理解OAuth 2.0

OAuth是一個關於受權（authorization）的開放網絡標準，在全世界獲得普遍應用，目前的版本是2.0版。

本文對OAuth 2.0的設計思路和運行流程，作一個簡明通俗的解釋，主要參考材料爲RFC 6749。

1、應用場景

爲了理解OAuth的適用場合，讓我舉一個假設的例子。

有一個"雲沖印"的網站，能夠將用戶儲存在Google的照片，沖印出來。用戶爲了使用該服務，必須讓"雲沖印"讀取本身儲存在Google上的照片。

問題是隻有獲得用戶的受權，Google纔會贊成"雲沖印"讀取這些照片。那麼，"雲沖印"怎樣得到用戶的受權呢？

傳統方法是，用戶將本身的Google用戶名和密碼，告訴"雲沖印"，後者就能夠讀取用戶的照片了。這樣的作法有如下幾個嚴重的缺點。

（1）"雲沖印"爲了後續的服務，會保存用戶的密碼，這樣很不安全。
（2）Google不得不部署密碼登陸，而咱們知道，單純的密碼登陸並不安全。
（3）"雲沖印"擁有了獲取用戶儲存在Google全部資料的權力，用戶無法限制"雲沖印"得到受權的範圍和有效期。
（4）用戶只有修改密碼，才能收回賦予"雲沖印"的權力。可是這樣作，會使得其餘全部得到用戶受權的第三方應用程序所有失效。
（5）只要有一個第三方應用程序被破解，就會致使用戶密碼泄漏，以及全部被密碼保護的數據泄漏。

OAuth就是爲了解決上面這些問題而誕生的。

2、名詞定義

在詳細講解OAuth 2.0以前，須要瞭解幾個專用名詞。它們對讀懂後面的講解，尤爲是幾張圖，相當重要。

（1）Third-party application：第三方應用程序，本文中又稱"客戶端"（client），即上一節例子中的"雲沖印"。
（2）HTTP service：HTTP服務提供商，本文中簡稱"服務提供商"，即上一節例子中的Google。
（3）Resource Owner：資源全部者，本文中又稱"用戶"（user）。
（4）User Agent：用戶代理，本文中就是指瀏覽器。
（5）Authorization server：認證服務器，即服務提供商專門用來處理認證的服務器。
（6）Resource server：資源服務器，即服務提供商存放用戶生成的資源的服務器。它與認證服務器，能夠是同一臺服務器，也能夠是不一樣的服務器。

知道了上面這些名詞，就不難理解，OAuth的做用就是讓"客戶端"安全可控地獲取"用戶"的受權，與"服務商提供商"進行互動。

3、OAuth的思路

OAuth在"客戶端"與"服務提供商"之間，設置了一個受權層（authorization layer）。"客戶端"不能直接登陸"服務提供商"，只能登陸受權層，以此將用戶與客戶端區分開來。"客戶端"登陸受權層所用的令牌（token），與用戶的密碼不一樣。用戶能夠在登陸的時候，指定受權層令牌的權限範圍和有效期。

"客戶端"登陸受權層之後，"服務提供商"根據令牌的權限範圍和有效期，向"客戶端"開放用戶儲存的資料。

4、運行流程

OAuth 2.0的運行流程以下圖，摘自RFC 6749。

（A）用戶打開客戶端之後，客戶端要求用戶給予受權。
（B）用戶贊成給予客戶端受權。
（C）客戶端使用上一步得到的受權，向認證服務器申請令牌。
（D）認證服務器對客戶端進行認證之後，確認無誤，贊成發放令牌。
（E）客戶端使用令牌，向資源服務器申請獲取資源。
（F）資源服務器確認令牌無誤，贊成向客戶端開放資源。

不難看出來，上面六個步驟之中，B是關鍵，即用戶怎樣才能給於客戶端受權。有了這個受權之後，客戶端就能夠獲取令牌，進而憑令牌獲取資源。

下面一一講解客戶端獲取受權的四種模式。

5、客戶端的受權模式

客戶端必須獲得用戶的受權（authorization grant），才能得到令牌（access token）。OAuth 2.0定義了四種受權方式。

• 受權碼模式（authorization code）
• 簡化模式（implicit）
• 密碼模式（resource owner password credentials）
• 客戶端模式（client credentials）

6、受權碼模式

受權碼模式（authorization code）是功能最完整、流程最嚴密的受權模式。它的特色就是經過客戶端的後臺服務器，與"服務提供商"的認證服務器進行互動。

它的步驟以下：
（A）用戶訪問客戶端，後者將前者導向認證服務器。
（B）用戶選擇是否給予客戶端受權。
（C）假設用戶給予受權，認證服務器將用戶導向客戶端事先指定的"重定向URI"（redirection URI），同時附上一個受權碼。
（D）客戶端收到受權碼，附上早先的"重定向URI"，向認證服務器申請令牌。這一步是在客戶端的後臺的服務器上完成的，對用戶不可見。
（E）認證服務器覈對了受權碼和重定向URI，確認無誤後，向客戶端發送訪問令牌（access token）和更新令牌（refresh token）。

下面是上面這些步驟所須要的參數。

A步驟中，客戶端申請認證的URI，包含如下參數：

• response_type：表示受權類型，必選項，此處的值固定爲"code"
• client_id：表示客戶端的ID，必選項
• redirect_uri：表示重定向URI，可選項
• scope：表示申請的權限範圍，可選項
• state：表示客戶端的當前狀態，能夠指定任意值，認證服務器會原封不動地返回這個值。

下面是一個例子

1 GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
2         &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
3 Host: server.example.com

C步驟中，服務器迴應客戶端的URI，包含如下參數：

• code：表示受權碼，必選項。該碼的有效期應該很短，一般設爲10分鐘，客戶端只能使用該碼一次，不然會被受權服務器拒絕。該碼與客戶端ID和重定向URI，是一一對應關係。
• state：若是客戶端的請求中包含這個參數，認證服務器的迴應也必須如出一轍包含這個參數。

下面是一個例子。

1 HTTP/1.1 302 Found
2 Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
3           &state=xyz

D步驟中，客戶端向認證服務器申請令牌的HTTP請求，包含如下參數：

• grant_type：表示使用的受權模式，必選項，此處的值固定爲"authorization_code"。
• code：表示上一步得到的受權碼，必選項。
• redirect_uri：表示重定向URI，必選項，且必須與A步驟中的該參數值保持一致。
• client_id：表示客戶端ID，必選項。

下面是一個例子。

1 POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded
2 
3 grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

E步驟中，認證服務器發送的HTTP回覆，包含如下參數：

• access_token：表示訪問令牌，必選項。
• token_type：表示令牌類型，該值大小寫不敏感，必選項，能夠是bearer類型或mac類型。
• expires_in：表示過時時間，單位爲秒。若是省略該參數，必須其餘方式設置過時時間。
• refresh_token：表示更新令牌，用來獲取下一次的訪問令牌，可選項。
• scope：表示權限範圍，若是與客戶端申請的範圍一致，此項可省略。

下面是一個例子。

 1 HTTP/1.1 200 OK
 2 Content-Type: application/json;charset=UTF-8
 3 Cache-Control: no-store
 4 Pragma: no-cache
 5 
 6 {
 7     "access_token":"2YotnFZFEjr1zCsicMWpAA",
 8     "token_type":"example",
 9     "expires_in":3600,
10     "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
11     "example_parameter":"example_value"
12 }

從上面代碼能夠看到，相關參數使用JSON格式發送（Content-Type: application/json）。此外，HTTP頭信息中明確指定不得緩存。

下面是一個新浪微博的一個實際應用

新浪微博開發平臺使用的就是受權碼模式

 1 /**
 2      * Executes 新浪微博 將用戶導向認證服務器 action
 3      *
 4      * @param sfRequest $request A request object
 5     */
 6     public function executeSina(sfWebRequest $request)
 7     {
 8         $code_url = $this->_sina_auth->getAuthorizeURL( $this->_sina_callback );
 9         $this->redirect($code_url);
10     }

用戶給予受權後（重定向URI），認證服務器將用戶導向客戶端事先指定的"重定向URI"（redirection URI），同時附上一個受權碼（code）

 1 /**
 2      * Executes 新浪微博回調 action
 3      *
 4      * @param sfRequest $request A request object
 5     */
 6     public function executeSinaCallback(sfWebRequest $req)
 7     {
 8         $code = trim($req->getParameter('code', '')); //受權碼
 9         if (isset($code)) {
10             $keys = array();
11             $keys['code'] = $code;
12             $keys['redirect_uri'] = $this->_sina_callback;
13             try {
14                 $token = $this->_sina_auth->getAccessToken('code', $keys); //獲取令牌
15             } catch (Exception $e) {
16                 
17             }
18         }
19         if ($token) {
20             //受權完成
21             setcookie('weibojs_'.$this->_sina_auth->client_id, http_build_query($token));
22             //獲取微博用戶信息
23             $c = new SaeTClientV2($this->_sina_app_id, $this->_sina_app_key, $token['access_token']);
24             $uid_get = $c->get_uid();
25             $uid = $uid_get['uid'];
26             $user_message = $c->show_user_by_id($uid);
27             if(empty($user_message)) {
28                 alertMsg2('獲取微博用戶信息失敗');
29             }
30             //獲取本地用戶信息
31             //$user_name = !empty($user_message['screen_name'])?$user_message['screen_name']:$user_message['name'];
32             $user_name = $user_message['name'];
33             $result = $this->_writeSinaUserInfo($user_name,$user_message);
34             if($result !== false) {
35                 $this->redirect('@homepage');
36             }
37         } else {
38             alertMsg2('受權失敗');
39         }
40         $this->setLayout(false);
41         return sfView::NONE;
42     }

本文轉自：http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html