OAuth2.0认证与客户端授权码模式(authorization code)

本篇笔记记录了OAuth协议的基本概念,OAuth2.0协议解决的问题以及基本流程,授权码模式(authorization code)的认证步骤和涉及到的参数及示例

OAuth协议基本概念

OAuth 是 Open Authorization 的简写,OAuth协议是第三方平台在不触及用户敏感信息(如:密码)的情况下,经用户授权,获得用户资源的协议

OAuth2.0协议解决的问题

任何身份认证,本质上都是基于对请求方的不信任所产生的,OAuth2.0正是为了解决用户(这里是指属于服务方的用户)、服务方(如微信、微博等)、第三方应用之间的信任问题

OAuth2协议的基本流程

1.用户访问第三方应用。
2.第三方应用请求用户授权
3.用户同意授权,返回一个一次性授权凭据(code)
4.第三方应用通过第3步的授权凭据(code)和服务方分配给它的的身份凭据(如AppId)向授权服务器申请访问令牌(Access Token)
5.授权服务器验证凭证(code)通过后,同意授权,并返回一个资源访问令牌(Access Token)
6.第三方应用通过第5步的凭证(Access Token)向资源服务器请求相关资源
7.资源服务器验证访问令牌(Access Token)通过后,将第三方应用请求的资源返回

授权模式

第三方应用必须得到用户的授权,才能获得访问令牌(Access Token),OAuth 2.0定义了四种授权方式。
授权码模式(authorization code)
简化模式(implicit)
密码模式(resource owner password credentials)
客户端模式(client credentials)

授权码模式

授权码模式(authorization code)是功能最完整、流程最严密的授权模式
授权步骤:
1.用户访问第三方应用,第三方应用将用户导向认证服务器
参数:

名称 含义
response_type 表示授权类型,必选项,此处的值固定为”code”
client_id 表示客户端的ID,必选项。(如微信授权登录,此ID是APPID)
redirect_uri 表示重定向URI,可选项
scope 表示申请的权限范围,可选项
state 表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值

示例:

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
HTTP/1.1 Host: server.example.com

2.用户选择是否给予第三方应用授权
3.假设用户给予授权,认证服务器将用户导向第三方应用事先指定的重定向URI,同时带上一个授权码
参数:

名称 含义
code 表示授权码,必选项。该码的有效期应该很短,通常设为10分钟,客户端只能使用该码一次,否则会被授权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。
state 如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。

示例:

HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

4.第三方应用收到授权码,带上上一步时的重定向URI,向认证服务器申请访问令牌。这一步是在第三方应用的后台的服务器上完成的,对用户不可见
参数:

名称 含义
grant_type 表示使用的授权模式,必选项,此处的值固定为”authorization_code”。
code 表示上一步获得的授权码,必选项。
redirect_uri 表示重定向URI,必选项,且必须与步骤1中的该参数值保持一致。
client_id 表示客户端ID,必选项。

示例:

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

5.认证服务器核对了授权码和重定向URI,确认无误后,向第三方应用发送访问令牌(Access Token)和更新令牌(Refresh token)
参数:

名称 含义
access_token 表示访问令牌,必选项。
token_type 表示令牌类型,该值大小写不敏感,必选项,可以是bearer类型或mac类型。
expires_in 表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
refresh_token 表示更新令牌,用来获取下一次的访问令牌,可选项。
scope 表示权限范围,如果与客户端申请的范围一致,此项可省略。

示例:

HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

6.访问令牌过期后,刷新访问令牌
参数:

名称 含义
granttype 表示使用的授权模式,此处的值固定为”refreshtoken”,必选项。
refresh_token 表示早前收到的更新令牌,必选项。
scope 表示申请的授权范围,不可以超出上一次申请的范围,如果省略该参数,则表示与上一次一致。

示例:

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA