写接口鉴权的时候,有个借鉴的协议叫做OAuth授权协议,本文来学习下这个协议:
一、概念
SSO单点登录(Single sign-on):多个应用系统中,用户只需登录一次就可以访问所有相互信任的系统。
CAS 中央认证服务(Central Authentication Service):CAS是由美国耶鲁大学发起的一个企业级开源项目,旨在为WEB应用系统提供一种可靠的单点登录解决方案(WEB SSO)。
OAuth2.0开放授权(Open Authorization):它是一种开放授权协议,一个为用户资源授权定义的安全标准,主要用于第三方应用授权登录。
OAuth2.0与OAuth1.0区别:OAuth2.0是OAuth协议的延续版本,由于1.0协议设计的太复杂,易用性差,而且存在严重安全漏洞,所以没有得到普及。2.0是一个新的设计,协议简单清晰,但不向前兼容OAuth 1.0,与1.0没什么关系。
SSO、CAS 、OAuth2.0三者关系:SSO仅仅是一种设计架构,而CAS和OAuth2.0是SSO的一种实现方式,他们之间是抽象与具象的关系。
OAuth2.0使用场景举例:登录一些软件或网站的时候可以使用QQ、微信或者微博等账号进行授权登录。例如我们登陆豆瓣网的时候,如果不想单独注册豆瓣网账号的话,就可以选择用微博或者微信账号进行授权登录。
SSO举例:目前公司内部,如果公司有多套不同的软件系统,例如我们日常使用的GitLab代码管理、公司内网系统、财务报销系统以及很多业务系统的管理后台,是不是也可以实现一个员工账号就能授权访问所有以上这些系统,而不需要每个系统都开通单独的账号,设置独立的密码才行呢?实际上在很多公司都是可以实现这种效果的,这也就是我们通常所说的SSO单点登录系统。
二、OAuth2.0授权方式
1、OAuth2.0协议中定义了以下四个角色:
资源拥有者(resource owner):通常为用户。例如我们使用通过微信账号登录豆瓣网,而微信账号信息的实际拥有者就是微信用户,也被称为最终用户。
资源服务器(resource server):存储资源的服务器,例子中该角色就是微信服务器。
客户端(client):本身不存储资源,需要通过资源拥有者的授权去请求资源服务器的资源。例子中豆瓣网就是这样的角色。
授权服务器(authorization server):认证服务器,即服务提供商专门用来处理认证授权的服务器。例如微信开放平台提供的认证服务的服务器。
2、OAuth2.0协议四种授权模式:
下面图是参考文章OAuth授权协议中举例的时序图,非常清晰。
授权码模式(authorization code):授权码模式是功能最完整、流程最严密的授权模式。
简化模式:简化模式是对授权码模式的简化,跳过了“授权码临时凭证”这个步骤。从授权码模式序列图可以看到access_token只在两服务器间传递,比较安全。简化模式访问令牌access_token会在URL片段中进行传输,因此可能会导致访问令牌被其他未经授权的第三方截取,所以安全性上并不是那么的强壮。
密码模式:用户需要向客户端提供自己的用户名和密码,客户端使用这些信息向“服务提供商”索要授权。这相当于在豆瓣网中使用微信登录,我们需要在豆瓣网输入微信的用户名和密码,然后由豆瓣网使用我们的微信用户名和密码去向微信服务器获取授权信息。这种方式一般不推荐,因为相当于把微信的密码暴露给了客户端,有极大的安全风险。
客户端模式:客户端模式是指客户端以自己的名义,而不是以用户的名义,向“服务提供方”进行认证。在这种模式下,用户并不需要对客户端授权,用户直接向客户端注册,客户端以自己的名义要求“服务提供商”提供服务。这种模式是最方便但最不安全的模式。
