第三方登录之OAuth协议


首先要说下第三方登录的意义:用户是越来越懒,而各个平台又都要用户注册自己平台的账号,更可恶的是各个平台的账号规范还不统一。结果导致用户注册完之后,在下一次登录的时候完全不记得账号和密码。所以,使用第三方登录,可以解决这一痛病。既能解决用户的麻烦,还能为网站增加用户量。

OAuth

说到第三方登录,就不得不提OAuth(Open Authorization)协议--开放式授权。
百度百科定义:OAuth协议为用户资源的授权提供一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的账号信息(如用户名与密码), 即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权。

一、应用场景

为了理解OAuth的适用场合,让我举一个假设的例子:
假设有一个"云冲印"的网站,可以将用户存储在Google的照片,冲印出来。用户为了使用该服务,必须让"云冲印"读取自己存储在Google上的照片"。问题是只有得到用户的授权,Google才会同意"云冲印"读取这些照片。那么,"云冲印"怎样才能获得用户的授权呢?

传统方法是,用户将自己的Google用户名和密码,告诉"云冲印",这样后者就可以读取用户的照片了。但是这样的做法会有以下几个严重的缺点。

  • 1"云冲印"为了后续的服务,会保存用户的密码,这样很不安全。
  • 2"云冲印"拥有了获取用户存储在Google所有资料的权力,用户没法限制"云冲印"获得授权的范围和有效期。
  • 3用户只要修改密码,才能收回赋予"云冲印"的权力。但是这样做,会使得其他所有获得用户授权的第三方应用程序全部失效
  • 4只要一个第三方应用程序被破解,就会导致用户密码泄露,以及所有被密码保护的数据泄露。

OAuth协议就是为了解决上面这些问题而诞生的。

二、OAuth的思路

在此先定义一些名词:
Third-party application: 第三方应用程序(客户端)
HTTP service: HTTP服务提供商,本文中简称"服务提供商",即Google.
Resource Owner: 资源所有者,本文中又称"用户"。
User Agent: 用户代理,本文中就是指浏览器。
Authorization server: 认证服务器,即服务提供商专门用来处理认证的服务器。
Resource server: 资源服务器,即服务提供商存放用户生成的资源的服务器。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。

核心思想:
OAuth在"客户端"与"服务提供商"之间,设置了一个授权层。"客户端"不能直接登录"服务提供商",只能登录授权层,以此将用户与客户端区分开来。"客户端"登录 授权层所用的令牌(token), 与用户的密码不同。用户可以在登录的时候,指定授权层令牌的权限范围和有效期。"客户端"登录授权层以后,"服务提供商"依据令牌的权限范围和有效期,向"客户端"开放用户存储的资料。

三、运行流程

bg2014051203.png

(A)用户打开客户端以后,客户端要求用户给予授权。
(B)用户同意给予客户端授权。
(C)客户端使用上一步获得的授权,向认证服务器申请令牌。
(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。
(E)客户端使用令牌,向资源服务器申请获取资源。
(F)资源服务器确认令牌无误,同意向客户端开放资源。

简化模型后的例子:


Paste_Image.png

四、客户端的授权模式

客户端必须得到用户的授权,才能获得令牌(access token)。OAuth 2.0定义了四种授权方式。

  • 1授权码模式(authorization code)
  • 2简化模式
  • 3密码模式
  • 4客户端模式

五、授权码模式

授权码模式是功能最完整,流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。这也是微信,QQ等采用的模式。

Paste_Image.png

(A)用户访问客户端,后者将前者导向认证服务器。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

接下来我们参照第三方登录QQ,来看下授权码模式中的三个重要步骤:
1 请求OAuth登录页:Request Token URL -未授权的令牌请求服务地址
即:XXX网请求QQ登录页面时使用的带有特定参数的URL


Paste_Image.png

2 用户使用QQ或微信号等登录并授权

Paste_Image.png

3 返回登录结果:User Authorization URL -用户授权的令牌请求服务地址
即:用户QQ登录授权之后需要请求一个带有特定参数的URL

Paste_Image.png
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,080评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,422评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,630评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,554评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,662评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,856评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,014评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,752评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,212评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,541评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,687评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,347评论 4 331
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,973评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,777评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,006评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,406评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,576评论 2 349

推荐阅读更多精彩内容

  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,633评论 18 139
  • 最近发现公司里有很多人都不理解Oauth,而且目前国内大部分的oauth实现也都是基于标准oauth2.0的改版,...
    monkey01阅读 939评论 0 5
  • OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。...
    猎人1987阅读 260评论 0 0
  • OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。...
    谢谢写阅读 744评论 0 1
  • 作者介绍: "人性的弱点",英文原名为"How to win friends and influence pe...
    生锈的木鱼阅读 1,048评论 1 1