理解OAuth 2.0授权

一、什么是OAuth

二、什么场景下会用到OAuth授权

三、OAuth 2.0中的4个成员

四、OAuth 2.0授权流程

五、OAuth 2.0授权模式

1、    authorization code（授权码模式）

2、    implicit（简化模式）

3、    resource owner password credentials（密码模式）

4、    client credentials（客户端模式）

六、小结

一、什么是OAuth

　　所谓的OAuth(Open Authorization)本质上就是一张开放的协议，OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准。 与以往的授权方式不同该授权不会使第三方触及到用户的账户信息，即第三方无需使用用户名密码就可以申请该用户资源的授权，因此OAuth是安全的。这是来自百度百科对OAuth的解释。

　　而OAuth2.0呢，故名思义就是OAuth的下一个版本，同时它也是授权领域的行业标准协议，OAuth2.0不支持向后兼容，即不支持OAuth1.0，彻底废止了OAuth1.0协议，OAuth2.0致力于使客户端开发者通过更简单的流程为Web应用、桌面应用以及手机客户端等设备进行授权。2012年10月，OAuth2.0协议正式发布为RFC6749。目前各大开放平台，如腾讯、新浪、百度等等也都是以OAuth2.0协议作为支撑。

二、什么场景下会用到OAuth授权

　目前我们大多数的应用场景，也是我们最熟悉的使用环境就是使用第三方登录，如：微博，QQ，微信，豆瓣等社交平台登录，互联网发展到今天，我们也都习惯了这种登录方式，最大的好处就是便捷，简化了我们一系列的注册流程，还有一大堆帐号密码记不住的困扰，当你碰到一个不支持第三方登录的网站或者应用的时候，第一感觉就是厌恶，一顿喷。人永远离不开社交，所以通过社交平台去登录其他的平台，无疑是最受大家欢迎的方式了。　　

　　就拿CSDN为例，CSDN是支持第三方平台登录的，截图如下：

若用户想使用QQ登录，那么在传统的认证模式中，客户端（CSDN）请求访问服务器上受限的资源（QQ），需要通过资源所有者（用户的QQ账户）的凭证在服务器上进行认证。为了支持第三方应用程序（对于QQ来说，CSDN是第三方应用程序，是CSDN去请求访问QQ的资源）访问受限资源，资源所有者需要向第三方应用共享其凭证（如用户QQ的帐号和密码）。那这样就会造成以下几个问题：

• 第三方应用（CSDN）为了以后继续使用，那么会存储资源所有者的凭证，如密码；
• 服务端需要支持密码认证，尽管密码认证不安全；
• 第三方应用若想访问资源所有者的其他资源，资源所有者无法对其进行限制；
• 资源所有者无法收回第三方的访问权限，除非用户主动修改密码；
• 如果此时第三方的数据泄漏，那也会导致资源所有者其他数据的泄漏，造成重大损失。

  若此时，CSDN知道了用户的QQ密码，那CSDN可以任意去访问该用户的所有信息，而QQ无法去限制它的访问，这不管是对QQ还是用户本身都会是一件可怕的事，作为使用者，你永远都无法知道应用都干了些什么。由此OAuth2.0的出现，就是为了解决这样的问题。

三、OAuth 2.0中的4个成员

在OAuth2.0中有4个成员，Resource Owner、Resource Server、Client、Authorization Server，如图所示：

在上面4个成员中，授权服务器可能与资源服务器在同一台服务器。

四、OAuth 2.0授权流程

流程如下，图片来自RFC6749：

流程解析：

1. 用户打开客户端，客户端要求向资源所有者（即用户）给予授权；
2. 用户同意授权；
3. 客户端得知用户同意授权后，向授权服务器获取授权；
4. 授权服务器给予客户端授权，并将授权码（Access Token）；
5. 客户端携带授权码去请求资源服务器；
6. 资源服务器将受限的资源开放给客户端。

五、OAuth 2.0授权模式

授权许可是表示客户用来获取访问令牌的资源所有者授权的凭证。此规范协议规定了4种授权类型：

• authorization code（授权码模式）
• implicit（简化模式）
• resource owner password credentials（密码模式）
• client credentials（客户端模式）

下面详细说明各种授权模式的具体流程：

　　1、authorization code（授权码模式）

授权代码授权类型用于获取访问令牌和刷新令牌，并针对机密客户端进行优化。它是一个基于重定向的流程，因此客户端必须能够与资源所有者的用户代理（通常是Web浏览器）并且能够从授权服务器接收传入请求（通过重定向）。授权码模式是功能最完整、流程最严密的授权模式，它的特点就是通过客户端的后台服务器，与"服务提供商"的授权服务器进行互动。授权流程如下：

流程解析：

1. 客户端通过用户代理，重定向请求授权服务器，所需参数：客户端标识及重定向URL；
2. 用户选择是否给予客户端授权；
3. 授权服务器给予客户端一个认证授权码，并跳转到指定的URI；
4. 客户端使用该授权码，重定向到授权服务器，获取令牌；
5. 授权服务器校验该授权码以及重定向的URI后，向客户端发送令牌或者更新令牌。

以上均个人解释，简化了RFC6749官方文档说明，大致意思是一样的。注意的一点是，在用户同意授权后，授权服务器并未直接将令牌发送给客户端，而是先向客户端发送了一个授权码，authorization code，然后再携带该授权码，再一次请求授权服务器，校验无误后，再发送令牌（access token），这一步是在后台自动完成的，这样也使OAuth授权更加安全。

在该授权流程中，我们所需的几个参数，官方文档中要求指定的参数如下：

• response_type 必选项 表示的是要求指定的授权类型，此处必须设置为：code
• client_id 必选项 客户端的唯一标识
• redirect_uri 可选项 重定向的URI
• scope 可选项 授权的管道
• state 建议项 表示客户端状态，授权服务器会将该状态原值返回

看完该流程以及所需的参数后，我们结合实际情况，还是上面提到的例子，以CSDN使用QQ登录为例，看一下该过程：

（A步骤)点击QQ登录，跳转到QQ帐号安全登录界面，即腾讯的互联平台，我们可以直接拿到此时CSDN要请求的地址：

https://graph.qq.com/oauth2.0/show?which=Login&display=pc&

response_type=code&

client_id=100270989&

redirect_uri=https://passport.csdn.net/account/login?oauth_provider=QQProvider&

state=test

这样我们可以很清楚的看到在上面的URL中，发起了一个get请求，他的授权类型为code 授权码模式，以及client_id,redirect_uri,state等信息，而此时页面也跳转到了用户代理的页面，让用户去决定是否要同意授权 ：

（C步骤）当用户输入用户名密码后点击授权并登录，服务器会先验证你输入的是否正确，如果正确，页面就会跳转到redirect_uri的地址中，而在这个过程中发生的变化是这样的,我们继续查看这时的URL地址：

https://passport.csdn.net/account/login?oauth_provider=QQProvider&

code=D185F3ED93E4F1B3C5F557E6112C7A9B&

state=test

（D步骤）我们可以看到授权并登录后它重定向到了我们指定的地址，而且还给予了一个code授权码，另外state状态还是在请求登录时的状态，在下一个步骤中，是客户端向授权服务器申请令牌，包含以下参数：

• grant_type 表示授权模式，此处固定为authorization_code，必选
• code 表示上一步获取到的授权码，必选
• redirect_uri 表示重定向URI，必选
• client_id 表示客户端ID，必选

在使用腾讯开放平台时，它会要求有一个client_secrect，是对应你客户端ID的一个私钥，它也是在客户端注册时产生的，所以在使用QQ登录获取令牌时，也必须指定该选项：client_secret,具体的可以看腾讯的开发文档。那么实际上申请令牌的这个过程我们是看不到的，返回authorization code 后，我们会看到我们的客户端此时已经登录成功了。例如：

POST /token HTTP/1.1

Host: graph.qq.com/oauth2.0/token

Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW

Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA

&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb&client_secret=fdhsjfdsj32jjfhjdk

（E步骤）若以上返回成功，那么在E步骤中会返回如下信息：

HTTP/1.1 200 OK

Content-Type: application/json;charset=UTF-8

Cache-Control: no-store

Pragma: no-cache

{

"access_token":"2YotnFZFEjr1zCsicMWpAA",

"token_type":"example",

"expires_in":3600,

"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",

"example_parameter":"example_value"

}

里面包含了我们所需要的令牌access token以及有效期等信息。实际上在我们实际应用过程中，我们不止是到这里就结束了，我们会使用access token令牌再去请求资源服务器，获取可以被调用的资源，以及一些其他的操作。

　　2、implicit（简化模式）

简化模式用于获取访问令牌（但它不支持令牌的刷新），并对运行特定重定向URI的公共客户端进行优化，而这一些列操作通常会使用脚本语言在浏览器中完成，令牌对访问者是可见的，且客户端也不需要验证。具体流程如下：

步骤解析：

1. 客户端携带客户端标识以及重定向URI到授权服务器；
2. 用户确认是否要授权给客户端；
3. 授权服务器得到许可后，跳转到指定的重定向地址，并将令牌也包含在了里面；
4. 客户端不携带上次获取到的包含令牌的片段，去请求资源服务器；
5. 资源服务器会向浏览器返回一个脚本；
6. 浏览器会根据上一步返回的脚本，去提取在C步骤中获取到的令牌；
7. 浏览器将令牌推送给客户端。

（A步骤）中需要用到的参数，注意在这里要使用"application/x-www-form-urlencoded"格式：

• response_type 必选项，此值必须为"token"
• client_id 必选项
• redirect_uri 可选项
• scope 可选项
• state 建议选项

  例如：

GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz

        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1

    Host: server.example.com
					

（C步骤）中返回的参数包含：

• access_token 必选项
• token_type 必选项
• expires_in 建议选项
• scope 可选项
• state 必选项

  例如：

HTTP/1.1 302 Found

     Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA

               &state=xyz&token_type=example&expires_in=3600

　　3、resource owner password credentials（密码模式）

密码模式适合建立在客户端与资源所有者具有信任关系的情况下，例如它是一个设备的操作系统或者具有很高权限的应用。这种模式用户要向客户端提供自己的用户名密码，从而达到向服务提供商索取授权。授权服务器在启动此类型时，要特别小心，只有在其他的授权方式不被允许的情况下才可以使用这种授权模式。流程如下：

1. 客户端要求使用资源所有者的密码；
2. 资源所有者给予用户名密码后，客户端向授权服务器发起申请令牌的请求；
3. 授权服务器将令牌发放给客户端。

步骤解析：

（B步骤）所需参数：

• grant_type 必选项 此值必须为"password"
• username 必选项 用户名
• password 必选项 密码
• scope 可选项

例如：

POST /token HTTP/1.1

Host: server.example.com

Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW

Content-Type: application/x-www-form-urlencoded

grant_type=password&username=johndoe&password=A3ddj3w

（C步骤）发放令牌：

HTTP/1.1 200 OK

     Content-Type: application/json;charset=UTF-8

     Cache-Control: no-store

     Pragma: no-cache

     {

       "access_token":"2YotnFZFEjr1zCsicMWpAA",

       "token_type":"example",

       "expires_in":3600,

       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",

       "example_parameter":"example_value"

     }

　　4、client credentials（客户端模式）

客户端模式是4种模式中最简单的一种模式。客户端可以使用客户端凭据请求访问令牌（或者其他支持的认证方式），在这种模式中，客户端占据主导地位，它不需要用户的同意，可以直接向授权服务器索取令牌，严格来说，该模式并不存在授权的问题，流程如下：

1. 客户端向授权服务器发起请求索要令牌；
2. 授权服务器将令牌发放给客户端。

步骤解析：

（A步骤）中所需的参数：：

• grant_type 必选项 此值必须为client_crendentials
• scope 可选项

例如：

POST /token HTTP/1.1

Host: server.example.com

Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW

Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials

（B步骤）授权服务器返回结果：

HTTP/1.1 200 OK

Content-Type: application/json;charset=UTF-8

Cache-Control: no-store

Pragma: no-cache

{

"access_token":"2YotnFZFEjr1zCsicMWpAA",

"token_type":"example",

"expires_in":3600,

"example_parameter":"example_value"

}

六、小结

    以以上内容简要介绍了关于OAuth授权的一些基础知识以及各种授权模式的具体流程。在后面的文章中，会结合本篇内容，陆续讲解如何在.net core中借助IdentityServer4 使用 OAuth 2.0授权。

扫描二维码关注我的公众号，共同学习，共同进步！