greatbody
/
freeCodeCamp
mirror of https://github.com/freeCodeCamp/freeCodeCamp.git
1
0
Fork 0
Code Issues Projects Releases Wiki Activity
freeCodeCamp/guide/chinese/security/oauth2/index.md

6.1 KiB
Raw Blame History

title localeTitle
OAuth2 Protocol OAuth2协议

OAuth 2.0

OAuth 2.0是一种行业标准授权协议,它使第三方应用程序能够代表资源所有者(系统用户)有限地访问资源

OAuth广泛应用于GoogleFacebookSlack等许多主要互联网公司

目录

  • 基础知识
  • 协议流程
  • 授权授权类型
  • 参考

基础知识

角色

  • 资源所有者 使用产品或服务的人例如您是Google帐户中的资源所有者
  • 资源服务器 服务器托管客户受保护的数据例如托管电子邮件的Gmail
  • 客户 应用程序请求访问资源服务器中的数据
  • 授权服务器 处理授权请求的服务器,向请求客户端发出访问令牌。此服务器可以与资源服务器相同,也可以是单独的服务器

令牌

OAuth 2.0中定义了两种类型的令牌

  • 访问令牌 访问令牌是OAuth的关键部分因为它允许从任何拥有此令牌的应用程序访问用户数据。此令牌具有由授权服务器定义的有限生命周期。
  • 刷新令牌 此令牌作为访问令牌的一部分发布,因为访问令牌的生命周期有限,有时客户端应用程序需要访问用户数据更长时间(例如:集成服务),在这种情况下,客户端应用程序可以请求刷新令牌,这允许它们更新访问令牌以获得需要重新授权用户的新版本。

访问令牌范围

客户端授权请求中的scope参数允许客户端应用程序指定他们想要访问的资源或数据类型可用范围由授权服务器确定一旦授权请求的范围附加到访问令牌给定访问令牌限制访问用户数据而不是完全访问权限。

协议流程

OAuth2协议流程

授权授权类型

OAuth2定义了4种类型的授权以根据客户端的性质获取访问令牌。

  • 授权码
  • 隐含流动
  • 资源所有者凭据
  • 客户端凭据

授权代码授予

客户性质:

能够安全存储客户端密钥通常是Web服务器的客户端可以使用此授权进行授权。这还允许通过刷新令牌的帮助获得长期访问令牌。

例如Web应用程序请求访问Google帐户用户的信息

摘要流程

授权代码流程

代码示例:

授权请求

GET /oauth2/authorize?response_type=code 
 &client_id=client123&scope=profile 
 &redirect_uri=https://client.com/callback HTTP/1.1 
 Host: auth.server.com 

HTTP/1.1 302 Found 
 Location: https://client.com/callback#code=sb8s6doy9bsd9sd&state=abcde

发布接收授权代码,用代码向授权服务器发出请求,

POST /oauth2/token HTTP/1.1 
 Host: auth.server.com 
 Content-Type: application/x-www-form-urlencoded 
 
 grant_type=authorization_code 
 &code=sb8s6doy9bsd9sd 
 &redirect_uri=https://client.com/callback 
 &client_id=client123 
 &client_secret=secret 
 &scope=profile

响应

HTTP/1.1 200 OK 
 Content-Type: application/json;charset=UTF-8 
 Cache-Control: no-store 
 Pragma: no-cache 
 { 
  "access_token":"gsi8d6fosb9d6fos6df", 
  "token_type":"bearer", 
  "expires_in":3600 
 }

隐含流动

客户性质:

在浏览器中运行的客户端应用程序通常是前端应用程序例如SPA。此Grant不会发出刷新令牌。

例如在浏览器中运行的前端javascript应用程序

摘要流程:

授权代码流程

代码示例:

GET /oauth2/authorize?response_type=token 
 &client_id=client123 
 &redirect_uri=https://client.com/callback HTTP/1.1 
 Host: auth.server.com 

HTTP/1.1 302 Found 
 Location: https://client.com/callback#access_token=98y2b38&token_type=bearer&expires_in=3600&state=abcde

资源所有者凭据

客户性质:

在此流程中,资源所有者与客户端共享其凭据(密码),然后与授权服务器共享,因此当它们是客户端应用程序和授权服务器之间的绝对信任时,将使用此授权。因此,第三方客户端应用程序通常不允许此流程。

例如使用此流程的Facebook移动应用程序通过Facebook Server进行授权

摘要流程:

资源所有者凭据

代码示例:

POST /oauth2/token HTTP/1.1 
 Host: auth.server.com 
 Content-Type: application/x-www-form-urlencoded 
 
 grant_type=password 
 &username=john 
 &password=abcde

客户端凭据流

客户性质:

当客户端本身是资源所有者时(即客户端想要访问其使用限制或与其相关的信息),将使用此类授权。此流程中没有最终用户授权。

例如:客户端应用程序从谷歌服务器请求非用户数据(例如:时区,地图等)

摘要流程:

客户端凭据

代码示例:

POST /oauth2/token HTTP/1.1 
 Host: auth.server.com 
 Content-Type: application/x-www-form-urlencoded 
 
 grant_type=client_credentials 
 &client_id=client123 
 &client_secret=xyz123

参考

有关更多阅读,请参阅