概念解释

OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。

OAuth 主要解决的就是多个应用需要创建多个账号太过繁琐以及密码登录本身存在的安全问题。

注册一个通讯账号,其他的应用获取其授权即可,而不用再去创建多个账号(虽然三方应用程序内部还是去创建了账号,但对于用户来说是透明的,没有创建账号步骤的)。

因为不需要创建多个账号,也就意味着不会因为某个三方应用账号被破解,导致其他应用账号也被破解的情况(一般人会设置相同的账号密码方便记忆)。

当然极端情况就是主账号被破解(QQ、微信、微博被盗),其他三方应用自动可以授权登录。

OAuth 2.0 运行流程图

OAuth 2.0 运行流程图
OAuth 2.0 运行流程图

步骤解析:

(A)用户打开客户端以后,客户端要求用户给予授权。

(B)用户同意给予客户端授权。

(C)客户端使用上一步获得的授权,向认证服务器申请令牌。

(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。

(E)客户端使用令牌,向资源服务器申请获取资源。

(F)资源服务器确认令牌无误,同意向客户端开放资源。

这只是基础模型,用客户端作为交互的主体,由客户端去请求授权,获取令牌,及最后的获取资源。普通的 app 和一些重 C 端的应用可能是这样的,但我接触过的微信公众号(H5 应用),小程序不一样,他们更多流程是由后台服务器去完成的。

客户端获取授权的四种方式

这里涉及到客户端获取授权的四种方式:

  • 授权码模式(authorization code)
  • 简化模式(implicit)
  • 密码模式(resource owner password credentials)
  • 客户端模式(client credentials)

授权码模式(authorization code)是功能最完整、流程最严密的授权模式。它的特点就是通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。

微信公众号和小程序用的就是授权码模式,用户同意获取临时凭证 code,服务端用 code 再去跟微信服务器交换授权令牌 access_token(这里指网页授权 access_token)。

它的步骤如下(流程图就不搬运了,流程图跟文字说明相比,理解起来反倒很费劲):

(A)用户访问客户端,后者将前者导向认证服务器。

(B)用户选择是否给予客户端授权。

(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。

(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。

(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

微信公众号在获取授权的时候确实有页面重定向的步骤,比如有些公众号网页在浏览器中打开会提示在微信中打开,显示的地址也是微信服务器的地址。

简化模式(implicit grant type)不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了"授权码"这个步骤,因此得名。所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。

它的步骤如下(流程图就不搬运了,理由同上):

(A)客户端将用户导向认证服务器。

(B)用户决定是否给于客户端授权。

(C)假设用户给予授权,认证服务器将用户导向客户端指定的"重定向URI",并在URI的Hash部分包含了访问令牌。

(D)浏览器向资源服务器发出请求,其中不包括上一步收到的Hash值。

(E)资源服务器返回一个网页,其中包含的代码可以获取Hash值中的令牌。

(F)浏览器执行上一步获得的脚本,提取出令牌。

(G)浏览器将令牌发给客户端。

密码模式(Resource Owner Password Credentials Grant)中,用户向客户端提供自己的用户名和密码。客户端使用这些信息,向"服务商提供商"索要授权。

在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,比如客户端是操作系统的一部分,或者由一个著名公司出品。而认证服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式。

它的步骤如下:

(A)用户向客户端提供用户名和密码。

(B)客户端将用户名和密码发给认证服务器,向后者请求令牌。

(C)认证服务器确认无误后,向客户端提供访问令牌。

客户端模式(Client Credentials Grant)指客户端以自己的名义,而不是以用户的名义,向"服务提供商"进行认证。严格地说,客户端模式并不属于 OAuth 框架所要解决的问题。在这种模式中,用户直接向客户端注册,客户端以自己的名义要求"服务提供商"提供服务,其实不存在授权问题。

它的步骤如下:

(A)客户端向认证服务器进行身份认证,并要求一个访问令牌。

(B)认证服务器确认无误后,向客户端提供访问令牌。

更新令牌

如果用户访问的时候,客户端的"访问令牌"已经过期,则需要使用"更新令牌"申请一个新的访问令牌。

如果没有更新令牌流程,整个 OAuth 2.0 授权就不完整,如果令牌不设置过期,那么令牌对安全的意义也就不大了。

更新令牌接口也是由授权服务器提供。

参考文章:

OAuth 2.0 的一个简单解释 - 阮一峰
理解 OAuth 2.0 - 阮一峰