什么是 OAuth 2.0
根据 oauth.net 的描述,我们可以将它简述为以下内容:OAuth 2.0 是 OAuth 1.0 框架协议的升级版本,简化了多种平台上身份及授权认证的流程。
OAuth 2.0 的用途
OAuth 2.0 的主要用途大概有以下几种:
- 账号接入:降低用户登录的成本、降低一定的账号风险
- 资源访问:以身份权限为手段保护资源处理的有效性、合法性和安全性
OAuth 2.0 的一般流程
- 客户端(如 Web Service)因某些业务需要,以一定的方式向用户(即资源所有者) 请求授权
- 用户同意了授权请求,并给予客户端一定的“信物”(如授权码)
- 客户端用这个“信物”与授权服务器沟通,请求资源访问的权限
- 授权服务器验证该请求,发放资源访问令牌
- 客户端通过这个令牌,来试图向资源服务器访问某些资源
- 资源服务器验证令牌的有效性和权限范围,发放资源
获得 OAuth 2.0 授权的模式(Grant Type)
获得 OAuth 2.0 的授权的模式主要有四种:
- 授权码授权(Authorization Code Grant):一般比较多的应用于 Web Server 或其他可以内置调用浏览器的应用,一般通过浏览器的不断重定向来具体实现整个认证授权过程。绝大多数授权平台都支持该方式
- 隐式授权(Implicit Grant):一般多用于桌面应用、手机应用。较授权码授权而言,安全性稍有下降,身份令牌有被他人截取的危险。
- 密码凭证授权(Resource Owner Password Credentials Grant)
- 客户端凭证授权(Client Credentials Grant)
当然,除了这四种主要的,还有一种 SAML Bearer 于今年 5月 通过 IETF RFC 7522 标准
OAuth 2.0 访问令牌的种类(Token Type)
目前而言, OAuth 2.0 的令牌类型主要有两种:
- 不记名式(Bearer Token):一般都要实现这种
- 消息认证式(Message Authentication Code Token)
不记名式令牌
不记名式的访问令牌一般是指不用做什么,客户端获得的令牌什么样,传给资源服务器时就是什么样。
访问资源时,通常有以下几种形式:
- 将令牌放在 请求头 Authorization 中,并命名为 Bearer。即 Authorization: Bearer ****(注意空格)。
- 以access_token=****形式放在 Query String 中,以 GET 方式访问
- 将access_token=****放在请求体中,以 application/x-www-form-urlencoded 形式(通常是 POST) 访问
消息认证式令牌
消息认证式的访问令牌通常是以一定的加密算法对一些参数加密。加密过程通常是将 HmacSHA1 和 HmacSHA256 加密后的结果Base64化,再根据一定的规则填充到请求头 Authorization 中,并将其命名为 MAC。如 Authorization: MAC id="h480djs93hd8",nonce="274312:dj83hs9s",mac="kDZvddkndxvhGRXZhvuDjEWhGeE=",具体规则视平台的不同而不同
更安全的 OAuth 2.0
虽然本身 OAuth 2.0 也是较为安全的,但难免会为了便利性,相对牺牲了部分安全性,有关 OAuth 2.0 的安全防护可参考 RFC 6819。
本文参考资料
译