oauth2.0总结

  • 授权模式一共四种:
    1.客户端模式(Client Credentials)
    2.密码模式(User Credentials)
    3.简化模式(Implicit)
    4.授权码模式(Authorization Code)

授权模式

1.客户端模式(Client Credentials) 直接用app_id+secret

这是最简单的一种方式, 不需要得到用户ws授权,只要资源服务方qq空间对第三方应用paint发放一个client_id和client_secret, 第三方应用访问资源时通过刚才的id和secret进行验证后即返回access_token.
当然,这样对用户ws有些不公平,但实际上,在第三方应用paint所访问的资源与用户ws关系不大时就比较方便了.
此时,paint能从qq空间获取任意图片,只需要向qq空间认证,因为这些图片与具体某个用户无关.

2.密码模式(User Credentials) 直接使用用户密码

用户ws将自己的用户名密码直接告知第三方应用paint, paint即可使用这个密码向资源服务方qq空间获取图片.
这个方法就是刚才说过的很不安全的方法.但仍然有其适用的范围.
就是在用户ws与第三方应用paint更相熟情况, 也就是ws完全信任paint,放心的把密码交给paint使用.
此时,paint仅能获取用户ws的图片, 不能获取ws2,ws3等用户的图片,所以paint一定要取得ws的信任拿到密码.

3.简化模式(Implicit) 跳转登录回调url返回token

paint要得到access_token并且,不必知道ws的具体密码.
paint会访问qq空间某一api接口时,告知client_id, user_id, redirect_url,qq空间收到请求后将页面跳转到认证页面,
然后浏览器跳转至qq空间的认证页面,用户ws在此页面输入用户名密码,在qq空间认证成功后.
qq空间将浏览器跳转到paint提前指定的redirect_url上,传入access_token. 这时paint即可得到access_token.

注:
这里的access_token如何能被paint得到? 就是解析redirect_url的参数.
比如这样 ,直接取url参数得到access_token为abcdefg.
http://my.redirect_url.com?access_token=abcedfg

在一些移动应用的程序内部实现时,即使redirect_url是一个错误的地址,也能解析到access_token.
因为应用内部会收到302跳转的数据,只要从中解析到token后,不执行跳转动作即可.
这个问题,困惑了我好久.经过朋友帮助才终于理解.

4.授权码模式(Authorization Code) 跳转登录回调url返回code,再用code获取token

授权码模式与简化模式的过程是一样的.
不同之处在于,qq空间跳转到paint的redirect_url时,不直接返回access_token,而是返回一个code.
paint需要再将code发到qq空间,请求对应的access_token.
为什么要多此一举?
简化模式适用于paint是移动客户端应用的情况, 这个应用请求access_token后, 可直接获取到access_token.并且这个access_token是在url参数后的.
也就是如果客户端能显示出网址,用户就能看见access_token. 此时access_token是相对公开的不安全.
而授权码模式适用于paint是移动客户端应用,而且拥有自己的公网服务器, 那么它可以在请求到access_token时, 首先是公网服务器(通过redirect_url)得到code,
由公网服务器使用code请求access_token. 这时paint的公网服务器直接向qq空间请求照片,然后再将照片转发到paint移动客户端应用.
整个过程客户端是没有得到access_token的.相对来说更安全.

授权码模式时序图(引用自腾讯)
(user: 用户ws App:第三方应用paint Auth_svr:认证服务器,qq空间)

image

[图片上传失败...(image-80dddb-1534923444277)]

四、总结

上面就是自己的浅见,本人实践过程仅搭建了一个简单的OAuth2.0服务器,用于其他合作伙伴访问我们的api时进行权限认证.
是一个比较简单的应用.
在学习理解OAuth2.0过程,参考了阮老师的文章.他的语言文字描述更准确透彻,且容易理解. 可以点击此处查看.
另外,OAuth2.0官网上的教程一步一步搭建OAuth2.0服务器对我帮助也很大.
官网有好几种实现方式,都是开源贡献者的精华,我只详细看了php的实现,就已经深深佩服.
一个看似简单的功能,竟然能实现的非常灵活, 仅需要很少的改动就能完整实现上述的4种认证授权模式,并且还有本文没有提到,但是标准中定义的很多其他细节.

五、参考资料:

0. 如何选择OAuth2.0各种授权类型

https://github.com/thephpleague/OAuth2-server/wiki/Which-OAuth-2.0-grant-should-I-use%3F

1.OAuth1.0 OAuth2.0的实现原因及安全性问题, 是PPT内容。

张天琪——oauth security.pdf
[图片上传失败...(image-ebfbd4-1534923444277)]

2.关于OAuth2.0的规范详细理解。

理解OAuth 2.0 作者: 阮一峰
http://www.ruanyifeng.com/blog/2014/05/OAuth_2_0.html

3.其他网站使用OAuth2.0授权认证的接口文档

关于OAuth2.0的详细介绍,请参考OAuth2.0协议标准。
腾讯 (这个有时序图,讲的比较清晰。当然要配合”理解OAuth 2.0”一起理解)
http://wiki.open.t.qq.com/index.php/OAuth2.0%E9%89%B4%E6%9D%83#.E8.8E.B7.E5.8F.96accesstoken.E7.9A.84.E4.B8.A4.E7.A7.8D.E6.96.B9.E5.BC.8F
人人网
http://wiki.dev.renren.com/wiki/Authentication
来往
http://open.laiwang.com/docs/authentication.html
微信认证的接口使用方法.
http://mp.weixin.qq.com/wiki/index.php?title=%E8%8E%B7%E5%8F%96access_token

4.帮你深入理解OAuth2.0协议

http://blog.csdn.net/seccloud/article/details/8192707
OAuth协议实例化描述
下面我以实例化方式来帮助读者理解授权码类型的授权协议的运行过程。假设:
(1) Alice有一个有效的Google帐号;
(2) Facebook.com已经在Google Authorization Server上注册了Client身份,已经获得(client_id, client_secret),注意client_secret是Client与AS之间的一个共享密钥。
(3) Alice想授权Facebook.com查看她的联系人列表(https://www.google.com/m8/feeds)。
图3展示了Alice、Facebook.com、Google资源服务器、以及Google OAuth授权服务器之间的协议运行过程。

[图片上传失败...(image-69e460-1534923444277)]

image
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,172评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,346评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,788评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,299评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,409评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,467评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,476评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,262评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,699评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,994评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,167评论 1 343
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,827评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,499评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,149评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,387评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,028评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,055评论 2 352

推荐阅读更多精彩内容