一口气说出 OAuth2.0 的四种授权方式
2020-11-24 10:12
696 查看
一、OAuth2.0 为何物
OAuth简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。
OAuth2.0是
OAuth协议的一个版本,有
2.0版本那就有
1.0版本,有意思的是
OAuth2.0却不向下兼容
OAuth1.0,相当于废弃了
1.0版本。
举个小栗子解释一下什么是 OAuth 授权?
在家肝文章饿了定了一个外卖,外卖小哥30秒火速到达了我家楼下,奈何有门禁进不来,可以输入密码进入,但出于安全的考虑我并不想告诉他密码。
此时外卖小哥看到门禁有一个高级按钮“
一键获取授权”,只要我这边同意,他会获取到一个有效期 2小时的令牌(
token)正常出入。
令牌(
token)和
密码的作用虽然相似都可以进入系统,但还有点不同。
token拥有权限范围,有时效性的,到期自动失效,而且无效修改。
二、OAuth2.0 授权方式
OAuth2.0的授权简单理解其实就是获取令牌(
token)的过程,
OAuth协议定义了四种获得令牌的授权方式(
authorization grant)如下:
- 授权码(
authorization-code
) - 隐藏式(
implicit
) - 密码式(
password
): - 客户端凭证(
client credentials
)
但值得注意的是,不管我们使用哪一种授权方式,在三方应用申请令牌之前,都必须在系统中去申请身份唯一标识:客户端 ID(
client ID)和 客户端密钥(
client secret)。这样做可以保证
token不被恶意使用。
下面我们会分析每种授权方式的原理,在进入正题前,先了解
OAuth2.0授权过程中几个重要的参数:
response_type
:code 表示要求返回授权码,token 表示直接返回令牌client_id
:客户端身份标识client_secret
:客户端密钥redirect_uri
:重定向地址scope
:表示授权的范围,read
只读权限,all
读写权限grant_type
:表示授权的方式,AUTHORIZATION_CODE
(授权码)、password
(密码)、client_credentials
(凭证式)、refresh_token
更新令牌state
:应用程序传递的一个随机数,用来防止CSRF
***。
1、授权码
OAuth2.0四种授权中授权码方式是最为复杂,但也是安全系数最高的,比较常用的一种方式。这种方式适用于兼具前后端的
Web项目,因为有些项目只有后端或只有前端,并不适用授权码模式。
下图我们以用
WX登录掘金为例,详细看一下授权码方式的整体流程。
用户选择
WX登录掘金,掘金会向
WX发起授权请求,接下来
WX询问用户是否同意授权(常见的弹窗授权)。
response_type为
code要求返回授权码,
scope参数表示本次授权范围为只读权限,
redirect_uri重定向地址。
https://wx.com/oauth/authorize? response_type=code& client_id=CLIENT_ID& redirect_uri=http://juejin.im/callback& scope=read
用户同意授权后,
WX根据
redirect_uri重定向并带上授权码。
http://juejin.im/callback?code=AUTHORIZATION_CODE
当掘金拿到授权码(code)时,带授权码和密匙等参数向
WX申请令牌。
grant_type表示本次授权为授权码方式
authorization_code,获取令牌要带上客户端密匙
client_secret,和上一步得到的授权码
code。
https://wx.com/oauth/token? client_id=CLIENT_ID& client_secret=CLIENT_SECRET& grant_type=authorization_code& code=AUTHORIZATION_CODE& redirect_uri=http://juejin.im/callback
最后
WX收到请求后向
redirect_uri地址发送
JSON数据,其中的
access_token就是令牌。
{ "access_token":"ACCESS_TOKEN", "token_type":"bearer", "expires_in":2592000, "refresh_token":"REFRESH_TOKEN", "scope":"read", ...... }
2、隐藏式
上边提到有一些
Web应用是没有后端的, 属于纯前端应用,无法用上边的授权码模式。令牌的申请与存储都需要在前端完成,跳过了授权码这一步。
前端应用直接获取
token,
response_type设置为
token,要求直接返回令牌,跳过授权码,
WX授权通过后重定向到指定
redirect_uri。
https://wx.com/oauth/authorize? response_type=token& client_id=CLIENT_ID& redirect_uri=http://juejin.im/callback& scope=read
3、密码式
密码模式比较好理解,用户在掘金直接输入自己的
WX用户名和密码,掘金拿着信息直接去
WX申请令牌,请求响应的
JSON结果中返回
token。
grant_type为
password表示密码式授权。
https://wx.com/token? grant_type=password& username=USERNAME& password=PASSWORD& client_id=CLIENT_ID
这种授权方式缺点是显而易见的,非常的危险,如果采取此方式授权,该应用一定是可以高度信任的。
4、凭证式
凭证式和密码式很相似,主要适用于那些没有前端的命令行应用,可以用最简单的方式获取令牌,在请求响应的
JSON结果中返回
token。
grant_type为
client_credentials表示凭证式授权,
client_id和
client_secret用来识别身份。
https://wx.com/token? grant_type=client_credentials& client_id=CLIENT_ID& client_secret=CLIENT_SECRET
三、令牌的使用与更新
1、令牌怎么用?
拿到令牌可以调用
WXAPI 请求数据了,那令牌该怎么用呢?
每个到达
WX的请求都必须带上
token,将
token放在
http请求头部的一个
Authorization字段里。
如果使用
postman模拟请求,要在
Authorization->
Bearer Token放入
token,注意:低版本
postman没有这个选项。
2、令牌过期怎么办?
token是有时效性的,一旦过期就需要重新获取,但是重走一遍授权流程,不仅麻烦而且用户体验也不好,那如何让更新令牌变得优雅一点呢?
一般在颁发令牌时会一次发两个令牌,一个令牌用来请求
API,另一个负责更新令牌
refresh_token。
grant_type为
refresh_token请求为更新令牌,参数
refresh_token是用于更新令牌的令牌。
https://wx.com/oauth/token? grant_type=refresh_token& client_id=CLIENT_ID& client_secret=CLIENT_SECRET& refresh_token=REFRESH_TOKEN
总结
OAuth2.0授权其实并不是很难,只不过授权流程稍显麻烦,逻辑有些绕,
OAuth2.0它是面试经常会被问到的知识点,还是应该多了解一下。下一篇实战
OAuth2.0四种授权,敬请期待,欢迎关注哦~
原创不易,燃烧秀发输出内容,如果有一丢丢收获,点个赞鼓励一下吧!
整理了几百本各类技术电子书,送给小伙伴们。关注公号回复【666】自行领取。和一些小伙伴们建了一个技术交流群,一起探讨技术、分享技术资料,旨在共同学习进步,如果感兴趣就加入我们吧!
相关文章推荐
- 一口气说出 OAuth2.0 的四种授权方式
- 什么是Oauth2.0,Oauth2.0的四种授权模式
- OAuth2.0的四种授权模式
- 一口气说出 4种 LBS “附近的人” 实现方式,面试官笑了
- 一口气说出 4种 “附近的人” 实现方式,面试官笑了
- 通过OAuth2.0方式弹出授权页面获得用户基本信息
- 一口气说出 9种 分布式ID生成方式,面试官有点懵了
- Oauth2.0授权方式
- OAuth2.0学习(1-4)授权方式1-授权码模式(authorization code)
- OAuth 2.0的四种授权方式
- 一口气说出 9种 分布式ID生成方式,面试官有点懵了
- OAuth2.0学习(1-5)授权方式2-简化模式(implicit grant type)
- OAuth2.0学习(1-9)新浪开放平台微博认证-web应用授权(授权码方式)
- OAuth2.0学习(1-6)授权方式3-密码模式(Resource Owner Password Credentials Grant)
- OAuth2授权服务器和四种授权方式
- OAuth2.0学习(1-7)授权方式4-客户端模式(Client Credentials Grant)
- Oauth2.0(四):Implicit 授权方式
- OAuth2.0授权方式
- Oauth2.0(五):Authorization Code 授权方式
- OAuth2.0学习(1-8) 授权方式五之Access_Token令牌过期更新