了解OAuth 2.0

為了了解OAuth的适用場合，讓我舉一個假設的例子。

有一個"雲沖印"的網站，可以将使用者儲存在Google的照片，沖印出來。使用者為了使用該服務，必須讓"雲沖印"讀取自己儲存在Google上的照片。

問題是隻有得到使用者的授權，Google才會同意"雲沖印"讀取這些照片。那麼，"雲沖印"怎樣獲得使用者的授權呢？

傳統方法是，使用者将自己的Google使用者名和密碼，告訴"雲沖印"，後者就可以讀取使用者的照片了。這樣的做法有以下幾個嚴重的缺點。

（1）"雲沖印"為了後續的服務，會儲存使用者的密碼，這樣很不安全。 （2）Google不得不部署密碼登入，而我們知道，單純的密碼登入并不安全。 （3）"雲沖印"擁有了擷取使用者儲存在Google所有資料的權力，使用者沒法限制"雲沖印"獲得授權的範圍和有效期。 （4）使用者隻有修改密碼，才能收回賦予"雲沖印"的權力。但是這樣做，會使得其他所有獲得使用者授權的第三方應用程式全部失效。 （5）隻要有一個第三方應用程式被破解，就會導緻使用者密碼洩漏，以及所有被密碼保護的資料洩漏。

OAuth就是為了解決上面這些問題而誕生的。

在詳細講解OAuth 2.0之前，需要了解幾個專用名詞。它們對讀懂後面的講解，尤其是幾張圖，至關重要。

（1） Third-party application：第三方應用程式，本文中又稱"用戶端"（client），即上一節例子中的"雲沖印"。 （2）HTTP service：HTTP服務提供商，本文中簡稱"服務提供商"，即上一節例子中的Google。 （3）Resource Owner：資源所有者，本文中又稱"使用者"（user）。 （4）User Agent：使用者代理，本文中就是指浏覽器。 （5）Authorization server：認證伺服器，即服務提供商專門用來處理認證的伺服器。 （6）Resource server：資源伺服器，即服務提供商存放使用者生成的資源的伺服器。它與認證伺服器，可以是同一台伺服器，也可以是不同的伺服器。

知道了上面這些名詞，就不難了解，OAuth的作用就是讓"用戶端"安全可控地擷取"使用者"的授權，與"服務商提供商"進行互動。

OAuth在"用戶端"與"服務提供商"之間，設定了一個授權層（authorization layer）。"用戶端"不能直接登入"服務提供商"，隻能登入授權層，以此将使用者與用戶端區分開來。"用戶端"登入授權層所用的令牌（token），與使用者的密碼不同。使用者可以在登入的時候，指定授權層令牌的權限範圍和有效期。

"用戶端"登入授權層以後，"服務提供商"根據令牌的權限範圍和有效期，向"用戶端"開放使用者儲存的資料。

OAuth 2.0的運作流程如下圖，摘自RFC 6749。

（A）使用者打開用戶端以後，用戶端要求使用者給予授權。 （B）使用者同意給予用戶端授權。 （C）用戶端使用上一步獲得的授權，向認證伺服器申請令牌。 （D）認證伺服器對用戶端進行認證以後，确認無誤，同意發放令牌。 （E）用戶端使用令牌，向資源伺服器申請擷取資源。 （F）資源伺服器确認令牌無誤，同意向用戶端開放資源。

不難看出來，上面六個步驟之中，B是關鍵，即使用者怎樣才能給于用戶端授權。有了這個授權以後，用戶端就可以擷取令牌，進而憑令牌擷取資源。

下面一一講解用戶端擷取授權的四種模式。

用戶端必須得到使用者的授權（authorization grant），才能獲得令牌（access token）。OAuth 2.0定義了四種授權方式。

授權碼模式（authorization code）

簡化模式（implicit）

密碼模式（resource owner password credentials）

用戶端模式（client credentials）

授權碼模式（authorization code）是功能最完整、流程最嚴密的授權模式。它的特點就是通過用戶端的背景伺服器，與"服務提供商"的認證伺服器進行互動。

它的步驟如下：

（A）使用者通路用戶端，後者将前者導向認證伺服器。 （B）使用者選擇是否給予用戶端授權。 （C）假設使用者給予授權，認證伺服器将使用者導向用戶端事先指定的"重定向URI"（redirection URI），同時附上一個授權碼。 （D）用戶端收到授權碼，附上早先的"重定向URI"，向認證伺服器申請令牌。這一步是在用戶端的背景的伺服器上完成的，對使用者不可見。 （E）認證伺服器核對了授權碼和重定向URI，确認無誤後，向用戶端發送通路令牌（access token）和更新令牌（refresh token）。

下面是上面這些步驟所需要的參數。

A步驟中，用戶端申請認證的URI，包含以下參數：

response_type：表示授權類型，必選項，此處的值固定為"code"

client_id：表示用戶端的ID，必選項

redirect_uri：表示重定向URI，可選項

scope：表示申請的權限範圍，可選項

state：表示用戶端的目前狀态，可以指定任意值，認證伺服器會原封不動地傳回這個值。

下面是一個例子。

C步驟中，伺服器回應用戶端的URI，包含以下參數：

code：表示授權碼，必選項。該碼的有效期應該很短，通常設為10分鐘，用戶端隻能使用該碼一次，否則會被授權伺服器拒絕。該碼與用戶端ID和重定向URI，是一一對應關系。

state：如果用戶端的請求中包含這個參數，認證伺服器的回應也必須一模一樣包含這個參數。

D步驟中，用戶端向認證伺服器申請令牌的HTTP請求，包含以下參數：

grant_type：表示使用的授權模式，必選項，此處的值固定為"authorization_code"。

code：表示上一步獲得的授權碼，必選項。

redirect_uri：表示重定向URI，必選項，且必須與A步驟中的該參數值保持一緻。

client_id：表示用戶端ID，必選項。

E步驟中，認證伺服器發送的HTTP回複，包含以下參數：

access_token：表示通路令牌，必選項。

token_type：表示令牌類型，該值大小寫不敏感，必選項，可以是bearer類型或mac類型。

expires_in：表示過期時間，機關為秒。如果省略該參數，必須其他方式設定過期時間。

refresh_token：表示更新令牌，用來擷取下一次的通路令牌，可選項。

scope：表示權限範圍，如果與用戶端申請的範圍一緻，此項可省略。

從上面代碼可以看到，相關參數使用JSON格式發送（Content-Type: application/json）。此外，HTTP頭資訊中明确指定不得緩存。

簡化模式（implicit grant type）不通過第三方應用程式的伺服器，直接在浏覽器中向認證伺服器申請令牌，跳過了"授權碼"這個步驟，是以得名。所有步驟在浏覽器中完成，令牌對通路者是可見的，且用戶端不需要認證。

（A）用戶端将使用者導向認證伺服器。 （B）使用者決定是否給于用戶端授權。 （C）假設使用者給予授權，認證伺服器将使用者導向用戶端指定的"重定向URI"，并在URI的Hash部分包含了通路令牌。 （D）浏覽器向資源伺服器送出請求，其中不包括上一步收到的Hash值。 （E）資源伺服器傳回一個網頁，其中包含的代碼可以擷取Hash值中的令牌。 （F）浏覽器執行上一步獲得的腳本，提取出令牌。 （G）浏覽器将令牌發給用戶端。

A步驟中，用戶端發出的HTTP請求，包含以下參數：

response_type：表示授權類型，此處的值固定為"token"，必選項。

client_id：表示用戶端的ID，必選項。

redirect_uri：表示重定向的URI，可選項。

scope：表示權限範圍，可選項。

C步驟中，認證伺服器回應用戶端的URI，包含以下參數：

token_type：表示令牌類型，該值大小寫不敏感，必選項。

在上面的例子中，認證伺服器用HTTP頭資訊的Location欄，指定浏覽器重定向的網址。注意，在這個網址的Hash部分包含了令牌。

根據上面的D步驟，下一步浏覽器會通路Location指定的網址，但是Hash部分不會發送。接下來的E步驟，服務提供商的資源伺服器發送過來的代碼，會提取出Hash中的令牌。

密碼模式（Resource Owner Password Credentials Grant）中，使用者向用戶端提供自己的使用者名和密碼。用戶端使用這些資訊，向"服務商提供商"索要授權。

在這種模式中，使用者必須把自己的密碼給用戶端，但是用戶端不得儲存密碼。這通常用在使用者對用戶端高度信任的情況下，比如用戶端是作業系統的一部分，或者由一個著名公司出品。而認證伺服器隻有在其他授權模式無法執行的情況下，才能考慮使用這種模式。

（A）使用者向用戶端提供使用者名和密碼。 （B）用戶端将使用者名和密碼發給認證伺服器，向後者請求令牌。 （C）認證伺服器确認無誤後，向用戶端提供通路令牌。

B步驟中，用戶端發出的HTTP請求，包含以下參數：

grant_type：表示授權類型，此處的值固定為"password"，必選項。

username：表示使用者名，必選項。

password：表示使用者的密碼，必選項。

C步驟中，認證伺服器向用戶端發送通路令牌，下面是一個例子。

上面代碼中，各個參數的含義參見《授權碼模式》一節。

整個過程中，用戶端不得儲存使用者的密碼。

用戶端模式（Client Credentials Grant）指用戶端以自己的名義，而不是以使用者的名義，向"服務提供商"進行認證。嚴格地說，用戶端模式并不屬于OAuth架構所要解決的問題。在這種模式中，使用者直接向用戶端注冊，用戶端以自己的名義要求"服務提供商"提供服務，其實不存在授權問題。

（A）用戶端向認證伺服器進行身份認證，并要求一個通路令牌。 （B）認證伺服器确認無誤後，向用戶端提供通路令牌。

granttype：表示授權類型，此處的值固定為"clientcredentials"，必選項。

認證伺服器必須以某種方式，驗證用戶端身份。

B步驟中，認證伺服器向用戶端發送通路令牌，下面是一個例子。

如果使用者通路的時候，用戶端的"通路令牌"已經過期，則需要使用"更新令牌"申請一個新的通路令牌。

用戶端發出更新令牌的HTTP請求，包含以下參數：

granttype：表示使用的授權模式，此處的值固定為"refreshtoken"，必選項。

refresh_token：表示早前收到的更新令牌，必選項。

scope：表示申請的授權範圍，不可以超出上一次申請的範圍，如果省略該參數，則表示與上一次一緻。

（完）

如何聯系我：【萬裡虎】www.bravetiger.cn

【QQ】3396726884 （咨詢問題100元起，幫助解決問題500元起）

【部落格】http://www.cnblogs.com/kenshinobiy/