OAuth初探

 

       OAuth是一個關於受權（Authorization）的開放網絡標準，在全世界獲得普遍應用，目前版本是2.0。爲了理解OAuth,好比有個雲印通的網站，能夠將用戶存儲在谷歌的照片沖印出來。用戶爲了使用該服務，必須讓"雲印通"讀取本身存儲在Google上的照片。

       問題是隻有獲得用戶的受權，Google纔會贊成「雲印通」讀取這些照片。那麼，雲印通怎麼獲取用戶的受權了？

       OAuth就是爲了解決上面的問題誕生的

       名詞定義：

       1.third-party-application   第三方應用程序，本文又稱爲「客戶端」 client。

       2.HTTP Service  http服務提供商，即例子中的Google.        

       3.Resource Owner:資源全部者，本文中又稱爲「用戶"(user).

       4.User Agent 用戶代理，本文就是指瀏覽器。

       5.Authorization server :認證服務器，即服務提供商用來處理認證的服務器。

       6.Resource server:資源服務器，即服務提供商用來存放資源的服務器。他也能夠與認證服務器是同一臺服務器。 

       OAuth的思路

       OAuth在客戶端與服務提供商之間，設置了一個受權層（authorization layer）。客戶端不能直接登錄「服務提供商」，只能登錄受權層，以此將用戶與客戶端區分出來。「客戶端」登錄受權層所用的令牌(token),與用戶的密碼不一樣。用戶能夠在登錄的時候指定受權層令牌的權限範圍與有效期。

        客戶端登錄受權層之後，「服務提供商」根據令牌的權限範圍以及有效期，向「客戶端」開放存儲的資料。

          流程以下：

         1.用戶打開客戶端之後，客戶端要求用戶給予受權。

         2.用戶贊成給予客戶端受權。（有了用戶受權之後，客戶端就能夠得到令牌）

         3.客戶端使用上一步得到的受權，向認真服務器申請令牌。

         4.認證服務器對客戶端進行認證之後，確認無誤，贊成發放令牌。

         5.客戶端使用令牌，向資源服務器申請獲取資源。

         6.資源服務器確認令牌無誤，贊成向客戶端開放資源。

     客戶端的受權模式

       客戶端必須得到客戶的受權（authorization grant),才能獲取到令牌（accessToken）.OAuth2.0定義了四種受權方式。

      1.受權碼模式（authorization  code）。

      2.簡化模式

      3.密碼模式

      4.客戶端模式

      受權碼模式:

       受權碼模式是功能最完整、流程最嚴密的受權模式。他的特色是經過客戶端的後臺服務器與服務提供商的認證服務器進行互動。

     （A）用戶訪問客戶端，後者將前者導向認證服務器。

     （B）用戶選擇是否給予客戶端受權。

     （C）假設用戶給予受權，認證服務器將用戶導向客戶端事先指定的"重定向URI"（redirection URI），同時附上一個受權碼。

     （D）客戶端收到受權碼，附上早先的"重定向URI"，向認證服務器申請令牌(token)。這一步是在客戶端的後臺的服務器上完成的,對用戶不可見。

     （E）認證服務器覈對了受權碼和重定向URI，確認無誤後，向客戶端發送訪問令牌（access token）和更新令牌（refresh token）。

         在A步驟中，客戶端身份認證的URI,包含如下參數：

         response_type:表示受權類型，必須選，此處的固定值爲"code"。

         client_id:表示客戶端的id,必選項

         redirect_url :表示重定向的URI,可選項

         scope:表示申請的權限範圍,可選項

         state：表示客戶端的當前狀態，能夠指定任意值。 

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

         C步驟中,服務器迴應客戶端的URI,包含如下參數:

            code:表示受權碼，必選項。 有效期很短，客戶端只能使用該碼一次。

            state:若是客戶端的請求中包含這個參數，認證服務器的迴應也必須如出一轍

HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
          &state=xyz

           D步驟中，客戶端向認證服務器申請令牌的HTTP請求，包含如下參數

           grant_type:表示使用的受權模式，必選項。此處的值固定爲"authorization_code"。

           code:表示上一步得到的受權碼，必選項。

           redirect_uri:表示重定向URI,必選項，有上面必須一致。

           client_id:表示客戶端ID,必選項。

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

 

              E步驟中，認證服務器發送的HTTP回覆，包含如下參數。

              access_token：表示訪問令牌，必選項。

              token_type：表示令牌類型，該值大小寫不敏感，必選項，能夠是bearer類型或mac類型。

              expires_in：表示過時時間，單位爲秒。若是省略該參數，必須其餘方式設置過時時間。

              refresh_token：表示更新令牌，用來獲取下一次的訪問令牌，可選項。

              scope：表示權限範圍，若是與客戶端申請的範圍一致，此項可省略。         

HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

         

         更新令牌:

         若是用戶訪問的時候，客戶端的「訪問令牌已通過期」，則須要使用「更新令牌」申請一個新的令牌。

         客戶端發出更新令牌的HTTP請求，包含如下參數。

        granttype：表示使用的受權模式，此處的值固定爲"refreshtoken"，必選項。

        refresh_token：表示早前收到的更新令牌，必選項。

        scope：表示申請的受權範圍，不能夠超出上一次申請的範圍，若是省略該參數，則表示與上一次一致。

POST /token HTTP/1.1
     Host: server.example.com
     Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
     Content-Type: application/x-www-form-urlencoded

     grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA