OAuth2.0

历史由来

• 有一个第三方网站，可以将用户储存在Google的照片，冲印出来。用户为了使用该服务，必须让第三方网站读取自己储存在Google上的照片
• 传统方法是，用户将自己的Google用户名和密码，告诉第三方网站，后者就可以读取用户的照片了。这样的做法有以下几个严重的缺点
  • 第三方网站为了后续的服务，会保存用户的密码，这样很不安全，第三方应用程序被破解，就会导致用户密码泄漏，以及所有被密码保护的数据泄漏
  • 第三方网站拥有了用户储存在Google所有资料的权力，用户没法限制第三方网站获得授权的范围和有效期
  • 用户只有修改密码，才能收回第三方网站赋予的权力
• OAuth在"客户端"与"服务提供商"之间，设置了一个授权层。“客户端"不能直接登录"服务提供商”，只能登录授权层，获取所用的令牌（token），"服务提供商"根据令牌的权限范围和有效期，向"客户端"开放用户储存的资料。

名词解释

（1）Third-party application：第三方应用程序，本文中又称"客户端"（client）。

（2）HTTP service：HTTP服务提供商，本文中简称"服务提供商"，即Google。

（3）Resource Owner：资源所有者，本文中又称"用户"（user）。

（4）Authorization server：认证服务器，即服务提供商专门用来处理认证的服务器。

（5）Resource server：资源服务器，即服务提供商存放用户生成的资源的服务器。它与认证服务器，可以是同一台服务器，也可以是不同的服务器。

授权码模式（authorization code 最常用）

• 创建应用：A网站开发者首先去诸如淘宝开放平台创建应用，开放平台会生成一个client_id作为A网站唯一标识
• 跳转授权页：用户在A网站点击使用淘宝账号登陆时，实际上跳转至淘宝提供的授权页，会带上 client_id 和 redirect_uri 等参数
• 重定向：用户在授权页面输入淘宝用户名和密码，校验成功后跳转至A网站 redirect_uri 回调地址，地址上会拼接授权码 code
• A网拿到授权码 code 后访问授权服务器，用授权码 code 去换访问口令 access_token 和 过期更新口令 refresh_token
  • refresh_token的时效性比access_token长，当access_token过期时，可以使用refresh_token换取新的access_token

 // access_token 示例
 {
   "access_token":"2YotnFZFEjr1zCsicMWpAA",
   "token_type":"example",
   "expires_in":3600,
   "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
   "example_parameter":"example_value"
 }

• 完成授权：后续后端请求用户的信息通过 access_token 来获取
  

先换取code，再根据 code 换取 access_token原因

简化模式（implicit）

密码模式（resource owner password credentials）

客户端模式（client credentials）

OpenID Connect

案例

OAuth2第三方登录实践