什么是OAuth2
OAuth(开放授权)是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。
应用场景
第三方应用授权登录:在APP或者网页接入一些第三方应用时,时长会需要用户登录另一个合作平台,比如QQ,微博,微信的授权登录。
流程图
整体流程说明
- 用户打开客户端,客户端要求向资源所有者(即用户)给予授权;
- 用户同意授权;
- 客户端得知用户同意授权后,向授权服务器获取授权;
- 授权服务器给予客户端授权,并将授权码(Access Token)即为令牌下发给客户端;
- 客户端携带授权码去请求资源服务器;
- 资源服务器将受限的资源开放给客户端。
大多数情况下,认证服务器和资源服务者在一台机器上,但是逻辑上属于两个概念,很多系统将其作为单独的微服务和其他资源服务区分开来。
OAuth2协议规定的4种授权类型
授权许可是表示客户用来获取访问令牌的资源所有者授权的凭证。此规范协议规定了4种授权类型:
- authorization code(授权码模式)
- implicit(简化模式)
- resource owner password credentials(密码模式)
- client credentials(客户端模式)
授权码模式
- 用户访问客户端,客户端通过用户代理向认证服务器请求授权码;
- 用户同意授权;
- 认证服务器通过用户代理返回授权码给客户端;
- 客户端携带授权码向认证服务器请求访问令牌(AccessToken);
- 认证服务器返回访问令牌;
- 客户端携带访问令牌向资源服务器请求资源;
- 资源服务器返回资源。
简化模式
- 用户访问客户端,客户端通过用户代理向认证服务器请求授权码;
- 用户同意授权;
- 认证服务器返回一个重定向地址,该地址的url的Hash部分包含了令牌;
- 用户代理向资源服务器发送请求,其中不带令牌信息;
- 资源服务器返回一个网页,其中包含的脚本可以获取Hash中的令牌;
- 用户代理执行脚本提取令牌;
- 用户代理将令牌返回给客户端;
- 客户端携带令牌向资源服务器请求资源;
- 资源服务器返回资源。
密码模式
- 用户向客户端提供用户名密码;
- 客户端将用户名和密码发给认证服务器请求令牌;
- 认证服务器确认无误后,向客户端提供访问令牌;
- 客户端携带令牌向资源服务器请求访问资源;
- 资源服务器返回资源。
客户端模式
- 客户端向认证服务器进行身份认证,并要求一个访问令牌;
- 认证服务器确认无误后,向客户端提供访问令牌;
- 客户端携带令牌向资源服务器请求访问资源;
- 资源服务器返回资源。