oauth学习笔记(二):授权模式
授权模式
客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。
OAuth 2.0定义了五种授权方式:
- 授权码模式(authorization code)
- 简化模式(implicit)
- 密码模式(resource owner password credentials)
- 客户端模式(client credentials)
- 扩展模式(Extension)
授权码模式
通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。
(A)用户访问客户端,后者将前者导向认证服务器(一个获取授权的页面)。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。
这种模式常用于第三方认证登录。
样例:
A步骤中 Get /oauth/authorize?response_type=code&client_id=【client_id】&redirect_uri=http://www.baidu.com/&state=【userId】
参数说明:
- response_type:表示授权类型,必选项,此处的值固定为"code"
- client_id:表示客户端的ID,必选项
- redirect_uri:表示重定向URI,可选项,必须与授权服务器端注册信息一致
- scope:表示申请的权限范围,可选项
- state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。
C步骤中 重定向 http://www.baidu.com?code=PkDvIj&state=userId
参数说明: - code:授权码,必选项
- state:表示客户端的当前状态,可选项
客户端的重定向地址接收到参数后执行步骤D
D步骤中 /oauth/token?client_id=【client_id】&grant_type=authorization_code&redirect_uri=http://www.baidu.com/&client_secret=【secret】&code=【code】
参数说明:
- code:授权码,必选项
- grant_type:授权类型,必选项,授权码模式值应为authorization_code
- client_id:表示客户端的ID,必选项
- client_secret:客户端**,必选项
- redirect_uri:表示重定向URI,可选项,必须与授权服务器端注册信息一致
- scope:表示权限范围,如果与客户端申请的范围一致,此项可省略
参考结果如下:
{
"access_token": "f9e8615a-e719-43b8-a00f-44c439053637",
"token_type": "bearer",
"refresh_token": "4f686799-3c27-425e-81ad-4da377b6a218",
"expires_in": 39507,
"scope": "app"
}
授权码访问授权服务器只能使用一次,再次使用将被拒绝
简化模式
简化模式适用于一些纯前端应用,必须将令牌储存在前端。那么可以使用简化模式(隐藏式)来申请授权,颁发令牌。
简化模式(implicit grant type)不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了"授权码"这个步骤,因此得名。所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。
步骤如下:
(A)客户端将用户导向认证服务器。
(B)用户决定是否给于客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端指定的"重定向URI",并在URI的Hash部分包含了访问令牌。
(D)浏览器向资源服务器发出请求,其中不包括上一步收到的Hash值。
(E)资源服务器返回一个网页,其中包含的代码可以获取Hash值中的令牌。
(F)浏览器执行上一步获得的脚本,提取出令牌。
(G)浏览器将令牌发给客户端。
样例:
A步骤中,客户端发出的HTTP请求
样例:
A步骤中 Get /oauth/authorize?response_type=【code】&client_id=【client_id】&redirect_uri=【redirect_uri】&state=【userId】
,包含以下参数:
- response_type:表示授权类型,此处的值固定为"token",必选项。
- client_id:表示客户端的ID,必选项。
- redirect_uri:表示重定向的URI,可选项。
- scope:表示权限范围,可选项。
- state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。
C步骤中,认证服务器回应客户端的URI
Get /#access_token=【tokenStr】&token_type=bearer&expires_in=14688&scope=app
包含以下参数:
access_token:表示访问令牌,必选项。
token_type:表示令牌类型,该值大小写不敏感,必选项。
expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。
state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。
密码模式
密码模式(Resource Owner Password Credentials Grant)中,用户向客户端(浏览器)提供自己的用户名和密码。客户端(浏览器)使用这些信息,向"服务商提供商"索要授权。
在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,比如客户端是操作系统的一部分,或者由一个可信任公司提供。而认证服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式。
步骤如下:
(A)用户向客户端提供用户名和密码。
(B)客户端将用户名和密码发给认证服务器,向后者请求令牌。
(C)认证服务器确认无误后,向客户端提供访问令牌。
样例:
B步骤中,客户端发出的HTTP请求,包含以下参数:
- grant_type:表示授权类型,此处的值固定为"password",必选项。
- username:表示用户名,必选项。
- password:表示用户的密码,必选项。
- scope:表示权限范围,可选项。
- 参考结果如下:
{
"access_token": "f9e8615a-e719-43b8-a00f-44c439053637",
"token_type": "bearer",
"refresh_token": "4f686799-3c27-425e-81ad-4da377b6a218",
"expires_in": 12480,
"scope": "app"
}
客户端模式
认证服务器给客户端下发客户端标识–一个代表了注册信息的唯一字符串。客户端标识不是秘密;它被暴露给资源拥有者,并且不能单独用来客户端验证。客户端标识对认证服务器来说是唯一的。
客户端模式(Client Credentials Grant)指客户端以自己的名义,而不是以用户的名义,向"服务提供商"进行认证。严格地说,客户端模式并不属于OAuth框架所要解决的问题。在这种模式中,用户直接向客户端注册,客户端以自己的名义要求"服务提供商"提供服务,其实不存在授权问题。
常用于访问公共资源(无需登录):网站首页
该模式没有refresh_token,过期可以直接认证获取匿名令牌。
步骤如下:
(A)客户端向认证服务器进行身份认证,并要求一个访问令牌。
(B)认证服务器确认无误后,向客户端提供访问令牌。
A步骤中,客户端发出的HTTP请求,包含以下参数:
- grant_type:表示授权类型,此处的值固定为"client_credentials",必选项。
- username:表示用户名,必选项。
- password:表示用户的密码,必选项。
- client_id:表示客户端的ID,必选项。
- client_secret:客户端的**,必选项。
- scope:表示权限范围,可选项。
样例:
扩展模式
扩展模式,是一种自定义模式。规范中仅对“grant type”参数提出了须为URI的要求。对于其他申请数据,可以根据需求进行自定义。
这里不做研究。
更新令牌
当访问令牌过期时候,刷新重新获取令牌。
客户端发出更新令牌的HTTP请求,包含以下参数:
- grant_type:表示使用的授权模式,此处的值固定为"refresh_token",必选项。
- refresh_token:表示早前收到的更新令牌,必选项。
- scope:表示申请的授权范围,不可以超出上一次申请的范围,如果省略该参数,则表示与上一次一致。
- client_id:表示客户端的ID,必选项。
- client_secret:客户端的**,必选项。
上一篇: PHP页面间传递参数实例代码
下一篇: PHP简单系统查询模块代码打包下载