）"雲沖印"爲了後續的服務，會保存用戶的密碼，這樣很不安全。
（2）Google不得不部署密碼登陸，而咱們知道，單純的密碼登陸並不安全。
（3）"雲沖印"擁有了獲取用戶儲存在Google全部資料的權力，用戶無法限制"雲沖印"得到受權的範圍和有效期。
（4）用戶只有修改密碼，才能收回賦予"雲沖印"的權力。可是這樣作，會使得其餘全部得到用戶受權的第三方應用程序所有失效。
（5）只要有一個第三方應用程序被破解，就會致使用戶密碼泄漏，以及全部被密碼保護的數據泄漏。

OAuth就是爲了解決上面這些問題而誕生的。

 

2、OAuth2.0受權流程
關於OAuth2.0協議的受權流程能夠參考下面的流程圖

 

其中Client指第三方應用，Resource Owner指用戶，Authorization Server是咱們的受權服務器，Resource Server是API服務器。

解釋一下上述流程：

（A）用戶打開客戶端之後，客戶端要求用戶給予受權。
（B）用戶贊成給予客戶端受權。
（C）客戶端使用上一步得到的受權，向認證服務器申請令牌。
（D）認證服務器對客戶端進行認證之後，確認無誤，贊成發放令牌。
（E）客戶端使用令牌，向資源服務器申請獲取資源。
（F）資源服務器確認令牌無誤，贊成向客戶端開放資源。

3、受權模式
客戶端必須獲得用戶的受權（authorization grant），才能得到令牌（access token）。OAuth 2.0定義了四種受權方式。
受權碼模式（authorization code）
簡化模式（implicit）
密碼模式（resource owner password credentials）
客戶端模式（client credentials）

4、受權碼模式
受權碼模式（authorization code）是功能最完整、流程最嚴密的受權模式。

 

它的步驟以下：
（A）用戶訪問客戶端，後者將前者導向認證服務器。
（B）用戶選擇是否給予客戶端受權。
（C）假設用戶給予受權，認證服務器將用戶導向客戶端事先指定的"重定向URI"（redirection URI），同時附上一個受權碼。
（D）客戶端收到受權碼，附上早先的"重定向URI"，向認證服務器申請令牌。這一步是在客戶端的後臺的服務器上完成的，對用戶不可見。
（E）認證服務器覈對了受權碼和重定向URI，確認無誤後，向客戶端發送訪問令牌（access token）和更新令牌（refresh token）。

下面是上面這些步驟所須要的參數。
A步驟中，客戶端申請認證的URI，包含如下參數：
response_type：表示受權類型，必選項，此處的值固定爲"code"
client_id：表示客戶端的ID，必選項
redirect_uri：表示重定向URI，可選項
scope：表示申請的權限範圍，可選項
state：表示客戶端的當前狀態，能夠指定任意值，認證服務器會原封不動地返回這個值。

下面是一個例子。

[html] view plain copy
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz  
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1  
Host: server.example.com  
C步驟中，服務器迴應客戶端的URI，包含如下參數：
code：表示受權碼，必選項。該碼的有效期應該很短，一般設爲10分鐘，客戶端只能使用該碼一次，不然會被受權服務器拒絕。該碼與客戶端ID和重定向URI，是一一對應關係。
state：若是客戶端的請求中包含這個參數，認證服務器的迴應也必須如出一轍包含這個參數。
下面是一個例子。
[html] view plain copy
HTTP/1.1 302 Found  
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA  
          &state=xyz  
D步驟中，客戶端向認證服務器申請令牌的HTTP請求，包含如下參數：
grant_type：表示使用的受權模式，必選項，此處的值固定爲"authorization_code"。
code：表示上一步得到的受權碼，必選項。
redirect_uri：表示重定向URI，必選項，且必須與A步驟中的該參數值保持一致。
client_id：表示客戶端ID，必選項。
下面是一個例子。

[html] view plain copy
POST /token HTTP/1.1  
Host: server.example.com  
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW  
Content-Type: application/x-www-form-urlencoded  
  
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA  
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb  

E步驟中，認證服務器發送的HTTP回覆，包含如下參數：
access_token：表示訪問令牌，必選項。
token_type：表示令牌類型，該值大小寫不敏感，必選項，能夠是bearer類型或mac類型。
expires_in：表示過時時間，單位爲秒。若是省略該參數，必須其餘方式設置過時時間。
refresh_token：表示更新令牌，用來獲取下一次的訪問令牌，可選項。
scope：表示權限範圍，若是與客戶端申請的範圍一致，此項可省略。

下面是一個例子。

[html] view plain copy
HTTP/1.1 200 OK  
    Content-Type: application/json;charset=UTF-8  
    Cache-Control: no-store  
    Pragma: no-cache  
  
    {  
      "access_token":"2YotnFZFEjr1zCsicMWpAA",  
      "token_type":"example",  
      "expires_in":3600,  
      "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",  
      "example_parameter":"example_value"  
    }  
Refresh Token 是 Access Grants 的一種，在獲取 Access Token 時，認證服務器將返回相應的 Refresh Token，若是 Access Token 過時，就能夠用 Refresh Token 去刷新。

通常針對移動應用時，在返回access_token時會返回refresh_token。refresh_token 也是有有效期的，當refresh_token失效的後，須要用戶從新受權。

 

refresh_token失效後，可從新獲取。
首選須要用戶受權，獲取code後獲取refresh_token，包含參數：

client_id：表示客戶端的ID，必填項

grant_type：固定值 ，填refresh_token ， 必填項

refresh_token：填寫經過access_token獲取到的refresh_token參數，必填項。