OAuth 2.0

OAuth是一個關于授權（authorization）的開放網絡标準，在全世界得到廣泛應用，目前的版本是2.0版。

應用場景舉例：

先看一張圖：

程式員最常用的網站之一就是代碼托管平台，gitee是國内通路速度最快的，代碼最全的代碼托管平台之一。

除了使用注冊的gitee的賬号密碼之外，也提供了其他的第三方的登入方式，如微信、QQ、github等。這些使用第三方的登入方式使用的背後協定就是OAuth。那麼他們的工作方式是什麼樣的呢？

先貼一張圖（圖檔摘自RFC 6749）：

 接下介紹一下圖中的名詞和内容：

為友善了解，假設小明利用github賬戶登入gitee；

四種角色：

Client：用戶端，例如上面例子中的gitee網站；

Resource Owner：資源所有者，又稱“使用者”，上面例子中的小明；

Authorization server：認證伺服器，即服務提供商專門用來處理認證的伺服器。即github提供的專門用來處理想gitee這樣網站請求的伺服器；

Resource server：資源伺服器，即服務提供商存放使用者生成的資源的伺服器。它與認證伺服器，可以是同一台伺服器，也可以是不同的伺服器。即github提供小明資源的伺服器。

運作流程如下（參照上圖）：

（A）使用者打開用戶端以後，用戶端要求使用者給予授權。

（B）使用者同意給予用戶端授權。

（C）用戶端使用上一步獲得的授權，向認證伺服器申請令牌。

（D）認證伺服器對用戶端進行認證以後，确認無誤，同意發放令牌。

（E）用戶端使用令牌，向資源伺服器申請擷取資源。

（F）資源伺服器确認令牌無誤，同意向用戶端開放資源。

用戶端的授權模式：

OAuth 2.0定義了四種授權方式。

• 授權碼模式（authorization code）
• 簡化模式（implicit）
• 密碼模式（resource owner password credentials）
• 用戶端模式（client credentials）

本文主要講授權碼模式，授權碼模式是功能最完整、流程最嚴密的授權模式。它的特點就是通過用戶端的背景伺服器，與"服務提供商"的認證伺服器進行互動。也是網絡程式設計中通常使用的授權模式。

 User Agent：使用者代理，本文中就是指浏覽器。

 授權碼模式的步驟如下（參照上圖）：

（A）使用者通路用戶端，後者将前者導向認證伺服器。

（B）使用者選擇是否給予用戶端授權。

（C）假設使用者給予授權，認證伺服器将使用者導向用戶端事先指定的"重定向URI"（redirection URI），同時附上一個授權碼。

（D）用戶端收到授權碼，附上早先的"重定向URI"，向認證伺服器申請令牌。這一步是在用戶端的背景的伺服器上完成的，對使用者不可見。

（E）認證伺服器核對了授權碼和重定向URI，确認無誤後，向用戶端發送通路令牌（access token）和更新令牌（refresh token）。

下面是上面這些步驟所需要的參數。

A步驟中，用戶端申請認證的URI，包含以下參數：

• response_type：表示授權類型，必選項，此處的值固定為"code"
• client_id：表示用戶端的ID，必選項
• redirect_uri：表示重定向URI，可選項
• scope：表示申請的權限範圍，可選項
• state：表示用戶端的目前狀态，可以指定任意值，認證伺服器會原封不動地傳回這個值。

下面是一個例子。

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz
        &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1
Host: server.example.com

           

C步驟中，伺服器回應用戶端的URI，包含以下參數：

• code：表示授權碼，必選項。該碼的有效期應該很短，通常設為10分鐘，用戶端隻能使用該碼一次，否則會被授權伺服器拒絕。該碼與用戶端ID和重定向URI，是一一對應關系。
• state：如果用戶端的請求中包含這個參數，認證伺服器的回應也必須一模一樣包含這個參數。

HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
          &state=xyz

           

D步驟中，用戶端向認證伺服器申請令牌的HTTP請求，包含以下參數：

• grant_type：表示使用的授權模式，必選項，此處的值固定為"authorization_code"。
• code：表示上一步獲得的授權碼，必選項。
• redirect_uri：表示重定向URI，必選項，且必須與A步驟中的該參數值保持一緻。
• client_id：表示用戶端ID，必選項。

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

           

E步驟中，認證伺服器發送的HTTP回複，包含以下參數：

• access_token：表示通路令牌，必選項。
• token_type：表示令牌類型，該值大小寫不敏感，必選項，可以是bearer類型或mac類型。
• expires_in：表示過期時間，機關為秒。如果省略該參數，必須其他方式設定過期時間。
• refresh_token：表示更新令牌，用來擷取下一次的通路令牌，可選項。
• scope：表示權限範圍，如果與用戶端申請的範圍一緻，此項可省略。

HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA",
       "example_parameter":"example_value"
     }

           

從上面代碼可以看到，相關參數使用JSON格式發送（Content-Type: application/json）。此外，HTTP頭資訊中明确指定不得緩存。

本文部分内容轉自http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html，本文隻詳述了授權碼模式，如果也想了解其他模式可以通路這個文章。

如果覺得不錯，可以推薦收藏一下，讓我也更有動力。