OAuth是一個關於授權(authorization)的開放網路標準,在全世界得到廣泛應用,目前的版本是2.0版。
本文對OAuth 2.0的設計思路和運行流程,做一個簡明通俗的解釋,主要參考材料為RFC 6749。
為了理解OAuth的適用場合,讓我舉一個假設的例子。
有一個"雲沖印"的網站,可以將使用者儲存在Google的照片,沖印出來。使用者為了使用該服務,必須讓"雲沖印"讀取自己儲存在Google上的照片。
問題是只有得到使用者的授權,Google才會同意"雲沖印"讀取這些照片。那麼,"雲沖印"怎樣獲得使用者的授權呢?
傳統方法是,使用者將自己的Google使用者名稱和密碼,告訴"雲沖印",後者就可以讀取使用者的照片了。這樣的做法有以下幾個嚴重的缺點。
(1)"雲沖印"為了後續的服務,會儲存使用者的密碼,這樣很不安全。
(2)Google不得不部署密碼登入,而我們知道,單純的密碼登入並不安全。
(3)"雲沖印"擁有了擷取使用者儲存在Google所有資料的權力,使用者沒法限制"雲沖印"獲得授權的範圍和有效期間。
(4)使用者只有修改密碼,才能收回賦予"雲沖印"的權力。但是這樣做,會使得其他所有獲得使用者授權的第三方應用程式全部失效。
(5)只要有一個第三方應用程式被破解,就會導致使用者密碼泄漏,以及所有被密碼保護的資料泄漏。
OAuth就是為瞭解決上面這些問題而誕生的。
在詳細講解OAuth 2.0之前,需要瞭解幾個專用名詞。它們對讀懂後面的講解,尤其是幾張圖,至關重要。
(1) Third-party application:第三方應用程式,本文中又稱"用戶端"(client),即上一節例子中的"雲沖印"。
(2)HTTP service:HTTP服務提供者,本文中簡稱"服務提供者",即上一節例子中的Google。
(3)Resource Owner:資源所有者,本文中又稱"使用者"(user)。
(4)User Agent:使用者代理程式,本文中就是指瀏覽器。
(5)Authorization server:證明伺服器,即服務提供者專門用來處理認證的伺服器。
(6)Resource server:資原始伺服器,即服務提供者存放使用者產生的資源的伺服器。它與證明伺服器,可以是同一台伺服器,也可以是不同的伺服器。
知道了上面這些名詞,就不難理解,OAuth的作用就是讓"用戶端"安全可控地擷取"使用者"的授權,與"服務商供應商"進行互動。
OAuth在"用戶端"與"服務提供者"之間,設定了一個授權層(authorization layer)。"用戶端"不能直接登入"服務提供者",只能登入授權層,以此將使用者與用戶端區分開來。"用戶端"登入授權層所用的令牌(token),與 使用者的密碼不同。使用者可以在登入的時候,指定授權層令牌的許可權範圍和有效期間。
"用戶端"登入授權層以後,"服務提供者"根據令牌的許可權範圍和有效期間,向"用戶端"開放使用者儲存的資料。
OAuth 2.0的運行流程如,摘自RFC 6749。
(A)使用者開啟用戶端以後,用戶端要求使用者給予授權。
(B)使用者同意給予用戶端授權。
(C)用戶端使用上一步獲得的授權,向證明伺服器申請令牌。
(D)證明伺服器對用戶端進行認證以後,確認無誤,同意發放令牌。
(E)用戶端使用令牌,向資原始伺服器申請擷取資源。
(F)資原始伺服器確認令牌無誤,同意向用戶端開放資源。
不難看出來,上面六個步驟之中,B是關鍵,即使用者怎樣才能給於用戶端授權。有了這個授權以後,用戶端就可以擷取令牌,進而憑令牌擷取資源。
下面一一講解用戶端擷取授權的四種模式。
用戶端必須得到使用者的授權(authorization grant),才能獲得令牌(access token)。OAuth 2.0定義了四種授權方式。
授權碼模式(authorization code)是功能最完整、流程最嚴密的授權模式。它的特點就是通過用戶端的後台伺服器,與"服務提供者"的證明伺服器進行互動。
它的步驟如下:
(A)使用者訪問用戶端,後者將前者導向證明伺服器。
(B)使用者選擇是否給予用戶端授權。
(C)假設使用者給予授權,證明伺服器將使用者導向用戶端事先指定的"重新導向URI"(redirection URI),同時附上一個授權碼。
(D)用戶端收到授權碼,附上早先的"重新導向URI",向證明伺服器申請令牌。這一步是在用戶端的背景伺服器上完成的,對使用者不可見。
(E)證明伺服器核對了授權碼和重新導向URI,確認無誤後,向用戶端發送存取權杖(access token)和更新令牌(refresh token)。
下面是上面這些步驟所需要的參數。
A步驟中,用戶端申請認證的URI,包含以下參數:
下面是一個例子。
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1Host: server.example.com
C步驟中,伺服器回應用戶端的URI,包含以下參數:
下面是一個例子。
HTTP/1.1 302 FoundLocation: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA &state=xyz
D步驟中,用戶端向證明伺服器申請令牌的HTTP請求,包含以下參數:
下面是一個例子。
POST /token HTTP/1.1Host: server.example.comAuthorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JWContent-Type: application/x-www-form-urlencodedgrant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
E步驟中,證明伺服器發送的HTTP回複,包含以下參數:
下面是一個例子。
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" }
從上面代碼可以看到,相關參數使用JSON格式發送(Content-Type: application/json)。此外,HTTP頭資訊中明確指定不得緩衝。
簡化模式(implicit grant type)不通過第三方應用程式的伺服器,直接在瀏覽器中向證明伺服器申請令牌,跳過了"授權碼"這個步驟,因此得名。所有步驟在瀏覽器中完成,令牌對訪問者是可見的,且用戶端不需要認證。
它的步驟如下:
(A)用戶端將使用者導向證明伺服器。
(B)使用者決定是否給於用戶端授權。
(C)假設使用者給予授權,證明伺服器將使用者導向用戶端指定的"重新導向URI",並在URI的Hash部分包含了存取權杖。
(D)瀏覽器向資原始伺服器發出請求,其中不包括上一步收到的Hash值。
(E)資原始伺服器返回一個網頁,其中包含的代碼可以擷取Hash值中的令牌。
(F)瀏覽器執行上一步獲得的指令碼,提取出令牌。
(G)瀏覽器將令牌發給用戶端。
下面是上面這些步驟所需要的參數。
A步驟中,用戶端發出的HTTP請求,包含以下參數:
下面是一個例子。
GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1 Host: server.example.com
C步驟中,證明伺服器回應用戶端的URI,包含以下參數:
下面是一個例子。
HTTP/1.1 302 Found Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA &state=xyz&token_type=example&expires_in=3600
在上面的例子中,證明伺服器用HTTP頭資訊的Location欄,指定瀏覽器重新導向的網址。注意,在這個網址的Hash部分包含了令牌。
根據上面的D步驟,下一步瀏覽器會訪問Location指定的網址,但是Hash部分不會發送。接下來的E步驟,服務提供者的資原始伺服器發送過來的代碼,會提取出Hash中的令牌。
Cipher 模式(Resource Owner Password Credentials Grant)中,使用者向用戶端提供自己的使用者名稱和密碼。用戶端使用這些資訊,向"服務商供應商"索要授權。
在這種模式中,使用者必須把自己的密碼給用戶端,但是用戶端不得儲存密碼。這通常用在使用者對用戶端高度信任的情況下,比如用戶端是作業系統的一部分,或者由一個著名公司出品。而證明伺服器只有在其他授權模式無法執行的情況下,才能考慮使用這種模式。
它的步驟如下:
(A)使用者向用戶端提供使用者名稱和密碼。
(B)用戶端將使用者名稱和密碼發給證明伺服器,向後者請求令牌。
(C)證明伺服器確認無誤後,向用戶端提供存取權杖。
B步驟中,用戶端發出的HTTP請求,包含以下參數:
下面是一個例子。
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=password&username=johndoe&password=A3ddj3w
C步驟中,證明伺服器向用戶端發送存取權杖,下面是一個例子。
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" }
上面代碼中,各個參數的含義參見《授權碼模式》一節。
整個過程中,用戶端不得儲存使用者的密碼。
用戶端模式(Client Credentials Grant)指用戶端以自己的名義,而不是以使用者的名義,向"服務提供者"進行認證。嚴格地說,用戶端模式並不屬於OAuth架構所要解決的問題。在這種 模式中,使用者直接向用戶端註冊,用戶端以自己的名義要求"服務提供者"提供服務,其實不存在授權問題。
它的步驟如下:
(A)用戶端向證明伺服器進行身份認證,並要求一個存取權杖。
(B)證明伺服器確認無誤後,向用戶端提供存取權杖。
A步驟中,用戶端發出的HTTP請求,包含以下參數:
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=client_credentials
證明伺服器必須以某種方式,驗證用戶端身份。
B步驟中,證明伺服器向用戶端發送存取權杖,下面是一個例子。
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "example_parameter":"example_value" }
上面代碼中,各個參數的含義參見《授權碼模式》一節。
如果使用者訪問的時候,用戶端的"存取權杖"已經到期,則需要使用"更新令牌"申請一個新的存取權杖。
用戶端發出更新令牌的HTTP請求,包含以下參數:
下面是一個例子。
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
