1. 背景
首先,设想一种情境:你平常会使用一款照片存储App
(以下照片服务
指代),用来将自己喜欢的照片存放在上面以备随时查看。假如有一天,你想要打印其中的某张照片而且你找到了一款打印照片App
(以下打印服务
指代)。此时你应该怎么将照片给到打印App呢?其实这就涉及到了授权的问题,你必须让照片服务
授权打印服务
访问指定的照片。
也许,最直接的方式就是把用户和密码给到打印服务
,这样的话打印服务
就可以代替你直接去登录照片服务
拿到任意的照片。但是这种方式很明显有极大的安全风险,因为你不能保证打印服务
不会访问你的其他照片并且去做坏事。因此在这种背景下,OAuth2协议应运而生。本文就围绕Oauth2为主题,解析它的具体定义以及各种模式,更重要的是不同模式的使用场景。
2. Oauth2的相关概念
在具体讲解Oauth2的定义之前,有几个概念有必要先了解一下:
-
资源服务器(Resource Server): 存放受保护资源的服务器,
照片存储App
在上面的情境中就可以看做是资源服务器 - 资源拥有者(Resource Owner):**:通常就是指对资源有拥有权的用户
-
客户端(Client): 想要访问受保护资源的对象,上面
打印照片App
就是一种客户端(单页应用、无线应用等也属于客户端) - 授权服务器(Authorization Server):给客户端颁发授权凭证的服务器,通常是给客户端授权码、令牌等凭证
3. Oauth2的授权模式
本节具体讲解Oauth2四种不同的授权模式,分别是:授权码模式
、隐含模式
、密码模式
、客户端凭证模式
,以及它们不同的使用场景。
3.1 授权码模式(Authorization Code)
-
使用场景:
授权码模式
是Oauth2协议里最安全的一种模式(微信、微博第三方登录都是基于该模式),如果上面照片服务
和打印服务
隶属于不同公司,并且打印服务
有自己的服务器。那么在这种情景下,必须要用授权码模式
保证资源的安全,它的主要流程是:
- 客户端需要先向授权服务器请求授权码
code
,请求的格式如下:
http://localhost:8080/oauth/authorize?
client_id=testClient&redirect_uri=http://localhost:8080/callback&response_type=code&scope=read_userInfo&state=x1f2xs
- client_id:客户端凭证id,一般在授权服务器提前注册获取
- redirect_uri: 回调地址,用来回调授权码给客户端服务器
- response_type: 用来告诉授权服务器响应授权码
- scope: 需要申请访问的资源范围
- state: 随机数,用来防止csrf攻击
- 客户端拿到授权码之后,去向授权服务器请求以获取到访问令牌
token
,请求格式如下:
curl -X POST --user testClient:testSecret http://localhost:8080/oauth/token
-H 'content-type:application/x-www-form-urlencoded'
-d "code=QvjUaf&grant_type=authorization_code&redirect_uri=http://localhost:8080/callback&scope=read_userInfo"
- testClient:testSecret:表名客户端身份,客户端id和客户端秘钥
- code: 授权码
- grant_type=authorization_code: 表名授权方式是授权码模式
- redirect_uri:回调地址,一般后端服务器会去访问资源然后定位到首页或者用户页
- scope:请求资源范围
- 拿到
token
后,客户端就可以请求指定的api进行资源访问,请求格式如下:
curl -X GET http://localhost:8080/api/xxx -H 'Authorization:Bearer LIYcLu400YNX5CzJpZ39XG7J9kw'
授权码模式主要涉及到
code
和token
的获取,只有获取到token后才有权限访问资源。code
是通过前端的方式传递的,但是就算code
被截获,由于token是在服务器中完成请求的,一般clientSecret
是不会泄露的,并且获取token还需state
验证(state
会和会话进行绑定),因此token泄露的风险极小,所以推荐使用这种模式来颁发token。
3.2 隐含模式(implicit)
-
使用场景:由于并不是所有的客户端都有服务器支持,假如
打印服务
是个spa应用
,那么授权码模式
很显然并不适用,因此Oauth2还提供了隐含模式
来处理这种情况。它的主要流程如下:
- 客户端向授权服务器直接请求获取
token
,请求格式如下:
http://localhost:8080/oauth/authorize
?client_id=testClient&redirect_uri=http://localhost:8080/callback&response_type=token&scope=read_userInfo
- client_id:客户端凭证id,一般在授权服务器提前注册获取
- redirect_uri: 回调地址,用来将token回调给客户端
- response_type: 用来告诉授权服务器响应token
- scope: 需要申请访问的资源范围
需要注意的是这种模式并不是一种十分安全的模式,因为token有被泄漏的风险。因此除非是像上述这种必要的场景,一般不适用这种模式,并且在这种模式下token的失效时间需要尽可能的短。
- 拿到
token
后请求资源服务器
curl -X GET http://localhost:8080/api/xxx -H 'Authorization:Bearer LIYcLu400YNX5CzJpZ39XG7J9kw'
3.3 密码模式(password)
-
使用场景:如果
照片服务和
打印服务同属一个公司,那么可能不需要很严格的安全防范。因此Oauth2还提供了
密码模式来颁发
token`,主要流程如下:
- 客户端直接向授权服务器请求获取
token
接口,请求格式如下:
curl -X POST --user testClient:testSecret http://localhost:8080/oauth/token
-H 'content-type:application/x-www-form-urlencoded'
-d 'grant_type=password&username=joe&password=123&scope=read_userInfo'
- testClient:testSecret:表名客户端身份,客户端id和客户端秘钥
- grant_type=password: 表名授权方式是密码模式
- username=joe&password=123:将密码和用户名传递给授权码服务器
- scope:请求资源范围
这种模式严格来说是很不安全的,因为你把用户名和密码给了客户端,然后代替你去登录网站。默认也不推荐使用这种模式,除非是特别信任的系统或者是同一组织的产品。
- 拿到
token
后请求资源服务器
curl -X GET http://localhost:8080/api/user/info -H 'Authorization:Bearer LIYcLu400YNX5CzJpZ39XG7J9kw'
3.4 客户端凭证模式(Client Credentials)
-
使用场景:单纯机器和机器之间的交互,和用户并没有交互关系。那么客户端可能只需要向授权服务器注册好凭证保存下来就可以进行认证。针对这种情况,Oauth2通过
客户端凭证
的方式来颁发token
,主要流程如下:
- 获取
token
curl -X POST --user testClient:testSecret http://localhost:8080/oauth/token
-H 'content-type:application/x-www-form-urlencoded'
-d 'grant_type=client_credentials&scope=read_userInfo'
- testClient:testSecret:表名客户端凭证,客户端id和客户端秘钥
- grant_type=client_credentials: 表名授权方式是客户端凭证模式
- scope:请求资源范围
这种方式更加地简单,只需要向授权服务器申请过凭证,就可以访问资源,一般用于纯及机器之间的交互。
- 拿到
token
后请求资源服务器
curl -X GET http://localhost:8080/api/user/info -H 'Authorization:Bearer LIYcLu400YNX5CzJpZ39XG7J9kw'
4. 总结
至此,关于oauth2协议的四种模式已经讲解完了,并且针对它们不同的使用场景也做了阐述。Oauth2协议在微服务系统盛行的今天有着很重要的作用,往往会在网关层担当权限控制的角色。并且Oauth2只是定义了协议,并不是具体的实现,像Spring Security Oauth2
、Google OAuth Java Client
等都对它有比较好的支持,具体的使用可以借助这些框架来展开。
5. 参考资料
- https://oauth.net/code/java/
- Oauth2 in action
- https://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html