為了了解oauth的适用場合,讓我舉一個假設的例子。
有一個"雲沖印"的網站,可以将使用者儲存在google的照片,沖印出來。使用者為了使用該服務,必須讓"雲沖印"讀取自己儲存在google上的照片。
問題是隻有得到使用者的授權,google才會同意"雲沖印"讀取這些照片。那麼,"雲沖印"怎樣獲得使用者的授權呢?
傳統方法是,使用者将自己的google使用者名和密碼,告訴"雲沖印",後者就可以讀取使用者的照片了。這樣的做法有以下幾個嚴重的缺點。
(1)"雲沖印"為了後續的服務,會儲存使用者的密碼,這樣很不安全。 (2)google不得不部署密碼登入,而我們知道,單純的密碼登入并不安全。 (3)"雲沖印"擁有了擷取使用者儲存在google所有資料的權力,使用者沒法限制"雲沖印"獲得授權的範圍和有效期。 (4)使用者隻有修改密碼,才能收回賦予"雲沖印"的權力。但是這樣做,會使得其他所有獲得使用者授權的第三方應用程式全部失效。 (5)隻要有一個第三方應用程式被破解,就會導緻使用者密碼洩漏,以及所有被密碼保護的資料洩漏。
oauth就是為了解決上面這些問題而誕生的。
在詳細講解oauth 2.0之前,需要了解幾個專用名詞。它們對讀懂後面的講解,尤其是幾張圖,至關重要。
(1) third-party application:第三方應用程式,本文中又稱"用戶端"(client),即上一節例子中的"雲沖印"。 (2)http service:http服務提供商,本文中簡稱"服務提供商",即上一節例子中的google。 (3)resource owner:資源所有者,本文中又稱"使用者"(user)。 (4)user agent:使用者代理,本文中就是指浏覽器。 (5)authorization server:認證伺服器,即服務提供商專門用來處理認證的伺服器。 (6)resource server:資源伺服器,即服務提供商存放使用者生成的資源的伺服器。它與認證伺服器,可以是同一台伺服器,也可以是不同的伺服器。
知道了上面這些名詞,就不難了解,oauth的作用就是讓"用戶端"安全可控地擷取"使用者"的授權,與"服務商提供商"進行互動。
oauth在"用戶端"與"服務提供商"之間,設定了一個授權層(authorization layer)。"用戶端"不能直接登入"服務提供商",隻能登入授權層,以此将使用者與用戶端區分開來。"用戶端"登入授權層所用的令牌(token),與使用者的密碼不同。使用者可以在登入的時候,指定授權層令牌的權限範圍和有效期。
"用戶端"登入授權層以後,"服務提供商"根據令牌的權限範圍和有效期,向"用戶端"開放使用者儲存的資料。
oauth 2.0的運作流程如下圖,摘自rfc 6749。
(a)使用者打開用戶端以後,用戶端要求使用者給予授權。 (b)使用者同意給予用戶端授權。 (c)用戶端使用上一步獲得的授權,向認證伺服器申請令牌。 (d)認證伺服器對用戶端進行認證以後,确認無誤,同意發放令牌。 (e)用戶端使用令牌,向資源伺服器申請擷取資源。 (f)資源伺服器确認令牌無誤,同意向用戶端開放資源。
不難看出來,上面六個步驟之中,b是關鍵,即使用者怎樣才能給于用戶端授權。有了這個授權以後,用戶端就可以擷取令牌,進而憑令牌擷取資源。
下面一一講解用戶端擷取授權的四種模式。
用戶端必須得到使用者的授權(authorization grant),才能獲得令牌(access token)。oauth 2.0定義了四種授權方式。
授權碼模式(authorization code)
簡化模式(implicit)
密碼模式(resource owner password credentials)
用戶端模式(client credentials)
授權碼模式(authorization code)是功能最完整、流程最嚴密的授權模式。它的特點就是通過用戶端的背景伺服器,與"服務提供商"的認證伺服器進行互動。
它的步驟如下:
(a)使用者通路用戶端,後者将前者導向認證伺服器。 (b)使用者選擇是否給予用戶端授權。 (c)假設使用者給予授權,認證伺服器将使用者導向用戶端事先指定的"重定向uri"(redirection uri),同時附上一個授權碼。 (d)用戶端收到授權碼,附上早先的"重定向uri",向認證伺服器申請令牌。這一步是在用戶端的背景的伺服器上完成的,對使用者不可見。 (e)認證伺服器核對了授權碼和重定向uri,确認無誤後,向用戶端發送通路令牌(access token)和更新令牌(refresh token)。
下面是上面這些步驟所需要的參數。
a步驟中,用戶端申請認證的uri,包含以下參數:
response_type:表示授權類型,必選項,此處的值固定為"code"
client_id:表示用戶端的id,必選項
redirect_uri:表示重定向uri,可選項
scope:表示申請的權限範圍,可選項
state:表示用戶端的目前狀态,可以指定任意值,認證伺服器會原封不動地傳回這個值。
下面是一個例子。
c步驟中,伺服器回應用戶端的uri,包含以下參數:
code:表示授權碼,必選項。該碼的有效期應該很短,通常設為10分鐘,用戶端隻能使用該碼一次,否則會被授權伺服器拒絕。該碼與用戶端id和重定向uri,是一一對應關系。
state:如果用戶端的請求中包含這個參數,認證伺服器的回應也必須一模一樣包含這個參數。
d步驟中,用戶端向認證伺服器申請令牌的http請求,包含以下參數:
grant_type:表示使用的授權模式,必選項,此處的值固定為"authorization_code"。
code:表示上一步獲得的授權碼,必選項。
redirect_uri:表示重定向uri,必選項,且必須與a步驟中的該參數值保持一緻。
client_id:表示用戶端id,必選項。
e步驟中,認證伺服器發送的http回複,包含以下參數:
access_token:表示通路令牌,必選項。
token_type:表示令牌類型,該值大小寫不敏感,必選項,可以是bearer類型或mac類型。
expires_in:表示過期時間,機關為秒。如果省略該參數,必須其他方式設定過期時間。
refresh_token:表示更新令牌,用來擷取下一次的通路令牌,可選項。
scope:表示權限範圍,如果與用戶端申請的範圍一緻,此項可省略。
從上面代碼可以看到,相關參數使用json格式發送(content-type: application/json)。此外,http頭資訊中明确指定不得緩存。
簡化模式(implicit grant type)不通過第三方應用程式的伺服器,直接在浏覽器中向認證伺服器申請令牌,跳過了"授權碼"這個步驟,是以得名。所有步驟在浏覽器中完成,令牌對通路者是可見的,且用戶端不需要認證。
(a)用戶端将使用者導向認證伺服器。 (b)使用者決定是否給于用戶端授權。 (c)假設使用者給予授權,認證伺服器将使用者導向用戶端指定的"重定向uri",并在uri的hash部分包含了通路令牌。 (d)浏覽器向資源伺服器送出請求,其中不包括上一步收到的hash值。 (e)資源伺服器傳回一個網頁,其中包含的代碼可以擷取hash值中的令牌。 (f)浏覽器執行上一步獲得的腳本,提取出令牌。 (g)浏覽器将令牌發給用戶端。
a步驟中,用戶端發出的http請求,包含以下參數:
response_type:表示授權類型,此處的值固定為"token",必選項。
client_id:表示用戶端的id,必選項。
redirect_uri:表示重定向的uri,可選項。
scope:表示權限範圍,可選項。
c步驟中,認證伺服器回應用戶端的uri,包含以下參數:
token_type:表示令牌類型,該值大小寫不敏感,必選項。
在上面的例子中,認證伺服器用http頭資訊的location欄,指定浏覽器重定向的網址。注意,在這個網址的hash部分包含了令牌。
根據上面的d步驟,下一步浏覽器會通路location指定的網址,但是hash部分不會發送。接下來的e步驟,服務提供商的資源伺服器發送過來的代碼,會提取出hash中的令牌。
密碼模式(resource owner password credentials grant)中,使用者向用戶端提供自己的使用者名和密碼。用戶端使用這些資訊,向"服務商提供商"索要授權。
在這種模式中,使用者必須把自己的密碼給用戶端,但是用戶端不得儲存密碼。這通常用在使用者對用戶端高度信任的情況下,比如用戶端是作業系統的一部分,或者由一個著名公司出品。而認證伺服器隻有在其他授權模式無法執行的情況下,才能考慮使用這種模式。
(a)使用者向用戶端提供使用者名和密碼。 (b)用戶端将使用者名和密碼發給認證伺服器,向後者請求令牌。 (c)認證伺服器确認無誤後,向用戶端提供通路令牌。
b步驟中,用戶端發出的http請求,包含以下參數:
grant_type:表示授權類型,此處的值固定為"password",必選項。
username:表示使用者名,必選項。
password:表示使用者的密碼,必選項。
c步驟中,認證伺服器向用戶端發送通路令牌,下面是一個例子。
上面代碼中,各個參數的含義參見《授權碼模式》一節。
整個過程中,用戶端不得儲存使用者的密碼。
用戶端模式(client credentials grant)指用戶端以自己的名義,而不是以使用者的名義,向"服務提供商"進行認證。嚴格地說,用戶端模式并不屬于oauth架構所要解決的問題。在這種模式中,使用者直接向用戶端注冊,用戶端以自己的名義要求"服務提供商"提供服務,其實不存在授權問題。
(a)用戶端向認證伺服器進行身份認證,并要求一個通路令牌。 (b)認證伺服器确認無誤後,向用戶端提供通路令牌。
granttype:表示授權類型,此處的值固定為"clientcredentials",必選項。
認證伺服器必須以某種方式,驗證用戶端身份。
b步驟中,認證伺服器向用戶端發送通路令牌,下面是一個例子。
如果使用者通路的時候,用戶端的"通路令牌"已經過期,則需要使用"更新令牌"申請一個新的通路令牌。
用戶端發出更新令牌的http請求,包含以下參數:
granttype:表示使用的授權模式,此處的值固定為"refreshtoken",必選項。
refresh_token:表示早前收到的更新令牌,必選項。
scope:表示申請的授權範圍,不可以超出上一次申請的範圍,如果省略該參數,則表示與上一次一緻。
(完)