|
OAuth 2.0是用于授权的行业标准协议。
1 相关名词
- Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码;
- Resource server(资源服务器):受保护资源所在的服务器,如果请求包含正确的访问令牌,就可以访问受保护的资源;
- Client(客户端):请求访问资源的客户端,可以是浏览器、移动设备或者服务器,客户端会携带访问令牌访问资源服务器上的资源;
- Authorization server(认证服务器):负责认证客户端身份的服务器,如果客户端认证通过,会给客户端发放访问资源服务器的令牌。
2 四种授权模式
- Authorization Code(授权码模式):正宗的
OAuth2的授权模式,客户端先将用户导向认证服务器,认证用户成功后获取授权码,然后进行授权,最后根据授权码获取访问令牌; - Implicit(隐藏式):和授权码模式相比,取消了获取授权码的过程,直接获取访问令牌;
- Password(密码模式):客户端直接向用户获取用户名和密码,之后向认证服务器获取访问令牌;
- Client Credentials(客户端凭证模式):客户端直接通过客户端认证(比如client_id和client_secret)从认证服务器获取访问令牌。
注意:不管哪一种授权方式,第三方应用申请令牌之前,都必须先到系统备案,说明自己的身份,然后会拿到两个身份识别码:客户端 ID(client ID)和客户端密钥(client secret)。这是为了防止令牌被滥用,没有备案过的第三方应用,是不会拿到令牌的。
3 两种常用的授权模式
授权码模式和密码模式是两种常用的授权模式。
3.1 授权码模式
是指应用先申请一个授权码,然后再用这个授权码获取令牌。
流程:
- 客户端将用户导向认证服务器的授权页面;
- 用户在认证服务器页面登录并授权;
- 认证服务器返回授权码给客户端;
- 客户端将授权码传递给客户端所在的后端服务(也可以是自己的认证服务器),由后端服务在后端请求认证服务器获取令牌,并返回给客户端。
3.2 密码模式
如果用户信任应用,应用可以直接携带用户的用户名和密码,直接申请令牌。
流程:
- 客户端要求用户提供用户名和密码;
- 客户端携带用户名和密码,访问授权服务器;
- 授权服务器验证用户身份之后,直接返回令牌。
|