OAuth從1.0到2.1的發(fā)展之路

更新時間：2021年11月23日 16:23:35 作者：SpringLeee

OAUTH協(xié)議為用戶資源的授權提供了一個安全的、開放而又簡易的標準。簡單來說就是提供除了"賬戶密碼"驗證方式以外的驗證授權方式。這篇文章介紹了OAuth從1.0到2.1的發(fā)展之路，感興趣的同學可以收藏一下

背景

2010年, OAuth 授權規(guī)范 1.0 (rfc 5849) 版本發(fā)布, 2年后, 更簡單易用的 OAuth 2.0 規(guī)范發(fā)布（rfc 6749）, 這也是大家最熟悉并且在互聯(lián)網(wǎng)上使用最廣泛的版本, 在2012年的時候, iPhone 5 是全新的, 微軟最新的瀏覽器還是 IE9, 單頁面應用在當時還被稱作 "Ajax 應用", CORS（跨域資源共享）還不是一個W3C標準。

到現(xiàn)在, 網(wǎng)絡和移動領域發(fā)生了巨大的變化, 當時發(fā)布的授權協(xié)議標準已經(jīng)遠遠不能滿足現(xiàn)在的場景和需求, 為了應對這種不斷變化的局面, OAuth 社區(qū)多年來一直在修補和擴展 OAuth 規(guī)范, OAuth 的格局也不斷擴大, 越來越多的圍繞 OAuth 2.0 core 的擴展授權規(guī)范出現(xiàn), 也讓 OAuth 2.0 整體看起來就像一個迷宮一樣。

不斷進化的 OAuth 2.0

在 OAuth 2.0 核心規(guī)范 (RFC 6749)中, 定義了四種授權類型：授權碼、隱式、密碼和客戶端憑據(jù), 如下:

相信大家都很熟悉, 在 OAuth 2.0 中,最安全也是使用最普遍的就是授權碼模式, 而對于本地應用，移動應用來說, 通常會使用隱式和密碼授權, 這兩種本身就是不安全的, 因為這些屬于公開的客戶端, 本身沒有能力保護客戶端機密, 但是當時并沒有其它好的方案。

為了解決 OAuth 2.0 對公開客戶端的授權安全問題, PKCE （RFC 6379）協(xié)議應運而生, 全稱是 Proof Key for Code Exchange，PKCE 的原理是, 對于公共的客戶端, 如果不能使用客戶端秘鑰（client_secret）, 那客戶端就提供一個自創(chuàng)建的證明 (code_verifier) 給授權服務器，其中使用了加密算法, 授權服務器通過它來驗證客戶端。

后來，"OAuth 2.0 for Native Apps"（RFC 8252）規(guī)范發(fā)布，推薦原生應用也使用授權碼 + PKCE。

隨著技術不斷地發(fā)展, 出現(xiàn)了設備授權的場景, 這里設備指智能電視，打印機等, 和傳統(tǒng)的PC或者手機不同, 這種設備是缺少瀏覽器或者鍵盤的,那 OAuth 2.0 常規(guī)的授權模式肯定是不能滿足的, 于是就出現(xiàn)了設備授權(Device Grant) 。