欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

oauth学习笔记(二):授权模式

程序员文章站 2022-06-04 10:45:47
...

授权模式

客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。

OAuth 2.0定义了五种授权方式:

  • 授权码模式(authorization code)
  • 简化模式(implicit)
  • 密码模式(resource owner password credentials)
  • 客户端模式(client credentials)
  • 扩展模式(Extension)

授权码模式

通过客户端的后台服务器,与"服务提供商"的认证服务器进行互动。
oauth学习笔记(二):授权模式
(A)用户访问客户端,后者将前者导向认证服务器(一个获取授权的页面)。
(B)用户选择是否给予客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。
(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。
(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。
这种模式常用于第三方认证登录。
样例:
A步骤中 Get /oauth/authorize?response_type=code&client_id=【client_id】&redirect_uri=http://www.baidu.com/&state=【userId】
参数说明:

  • response_type:表示授权类型,必选项,此处的值固定为"code"
  • client_id:表示客户端的ID,必选项
  • redirect_uri:表示重定向URI,可选项,必须与授权服务器端注册信息一致
  • scope:表示申请的权限范围,可选项
  • state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。
    C步骤中 重定向 http://www.baidu.com?code=PkDvIj&state=userId
    参数说明:
  • code:授权码,必选项
  • state:表示客户端的当前状态,可选项

客户端的重定向地址接收到参数后执行步骤D
D步骤中 /oauth/token?client_id=【client_id】&grant_type=authorization_code&redirect_uri=http://www.baidu.com/&client_secret=【secret】&code=【code】
参数说明:

  • code:授权码,必选项
  • grant_type:授权类型,必选项,授权码模式值应为authorization_code
  • client_id:表示客户端的ID,必选项
  • client_secret:客户端**,必选项
  • redirect_uri:表示重定向URI,可选项,必须与授权服务器端注册信息一致
  • scope:表示权限范围,如果与客户端申请的范围一致,此项可省略
    参考结果如下:
{
    "access_token": "f9e8615a-e719-43b8-a00f-44c439053637",
    "token_type": "bearer",
    "refresh_token": "4f686799-3c27-425e-81ad-4da377b6a218",
    "expires_in": 39507,
    "scope": "app"
}

授权码访问授权服务器只能使用一次,再次使用将被拒绝

简化模式

简化模式适用于一些纯前端应用,必须将令牌储存在前端。那么可以使用简化模式(隐藏式)来申请授权,颁发令牌。
简化模式(implicit grant type)不通过第三方应用程序的服务器,直接在浏览器中向认证服务器申请令牌,跳过了"授权码"这个步骤,因此得名。所有步骤在浏览器中完成,令牌对访问者是可见的,且客户端不需要认证。
oauth学习笔记(二):授权模式
步骤如下:
(A)客户端将用户导向认证服务器。
(B)用户决定是否给于客户端授权。
(C)假设用户给予授权,认证服务器将用户导向客户端指定的"重定向URI",并在URI的Hash部分包含了访问令牌。
(D)浏览器向资源服务器发出请求,其中不包括上一步收到的Hash值。
(E)资源服务器返回一个网页,其中包含的代码可以获取Hash值中的令牌。
(F)浏览器执行上一步获得的脚本,提取出令牌。
(G)浏览器将令牌发给客户端。
样例:
A步骤中,客户端发出的HTTP请求
样例:
A步骤中 Get /oauth/authorize?response_type=【code】&client_id=【client_id】&redirect_uri=【redirect_uri】&state=【userId】
,包含以下参数:

  • response_type:表示授权类型,此处的值固定为"token",必选项。
  • client_id:表示客户端的ID,必选项。
  • redirect_uri:表示重定向的URI,可选项。
  • scope:表示权限范围,可选项。
  • state:表示客户端的当前状态,可以指定任意值,认证服务器会原封不动地返回这个值。

C步骤中,认证服务器回应客户端的URI
Get /#access_token=【tokenStr】&token_type=bearer&expires_in=14688&scope=app
包含以下参数:

access_token:表示访问令牌,必选项。
token_type:表示令牌类型,该值大小写不敏感,必选项。
expires_in:表示过期时间,单位为秒。如果省略该参数,必须其他方式设置过期时间。
scope:表示权限范围,如果与客户端申请的范围一致,此项可省略。
state:如果客户端的请求中包含这个参数,认证服务器的回应也必须一模一样包含这个参数。

密码模式

密码模式(Resource Owner Password Credentials Grant)中,用户向客户端(浏览器)提供自己的用户名和密码。客户端(浏览器)使用这些信息,向"服务商提供商"索要授权。
在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,比如客户端是操作系统的一部分,或者由一个可信任公司提供。而认证服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式。
oauth学习笔记(二):授权模式
步骤如下:
(A)用户向客户端提供用户名和密码。
(B)客户端将用户名和密码发给认证服务器,向后者请求令牌。
(C)认证服务器确认无误后,向客户端提供访问令牌。
样例:
B步骤中,客户端发出的HTTP请求,包含以下参数:

  • grant_type:表示授权类型,此处的值固定为"password",必选项。
  • username:表示用户名,必选项。
  • password:表示用户的密码,必选项。
  • scope:表示权限范围,可选项。
  • oauth学习笔记(二):授权模式参考结果如下:
{
    "access_token": "f9e8615a-e719-43b8-a00f-44c439053637",
    "token_type": "bearer",
    "refresh_token": "4f686799-3c27-425e-81ad-4da377b6a218",
    "expires_in": 12480,
    "scope": "app"
}

客户端模式

认证服务器给客户端下发客户端标识–一个代表了注册信息的唯一字符串。客户端标识不是秘密;它被暴露给资源拥有者,并且不能单独用来客户端验证。客户端标识对认证服务器来说是唯一的。
客户端模式(Client Credentials Grant)指客户端以自己的名义,而不是以用户的名义,向"服务提供商"进行认证。严格地说,客户端模式并不属于OAuth框架所要解决的问题。在这种模式中,用户直接向客户端注册,客户端以自己的名义要求"服务提供商"提供服务,其实不存在授权问题。
常用于访问公共资源(无需登录):网站首页
该模式没有refresh_token,过期可以直接认证获取匿名令牌。
oauth学习笔记(二):授权模式
步骤如下:
(A)客户端向认证服务器进行身份认证,并要求一个访问令牌。
(B)认证服务器确认无误后,向客户端提供访问令牌。
A步骤中,客户端发出的HTTP请求,包含以下参数:

  • grant_type:表示授权类型,此处的值固定为"client_credentials",必选项。
  • username:表示用户名,必选项。
  • password:表示用户的密码,必选项。
  • client_id:表示客户端的ID,必选项。
  • client_secret:客户端的**,必选项。
  • scope:表示权限范围,可选项。
    样例:
    oauth学习笔记(二):授权模式

扩展模式

扩展模式,是一种自定义模式。规范中仅对“grant type”参数提出了须为URI的要求。对于其他申请数据,可以根据需求进行自定义。
这里不做研究。

更新令牌

当访问令牌过期时候,刷新重新获取令牌。
客户端发出更新令牌的HTTP请求,包含以下参数:

  • grant_type:表示使用的授权模式,此处的值固定为"refresh_token",必选项。
  • refresh_token:表示早前收到的更新令牌,必选项。
  • scope:表示申请的授权范围,不可以超出上一次申请的范围,如果省略该参数,则表示与上一次一致。
  • client_id:表示客户端的ID,必选项。
  • client_secret:客户端的**,必选项。
    oauth学习笔记(二):授权模式
相关标签: oauth java http