快捷導(dǎo)航

OAuth 2.0 概念及授權(quán)流程梳理

更新時間：2020年08月18日 10:06:06 作者：東北小狐貍

這篇文章主要介紹了OAuth 2.0 概念及授權(quán)流程梳理，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

OAuth2 的概念

OAuth是一個關(guān)于授權(quán)的開放網(wǎng)絡(luò)標(biāo)準(zhǔn)，OAuth2是其2.0版本。

它規(guī)定了四種操作流程（授權(quán)模式）來確保安全

應(yīng)用場景有第三方應(yīng)用的接入、微服務(wù)鑒權(quán)互信、接入第三方平臺、第一方密碼登錄等

Java王國中Spring Security也對OAuth2標(biāo)準(zhǔn)進行了實現(xiàn)。

OAuth2授權(quán)模式

OAuth2定義了四種授權(quán)模式（授權(quán)流程）來對資源的訪問進行控制

授權(quán)碼模式（Authorization Code Grant）
隱式授權(quán)模式（Implicit Grant）
用戶名密碼模式（Resource Owner Password Credentials Grant）
客戶端模式（Client Credentials Grant）

無論哪個模式（流程）都擁有三個必要角色:客戶端、授權(quán)服務(wù)器、資源服務(wù)器，有的還有用戶（資源擁有者），下面簡單介紹下授權(quán)流程

授權(quán)碼模式（Authorization Code Grant）

授權(quán)碼模式是OAuth2目前最安全最復(fù)雜的授權(quán)流程，先放一張圖，稍做解釋

如上圖，我們可以看到此流程可大致分為三大部分

Client Side：用戶+客戶端與授權(quán)服務(wù)器的交互
Server Side：客戶端與授權(quán)服務(wù)器之間的交互
Check Access Token：客戶端與資源服務(wù)器之間的交互 + 資源服務(wù)器與授權(quán)服務(wù)器之間的交互

整體上來說，可以用一句話概括授權(quán)碼模式授權(quán)流程

客戶端換取授權(quán)碼，客戶端使用授權(quán)碼換token，客戶端使用token訪問資源

接下來對這三部分進行一些說明：

前提條件：

第三方客戶端需要提前與資源擁有方（同時也是授權(quán)所有方）協(xié)商客戶端id（client_id），客戶端密鑰（client_secret）
文中暫時未將scope、state等依賴具體框架的內(nèi)容寫進來，這里可以參考Spring Security OAuth2的實現(xiàn)

Client Side

客戶端換取授權(quán)碼

這個客戶端可以是瀏覽器，

客戶端將client_id + client_secret + 授權(quán)模式標(biāo)識(grant_type) + 回調(diào)地址(redirect_uri)拼成url訪問授權(quán)服務(wù)器授權(quán)端點
授權(quán)服務(wù)器返回登錄界面，要求用戶登錄（此時用戶提交的密碼等直接發(fā)到授權(quán)服務(wù)器，進行校驗）
授權(quán)服務(wù)器返回授權(quán)審批界面，用戶授權(quán)完成
授權(quán)服務(wù)器返回授權(quán)碼到回調(diào)地址

Server Side

客戶端使用授權(quán)碼換token

客戶端接收到授權(quán)碼，并使用授權(quán)碼 + client_id + client_secret訪問授權(quán)服務(wù)器頒發(fā)token端點
授權(quán)服務(wù)器校驗通過，頒發(fā)token返回給客戶端
客戶端保存token到存儲器（推薦cookie）

Check Access Token

客戶端使用token訪問資源

客戶端在請求頭中添加token，訪問資源服務(wù)器
資源服務(wù)器收到請求，先調(diào)用校驗token的方法（可以是遠(yuǎn)程調(diào)用授權(quán)服務(wù)器校驗端點，也可以直接訪問授權(quán)存儲器手動校對）
資源服務(wù)器校驗成功，返回資源

這里的說明省去了一些參數(shù)，如scope(請求token的作用域)、state(用于保證請求不被CSRF)、redirect_uri(授權(quán)服務(wù)器回調(diào)uri)，先理解概念，實現(xiàn)的時候再去要求

隱式授權(quán)模式（Implicit Grant）

隱式授權(quán)模式大致可分為兩部分：

Client Side：用戶+客戶端與授權(quán)服務(wù)器的交互
Check Access Token：客戶端與資源服務(wù)器之間的交互 + 資源服務(wù)器與授權(quán)服務(wù)器之間的交互

用一句話概括隱式授權(quán)模式授權(quán)流程

客戶端讓用戶登錄授權(quán)服務(wù)器換token，客戶端使用token訪問資源

Client Side

客戶端讓用戶登錄授權(quán)服務(wù)器換token

客戶端（瀏覽器或單頁應(yīng)用）將client_id + 授權(quán)模式標(biāo)識(grant_type)+ 回調(diào)地址(redirect_uri)拼成url訪問授權(quán)服務(wù)器授權(quán)端點
授權(quán)服務(wù)器跳轉(zhuǎn)用戶登錄界面，用戶登錄
用戶授權(quán)
授權(quán)服務(wù)器訪問回調(diào)地址返回token給客戶端

Check Access Token

客戶端使用token訪問資源

客戶端在請求頭中添加token，訪問資源服務(wù)器
資源服務(wù)器收到請求，先調(diào)用校驗token的方法（可以是遠(yuǎn)程調(diào)用授權(quán)服務(wù)器校驗端點，也可以直接訪問授權(quán)存儲器手動校對）
資源服務(wù)器校驗成功，返回資源

密碼模式（Resource Owner Password Credentials Grant）

密碼模式大體上也分為兩部分：

Client Side: 用戶與客戶端交互，客戶端與授權(quán)服務(wù)器交互
Check Access Token:客戶端與資源服務(wù)器之間的交互 + 資源服務(wù)器與授權(quán)服務(wù)器之間的交互

一句話概括用戶名密碼模式流程：

用戶在客戶端提交賬號密碼換token，客戶端使用token訪問資源

Client Side
用戶在客戶端提交賬號密碼換token

客戶端要求用戶登錄
用戶輸入密碼，客戶端將表單中添加客戶端的client_id + client_secret發(fā)送給授權(quán)服務(wù)器頒發(fā)token端點
授權(quán)服務(wù)器校驗用戶名、用戶密碼、client_id、client_secret，均通過返回token到客戶端
客戶端保存token

Check Access Token

客戶端使用token訪問資源