oauth2.0受權碼模式詳解

時間 2019-11-12

標籤 oauth2.0 oauth 受權模式詳解简体版

原文原文鏈接

受權碼模式原理

受權碼模式（authorization code）是功能最完整、流程最嚴密的受權模式。它的特色就是經過客戶端的後臺服務器，與"服務提供商"的認證服務器進行互動。git

它的步驟以下：github

（A）用戶訪問客戶端，後者將前者導向認證服務器。json

（B）用戶選擇是否給予客戶端受權。緩存

（C）假設用戶給予受權，認證服務器將用戶導向客戶端事先指定的"重定向URI"（redirection URI），同時附上一個受權碼。服務器

（D）客戶端收到受權碼，附上早先的"重定向URI"，向認證服務器申請令牌。這一步是在客戶端的後臺的服務器上完成的，對用戶不可見。app

（E）認證服務器覈對了受權碼和重定向URI，確認無誤後，向客戶端發送訪問令牌（access token）和更新令牌（refresh token）。ide

下面是上面這些步驟所須要的參數。測試

A步驟中，客戶端申請認證的URI，包含如下參數：ui

response_type：表示受權類型，必選項，此處的值固定爲"code"
client_id：表示客戶端的ID，必選項
redirect_uri：表示重定向URI，可選項
scope：表示申請的權限範圍，可選項
state：表示客戶端的當前狀態，能夠指定任意值，可選項.認證服務器會原封不動地返回這個值。(若是是你本身實現的oauth2.0服務端，能夠不校驗這個參數，client端就能夠無論這個參數)

下面是一個例子。url

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

C步驟中，服務器迴應客戶端的URI，包含如下參數：

code：表示受權碼，必選項。該碼的有效期應該很短，一般設爲10分鐘，客戶端只能使用該碼一次，不然會被受權服務器拒絕。該碼與客戶端ID和重定向URI，是一一對應關係。
state：若是客戶端的請求中包含這個參數，認證服務器的迴應也必須如出一轍包含這個參數。

下面是一個例子。

HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA &state=xyz

D步驟中，客戶端向認證服務器申請令牌的HTTP請求，包含如下參數：

grant_type：表示使用的受權模式，必選項，此處的值固定爲"authorization_code"。
code：表示上一步得到的受權碼，必選項。
redirect_uri：表示重定向URI，必選項，且必須與A步驟中的該參數值保持一致。
client_id：表示客戶端ID，必選項。
client_secret:客戶端密鑰

下面是一個例子。

POST /token HTTP/1.1
Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

E步驟中，認證服務器發送的HTTP回覆，包含如下參數：

access_token：表示訪問令牌，必選項。
token_type：表示令牌類型，該值大小寫不敏感，必選項，能夠是bearer類型或mac類型。
expires_in：表示過時時間，單位爲秒。若是省略該參數，必須其餘方式設置過時時間。
refresh_token：表示更新令牌，用來獲取下一次的訪問令牌，可選項。
scope：表示權限範圍，若是與客戶端申請的範圍一致，此項可省略。

下面是一個例子。

HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" }

從上面代碼能夠看到，相關參數使用JSON格式發送（Content-Type: application/json）。此外，HTTP頭信息中明確指定不得緩存。

OAuth 角色

若是上面沒好理解，下面是我從《跟我學shiro》這本書裏看到的，可能比較容易理解

資源擁有者（resource owner）：能受權訪問受保護資源的一個實體，能夠是一我的，那咱們稱之爲最終用
戶；如新浪微博用戶 zhangsan；
資源服務器（resource server）：存儲受保護資源，客戶端經過 access token 請求資源，資源服務器響應受
保護資源給客戶端；存儲着用戶 zhangsan 的微博等信息。
受權服務器（authorization server）：成功驗證資源擁有者並獲取受權以後，受權服務器頒發受權令牌（Acce
ss Token）給客戶端。
客戶端（client）：如新浪微博客戶端 weico、微格等第三方應用，也能夠是它本身的官方應用；其自己不存儲資
源，而是資源擁有者受權經過後，使用它的受權（受權令牌）訪問受保護資源，而後客戶端把相應的數據展現出
來 / 提交到服務器。「客戶端」術語不表明任何特定實現（如應用運行在一臺服務器、桌面、手機或其餘設
備）。

1. 客戶端從資源擁有者那請求受權。受權請求能夠直接發給資源擁有者，或間接的經過受權服務器這種中
介，後者更可取。
2. 客戶端收到一個受權許可，表明資源服務器提供的受權。(獲取受權碼)
3. 客戶端使用它本身的私有證書及受權許可到受權服務器驗證。
4. 若是驗證成功，則下發一個訪問令牌。(獲取access_token訪問令牌)
5. 客戶端使用訪問令牌向資源服務器請求受保護資源。
6. 資源服務器會驗證訪問令牌的有效性，若是成功則下發受保護資源。(獲取訪問的受保護資源)

受權碼模式開發

服務端

oauth2.0服務端實現主要涉及參數配置以下:
受權碼設置(code)
第三方經過code進行獲取 access_token的時候須要用到，code的超時時間爲10分鐘，一個code只能成功換取一次access_token即失效。
受權做用域(scope)
做用域表明用戶受權給第三方的接口權限，第三方應用須要向服務端申請使用相應scope的權限後，通過用戶受權，獲取到相應access_token後方可對接口進行調用。
令牌有效期(access_token)
access_token是調用受權關係接口的調用憑證，因爲access_token有效期（目前爲2個小時）較短，當access_token超時後，能夠使用refresh_token進行刷新，access_token刷新結果有兩種： s
1. 若access_token已超時，那麼進行refresh_token會獲取一個新的access_token，新的超時時間；
2. 若access_token未超時，那麼進行refresh_token不會改變access_token，但超時時間會刷新，至關於續期access_token。
refresh_token擁有較長的有效期（30天），當refresh_token失效的後，須要用戶從新受權。

客戶端

oauth2.0客戶端實現主要涉及傳參以下:

得到受權碼
http://localhost:8080/oauth2/authorize?client_id=fbed1d1b4b1449daa4bc49397cbe2350&response_type=code&redirect_uri=http://localhost:8080/oauth_callback
得到令牌(POST)
http://localhost:8080/oauth2/access_token?client_id=fbed1d1b4b1449daa4bc49397cbe2350&client_secret=fbed1d1b4b1449daa4bc49397cbe2350&grant_type=authorization_code&redirect_uri=http://localhost:8080/oauth_callback&code={code}

刷新令牌

http://localhost:8080/oauth2/refresh_token?client_id={AppKey}&grant_type=refresh_token&refresh_token={refresh_token}

client_id和client_secret是經過申請的，假如你要請求qq的oauth2.0服務，你得提早申請。若是是你本身的ouath服務，則須要在服務端對請求的client_id和client_secret驗證經過。

也能夠使用以下客戶端測試代碼，訪問 http://localhost:8080/client 測試

 
         /*  
       
        * Created by Irving on 2014/11/24. 
       
        * OAuth2 客戶端實現 
       
        */ 
       
        @Controller 
       
        @RequestMapping( 
        "/client" 
        ) 
       
        public  
        class  
        ClientController { 
       
        private  
        static  
        Logger logger = LoggerFactory.getLogger(ClientController. 
        class 
        ); 
       
        /* 
       
        response_type：表示受權類型，必選項，此處的值固定爲"code" 
       
        client_id：表示客戶端的ID，必選項 
       
        redirect_uri：表示重定向URI，可選項 
       
        scope：表示申請的權限範圍，可選項 
       
        state：表示客戶端的當前狀態，能夠指定任意值，認證服務器會原封不動地返回這個值 
       
        */ 
       
        /** 
       
        * 得到受權碼 
       
        * @return 
       
        */ 
       
        @RequestMapping(method = RequestMethod.GET) 
       
        public  
        String client() { 
       
        try  
        { 
       
        OAuthClientRequest oauthResponse = OAuthClientRequest 
       
        .authorizationLocation(ConstantKey.OAUTH_CLIENT_AUTHORIZE) 
       
        .setResponseType(OAuth.OAUTH_CODE) 
       
        .setClientId(ConstantKey.OAUTH_CLIENT_ID) 
       
        .setRedirectURI(ConstantKey.OAUTH_CLIENT_CALLBACK) 
       
        .setScope(ConstantKey.OAUTH_CLIENT_SCOPE) 
       
        .buildQueryMessage(); 
       
        return  
        "redirect:" 
        +oauthResponse.getLocationUri(); 
       
        }  
        catch  
        (OAuthSystemException e) { 
       
        e.printStackTrace(); 
       
        } 
       
        return  
        "redirect:/home" 
        ; 
       
        } 
       
        /* 
       
        grant_type：表示使用的受權模式，必選項，此處的值固定爲"authorization_code" 
       
        code：表示上一步得到的受權碼，必選項。 
       
        redirect_uri：表示重定向URI，必選項，且必須與A步驟中的該參數值保持一致 
       
         　　　　　　　　client_secret:客戶端密鑰,必選項 
       
        client_id：表示客戶端ID，必選項 
       
        */ 
       
        /** 
       
        * 得到令牌 
       
        * @return oauth_callback?code=1234 
       
        */ 
       
        @RequestMapping(value =  
        "/oauth_callback"  
        ,method = RequestMethod.GET) 
       
        public  
        String getToken(HttpServletRequest request,Model model) throws OAuthProblemException { 
       
        OAuthAuthzResponse oauthAuthzResponse =  
        null 
        ; 
       
        try  
        { 
       
        oauthAuthzResponse = OAuthAuthzResponse.oauthCodeAuthzResponse(request); 
       
        String code = oauthAuthzResponse.getCode(); 
       
        OAuthClientRequest oauthClientRequest = OAuthClientRequest 
       
        .tokenLocation(ConstantKey.OAUTH_CLIENT_ACCESS_TOKEN) 
       
        .setGrantType(GrantType.AUTHORIZATION_CODE) 
       
        .setClientId(ConstantKey.OAUTH_CLIENT_ID) 
       
        .setClientSecret(ConstantKey.OAUTH_CLIENT_SECRET) 
       
        .setRedirectURI(ConstantKey.OAUTH_CLIENT_CALLBACK) 
       
        .setCode(code) 
       
        .buildQueryMessage(); 
       
        OAuthClient oAuthClient =  
        new  
        OAuthClient( 
        new  
        URLConnectionClient()); 
       
        //Facebook is not fully compatible with OAuth 2.0 draft 10, access token response is 
       
        //application/x-www-form-urlencoded, not json encoded so we use dedicated response class for that 
       
        //Custom response classes are an easy way to deal with oauth providers that introduce modifications to 
       
        //OAuth 2.0 specification 
       
        //獲取access token 
       
        OAuthJSONAccessTokenResponse oAuthResponse = oAuthClient.accessToken(oauthClientRequest, OAuth.HttpMethod.POST); 
       
        String accessToken = oAuthResponse.getAccessToken(); 
       
        String refreshToken= oAuthResponse.getRefreshToken(); 
       
        Long expiresIn = oAuthResponse.getExpiresIn(); 
       
        //得到資源服務 
       
        OAuthClientRequest bearerClientRequest =  
        new  
        OAuthBearerClientRequest(ConstantKey.OAUTH_CLIENT_GET_RESOURCE) 
       
        .setAccessToken(accessToken).buildQueryMessage(); 
       
        OAuthResourceResponse resourceResponse = oAuthClient.resource(bearerClientRequest, OAuth.HttpMethod.GET, OAuthResourceResponse. 
        class 
        ); 
       
        String resBody = resourceResponse.getBody(); 
       
        logger.info( 
        "accessToken: " 
        +accessToken + 
        " refreshToken: " 
        +refreshToken + 
        " expiresIn: " 
        +expiresIn + 
        " resBody: " 
        +resBody); 
       
        model.addAttribute( 
        "accessToken" 
        ,   
        "accessToken: " 
        +accessToken +  
        " resBody: " 
        +resBody); 
       
        return  
        "oauth2/token" 
        ; 
       
        }  
        catch  
        (OAuthSystemException ex) { 
       
        logger.error( 
        "getToken OAuthSystemException : "  
        + ex.getMessage()); 
       
        model.addAttribute( 
        "errorMsg" 
        ,  ex.getMessage()); 
       
        return   
        "/oauth2/error" 
        ; 
       
        } 
       
        } 
       
        }

項目介紹

項目結構以下：
AuthzController:獲取受權碼 (resource owner)
TokenController:得到令牌 (authorization server)
ResourceController:資源服務 (resource server)
ClientController:客戶端 (client)

前三個Controller相前於服務端最後一個爲客戶端

基礎代碼放到github:https://github.com/peterowang/oauth2.0