oauth学习笔记（二）：授权模式

授权模式

客户端必须得到用户的授权（authorization grant），才能获得令牌（access token）。

OAuth 2.0定义了五种授权方式：

• 授权码模式（authorization code）
• 简化模式（implicit）
• 密码模式（resource owner password credentials）
• 客户端模式（client credentials）
• 扩展模式（Extension）

授权码模式

通过客户端的后台服务器，与"服务提供商"的认证服务器进行互动。

（A）用户访问客户端，后者将前者导向认证服务器（一个获取授权的页面）。
（B）用户选择是否给予客户端授权。
（C）假设用户给予授权，认证服务器将用户导向客户端事先指定的"重定向URI"（redirection URI），同时附上一个授权码。
（D）客户端收到授权码，附上早先的"重定向URI"，向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的，对用户不可见。
（E）认证服务器核对了授权码和重定向URI，确认无误后，向客户端发送访问令牌（access token）和更新令牌（refresh token）。
这种模式常用于第三方认证登录。
样例：
A步骤中 Get /oauth/authorize?response_type=code&client_id=【client_id】&redirect_uri=http://www.baidu.com/&state=【userId】
参数说明：

• response_type：表示授权类型，必选项，此处的值固定为"code"
• client_id：表示客户端的ID，必选项
• redirect_uri：表示重定向URI，可选项，必须与授权服务器端注册信息一致
• scope：表示申请的权限范围，可选项
• state：表示客户端的当前状态，可以指定任意值，认证服务器会原封不动地返回这个值。
  C步骤中 重定向 http://www.baidu.com?code=PkDvIj&state=userId
  参数说明：
• code：授权码，必选项
• state：表示客户端的当前状态，可选项

客户端的重定向地址接收到参数后执行步骤D
D步骤中 /oauth/token?client_id=【client_id】&grant_type=authorization_code&redirect_uri=http://www.baidu.com/&client_secret=【secret】&code=【code】
参数说明：

• code：授权码，必选项
• grant_type:授权类型，必选项，授权码模式值应为authorization_code
• client_id：表示客户端的ID，必选项
• client_secret：客户端**，必选项
• redirect_uri:表示重定向URI，可选项，必须与授权服务器端注册信息一致
• scope：表示权限范围，如果与客户端申请的范围一致，此项可省略
  参考结果如下：

{
    "access_token": "f9e8615a-e719-43b8-a00f-44c439053637",
    "token_type": "bearer",
    "refresh_token": "4f686799-3c27-425e-81ad-4da377b6a218",
    "expires_in": 39507,
    "scope": "app"
}

授权码访问授权服务器只能使用一次，再次使用将被拒绝

简化模式

简化模式适用于一些纯前端应用，必须将令牌储存在前端。那么可以使用简化模式（隐藏式）来申请授权，颁发令牌。
简化模式（implicit grant type）不通过第三方应用程序的服务器，直接在浏览器中向认证服务器申请令牌，跳过了"授权码"这个步骤，因此得名。所有步骤在浏览器中完成，令牌对访问者是可见的，且客户端不需要认证。

步骤如下：
（A）客户端将用户导向认证服务器。
（B）用户决定是否给于客户端授权。
（C）假设用户给予授权，认证服务器将用户导向客户端指定的"重定向URI"，并在URI的Hash部分包含了访问令牌。
（D）浏览器向资源服务器发出请求，其中不包括上一步收到的Hash值。
（E）资源服务器返回一个网页，其中包含的代码可以获取Hash值中的令牌。
（F）浏览器执行上一步获得的脚本，提取出令牌。
（G）浏览器将令牌发给客户端。
样例：
A步骤中，客户端发出的HTTP请求
样例：
A步骤中 Get /oauth/authorize?response_type=【code】&client_id=【client_id】&redirect_uri=【redirect_uri】&state=【userId】
，包含以下参数：

• response_type：表示授权类型，此处的值固定为"token"，必选项。
• client_id：表示客户端的ID，必选项。
• redirect_uri：表示重定向的URI，可选项。
• scope：表示权限范围，可选项。
• state：表示客户端的当前状态，可以指定任意值，认证服务器会原封不动地返回这个值。

C步骤中，认证服务器回应客户端的URI
Get /#access_token=【tokenStr】&token_type=bearer&expires_in=14688&scope=app
包含以下参数：

access_token：表示访问令牌，必选项。
token_type：表示令牌类型，该值大小写不敏感，必选项。
expires_in：表示过期时间，单位为秒。如果省略该参数，必须其他方式设置过期时间。
scope：表示权限范围，如果与客户端申请的范围一致，此项可省略。
state：如果客户端的请求中包含这个参数，认证服务器的回应也必须一模一样包含这个参数。

密码模式

密码模式（Resource Owner Password Credentials Grant）中，用户向客户端（浏览器）提供自己的用户名和密码。客户端（浏览器）使用这些信息，向"服务商提供商"索要授权。
在这种模式中，用户必须把自己的密码给客户端，但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下，比如客户端是操作系统的一部分，或者由一个可信任公司提供。而认证服务器只有在其他授权模式无法执行的情况下，才能考虑使用这种模式。

步骤如下：
（A）用户向客户端提供用户名和密码。
（B）客户端将用户名和密码发给认证服务器，向后者请求令牌。
（C）认证服务器确认无误后，向客户端提供访问令牌。
样例：
B步骤中，客户端发出的HTTP请求，包含以下参数：

• grant_type：表示授权类型，此处的值固定为"password"，必选项。
• username：表示用户名，必选项。
• password：表示用户的密码，必选项。
• scope：表示权限范围，可选项。
• 参考结果如下：

{
    "access_token": "f9e8615a-e719-43b8-a00f-44c439053637",
    "token_type": "bearer",
    "refresh_token": "4f686799-3c27-425e-81ad-4da377b6a218",
    "expires_in": 12480,
    "scope": "app"
}

客户端模式

认证服务器给客户端下发客户端标识–一个代表了注册信息的唯一字符串。客户端标识不是秘密；它被暴露给资源拥有者，并且不能单独用来客户端验证。客户端标识对认证服务器来说是唯一的。
客户端模式（Client Credentials Grant）指客户端以自己的名义，而不是以用户的名义，向"服务提供商"进行认证。严格地说，客户端模式并不属于OAuth框架所要解决的问题。在这种模式中，用户直接向客户端注册，客户端以自己的名义要求"服务提供商"提供服务，其实不存在授权问题。
常用于访问公共资源（无需登录）：网站首页
该模式没有refresh_token,过期可以直接认证获取匿名令牌。

步骤如下：
（A）客户端向认证服务器进行身份认证，并要求一个访问令牌。
（B）认证服务器确认无误后，向客户端提供访问令牌。
A步骤中，客户端发出的HTTP请求，包含以下参数：

• grant_type：表示授权类型，此处的值固定为"client_credentials"，必选项。
• username：表示用户名，必选项。
• password：表示用户的密码，必选项。
• client_id：表示客户端的ID，必选项。
• client_secret:客户端的**，必选项。
• scope：表示权限范围，可选项。
  样例：
  

扩展模式

扩展模式，是一种自定义模式。规范中仅对“grant type”参数提出了须为URI的要求。对于其他申请数据，可以根据需求进行自定义。
这里不做研究。

更新令牌

当访问令牌过期时候，刷新重新获取令牌。
客户端发出更新令牌的HTTP请求，包含以下参数：

• grant_type：表示使用的授权模式，此处的值固定为"refresh_token"，必选项。
• refresh_token：表示早前收到的更新令牌，必选项。
• scope：表示申请的授权范围，不可以超出上一次申请的范围，如果省略该参数，则表示与上一次一致。
• client_id：表示客户端的ID，必选项。
• client_secret:客户端的**，必选项。