前言
OAuth 简单理解就是一种授权机制,它是在客户端和资源所有者之间的授权层,用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后,客户端携带令牌可以访问资源所有者的资源。OAuth2.0 是 OAuth 协议的一个版本,有 2.0 版本那就有 1.0 版本,但OAuth1.0 已经不使用了,而且OAuth2.0 不向下兼容。
场景举例
最简单的就是小区单元楼里面的门禁系统,它就是使用OAuth授权的,朋友过来玩的时候,到楼下有门禁进不来,对于本小区住户来说,可以输入密码进入,因为朋友不是小区住户,直接给他密码不合适,他可以在门禁上面输入我住的住户号,比如 1204,此时,房间里面的门禁电话就会响,我可以拿起电话,与他通话,确认为我朋友后,按下电话上面的允许按钮,门禁就会打开,他就可以进来了。
我按下电话上的允许按钮,就相当于给我朋友一个token,这个token拥有类似密码的功能,但也不太相同,token 拥有权限范围,有时效性的,到期自动失效,而且这些属性无法修改。
涉及参数
在讲授权方式前,先了解授权过程中会涉及到的参数:
response_type:code表示要求返回授权码,token表示直接返回令牌client_id:客户端身份标识client_secret:客户端密钥redirect_uri:重定向地址scope:表示授权的范围,read只读权限,all读写权限grant_type:表示授权的方式,AUTHORIZATION_CODE(授权码)password(密码)client_credentials(凭证式)refresh_token更新令牌
state:应用程序传递的一个随机数,用来防止CSRF攻击。
授权方式
OAuth2.0 的授权简单理解其实就是获取令牌token的过程,OAuth 协议定义了四种获得令牌的授权方式authorization grant :
- 授权码(
authorization-code) - 隐藏式(
implicit) - 密码式(
password) - 凭证式(
client credentials)
不管使用哪一种授权方式,在申请令牌之前,都必须在系统中去申请身份唯一标识,客户端 IDclient ID
和客户端密钥client secret保证 token 不被恶意使用。
授权码
四种授权中授权码方式是比较复杂的,安全系数却是最高的,也比较常用。这种方式适用于兼具前后端的Web项目。
1、用户选择使用微信登录web,web 会向微信发起授权请求,接下来微信询问用户是否同意授权(手机弹窗确认)。
response_type为code要求返回授权码scope参数表示本次授权范围;redirect_uri重定向的地址。https://wx.com/oauth/authorize? response_type=code& client_id=CLIENT_ID& redirect_uri=http://login.web/callback& scope=read2、用户同意授权后,微信 根据
redirect_uri重定向并返回授权码。http://login.web/callback?code=AUTHORIZATION_CODE3、当
web拿到授权码(code)时,带授权码和密匙等参数向微信申请令牌(access_token)。grant_type表示本次授权为授权码方式authorization_codeclient_secret客户端密匙;code上一步得到的授权码。https://wx.com/oauth/token? client_id=CLIENT_ID& client_secret=CLIENT_SECRET& grant_type=authorization_code& code=AUTHORIZATION_CODE& redirect_uri=http://login.web/callback4、最后微信收到请求后向
redirect_uri地址发送JSON数据,其中的access_token就是令牌。{ "access_token":"ACCESS_TOKEN", "token_type":"bearer", "expires_in":2592000, "refresh_token":"REFRESH_TOKEN", "scope":"read", ...... }隐藏式
如果是纯前端应用,无法使用授权码模式。令牌的申请与存储都需要在前端完成,隐藏式跳过了授权码这一步。前端应用直接获取
token,response_type设置为token,要求直接access_token,跳过授权码,微信授权通过后重定向到指定redirect_uri。https://wx.com/oauth/authorize? response_type=token& client_id=CLIENT_ID& redirect_uri=http:/login.web/callback& scope=read这种模式安全性相对于
授权码低一些。密码式
用户在
web页面直接输入自己的微信用户名和密码,web拿着信息直接去微信申请令牌,请求响应的JSON结果中返回access_token。grant_type为password表示密码式授权。https://wx.com/token? grant_type=password& username=USERNAME& password=PASSWORD& client_id=CLIENT_ID这种授权方式是非常的危险,相当于把微信密码直接交给了
web系统。如果采取此方式授权的应用一定要高度可信任的。凭证式
凭证式和密码式比较相似,适用于那些没有前端的命令行应用,可以用最简单的方式获取令牌,在请求响应的
JSON结果中返回access_token。grant_type为client_credentials表示凭证式授权,client_id和client_secret用来识别身份。https://wx.com/token? grant_type=client_credentials& client_id=CLIENT_ID& client_secret=CLIENT_SECRET令牌使用
拥有令牌就可以调用微信的
API请求数据了,每个请求微信的请求都必须带上token,将token放在http请求头header的一个Authorization里。
令牌刷新
token是有时效性的,一旦过期就需要重新获取,如果重走一遍授权流程,太过麻烦,一般在颁发令牌token时会一次发两个令牌,一个令牌用来请求API,另一个负责更新令牌refresh_token。grant_type为refresh_token请求为更新令牌,参数
refresh_token是用于更新令牌的令牌。https://wx.com/oauth/token? grant_type=refresh_token& client_id=CLIENT_ID& client_secret=CLIENT_SECRET& refresh_token=REFRESH_TOKEN
