原文地址:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
OAuth是一個關於授權(authorization)的開放網絡標準,在全世界得到廣泛應用,目前的版本是2.0版。
本文對OAuth 2.0的設計思路和運行流程,做一個簡明通俗的解釋,主要參考材料爲RFC 6749。
一、應用場景
爲了理解OAuth的適用場合,讓我舉一個假設的例子。
有一個"雲沖印"的網站,可以將用戶儲存在Google的照片,衝印出來。用戶爲了使用該服務,必須讓"雲沖印"讀取自己儲存在Google上的照片。
問題是隻有得到用戶的授權,Google纔會同意"雲沖印"讀取這些照片。那麼,"雲沖印"怎樣獲得用戶的授權呢?
傳統方法是,用戶將自己的Google用戶名和密碼,告訴"雲沖印",後者就可以讀取用戶的照片了。這樣的做法有以下幾個嚴重的缺點。
(1)"雲沖印"爲了後續的服務,會保存用戶的密碼,這樣很不安全。
(2)Google不得不部署密碼登錄,而我們知道,單純的密碼登錄並不安全。
(3)"雲沖印"擁有了獲取用戶儲存在Google所有資料的權力,用戶沒法限制"雲沖印"獲得授權的範圍和有效期。
(4)用戶只有修改密碼,才能收回賦予"雲沖印"的權力。但是這樣做,會使得其他所有獲得用戶授權的第三方應用程序全部失效。
(5)只要有一個第三方應用程序被破解,就會導致用戶密碼泄漏,以及所有被密碼保護的數據泄漏。
OAuth就是爲了解決上面這些問題而誕生的。
二、名詞定義
在詳細講解OAuth 2.0之前,需要了解幾個專用名詞。它們對讀懂後面的講解,尤其是幾張圖,至關重要。
(1) Third-party application:第三方應用程序,本文中又稱"客戶端"(client),即上一節例子中的"雲沖印"。
(2)HTTP service:HTTP服務提供商,本文中簡稱"服務提供商",即上一節例子中的Google。
(3)Resource Owner:資源所有者,本文中又稱"用戶"(user)。
(4)User Agent:用戶代理,本文中就是指瀏覽器。
(5)Authorization server:認證服務器,即服務提供商專門用來處理認證的服務器。
(6)Resource server:資源服務器,即服務提供商存放用戶生成的資源的服務器。它與認證服務器,可以是同一臺服務器,也可以是不同的服務器。
知道了上面這些名詞,就不難理解,OAuth的作用就是讓"客戶端"安全可控地獲取"用戶"的授權,與"服務商提供商"進行互動。
三、OAuth的思路
OAuth在"客戶端"與"服務提供商"之間,設置了一個授權層(authorization layer)。"客戶端"不能直接登錄"服務提供商",只能登錄授權層,以此將用戶與客戶端區分開來。"客戶端"登錄授權層所用的令牌(token),與用戶的密碼不同。用戶可以在登錄的時候,指定授權層令牌的權限範圍和有效期。
"客戶端"登錄授權層以後,"服務提供商"根據令牌的權限範圍和有效期,向"客戶端"開放用戶儲存的資料。
四、運行流程
OAuth 2.0的運行流程如下圖,摘自RFC 6749。
(A)用戶打開客戶端以後,客戶端要求用戶給予授權。
(B)用戶同意給予客戶端授權。
(C)客戶端使用上一步獲得的授權,向認證服務器申請令牌。
(D)認證服務器對客戶端進行認證以後,確認無誤,同意發放令牌。
(E)客戶端使用令牌,向資源服務器申請獲取資源。
(F)資源服務器確認令牌無誤,同意向客戶端開放資源。
不難看出來,上面六個步驟之中,B是關鍵,即用戶怎樣才能給於客戶端授權。有了這個授權以後,客戶端就可以獲取令牌,進而憑令牌獲取資源。
下面一一講解客戶端獲取授權的四種模式。
五、客戶端的授權模式
客戶端必須得到用戶的授權(authorization grant),才能獲得令牌(access token)。OAuth 2.0定義了四種授權方式。
- 授權碼模式(authorization code)
- 簡化模式(implicit)
- 密碼模式(resource owner password credentials)
- 客戶端模式(client credentials)
六、授權碼模式
授權碼模式(authorization code)是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端的後臺服務器,與"服務提供商"的認證服務器進行互動。
它的步驟如下:
(A)用戶訪問客戶端,後者將前者導向認證服務器。
(B)用戶選擇是否給予客戶端授權。
(C)假設用戶給予授權,認證服務器將用戶導向客戶端事先指定的"重定向URI"(redirection URI),同時附上一個授權碼。
(D)客戶端收到授權碼,附上早先的"重定向URI",向認證服務器申請令牌。這一步是在客戶端的後臺的服務器上完成的,對用戶不可見。
(E)認證服務器覈對了授權碼和重定向URI,確認無誤後,向客戶端發送訪問令牌(access token)和更新令牌(refresh token)。
下面是上面這些步驟所需要的參數。
A步驟中,客戶端申請認證的URI,包含以下參數:
- response_type:表示授權類型,必選項,此處的值固定爲"code"
- client_id:表示客戶端的ID,必選項
- redirect_uri:表示重定向URI,可選項
- scope:表示申請的權限範圍,可選項
- state:表示客戶端的當前狀態,可以指定任意值,認證服務器會原封不動地返回這個值。
下面是一個例子。
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1 Host: server.example.com
C步驟中,服務器迴應客戶端的URI,包含以下參數:
- code:表示授權碼,必選項。該碼的有效期應該很短,通常設爲10分鐘,客戶端只能使用該碼一次,否則會被授權服務器拒絕。該碼與客戶端ID和重定向URI,是一一對應關係。
- state:如果客戶端的請求中包含這個參數,認證服務器的迴應也必須一模一樣包含這個參數。
下面是一個例子。
HTTP/1.1 302 Found Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA &state=xyz
D步驟中,客戶端向認證服務器申請令牌的HTTP請求,包含以下參數:
- grant_type:表示使用的授權模式,必選項,此處的值固定爲"authorization_code"。
- code:表示上一步獲得的授權碼,必選項。
- redirect_uri:表示重定向URI,必選項,且必須與A步驟中的該參數值保持一致。
- client_id:表示客戶端ID,必選項。
下面是一個例子。
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
E步驟中,認證服務器發送的HTTP回覆,包含以下參數:
- access_token:表示訪問令牌,必選項。
- token_type:表示令牌類型,該值大小寫不敏感,必選項,可以是bearer類型或mac類型。
- expires_in:表示過期時間,單位爲秒。如果省略該參數,必須其他方式設置過期時間。
- refresh_token:表示更新令牌,用來獲取下一次的訪問令牌,可選項。
- scope:表示權限範圍,如果與客戶端申請的範圍一致,此項可省略。
下面是一個例子。
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" }
從上面代碼可以看到,相關參數使用JSON格式發送(Content-Type: application/json)。此外,HTTP頭信息中明確指定不得緩存。
七、簡化模式
簡化模式(implicit grant type)不通過第三方應用程序的服務器,直接在瀏覽器中向認證服務器申請令牌,跳過了"授權碼"這個步驟,因此得名。所有步驟在瀏覽器中完成,令牌對訪問者是可見的,且客戶端不需要認證。
它的步驟如下:
(A)客戶端將用戶導向認證服務器。
(B)用戶決定是否給於客戶端授權。
(C)假設用戶給予授權,認證服務器將用戶導向客戶端指定的"重定向URI",並在URI的Hash部分包含了訪問令牌。
(D)瀏覽器向資源服務器發出請求,其中不包括上一步收到的Hash值。
(E)資源服務器返回一個網頁,其中包含的代碼可以獲取Hash值中的令牌。
(F)瀏覽器執行上一步獲得的腳本,提取出令牌。
(G)瀏覽器將令牌發給客戶端。
下面是上面這些步驟所需要的參數。
A步驟中,客戶端發出的HTTP請求,包含以下參數:
- response_type:表示授權類型,此處的值固定爲"token",必選項。
- client_id:表示客戶端的ID,必選項。
- redirect_uri:表示重定向的URI,可選項。
- scope:表示權限範圍,可選項。
- state:表示客戶端的當前狀態,可以指定任意值,認證服務器會原封不動地返回這個值。
下面是一個例子。
GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1 Host: server.example.com
C步驟中,認證服務器迴應客戶端的URI,包含以下參數:
- access_token:表示訪問令牌,必選項。
- token_type:表示令牌類型,該值大小寫不敏感,必選項。
- expires_in:表示過期時間,單位爲秒。如果省略該參數,必須其他方式設置過期時間。
- scope:表示權限範圍,如果與客戶端申請的範圍一致,此項可省略。
- state:如果客戶端的請求中包含這個參數,認證服務器的迴應也必須一模一樣包含這個參數。
下面是一個例子。
HTTP/1.1 302 Found Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA &state=xyz&token_type=example&expires_in=3600
在上面的例子中,認證服務器用HTTP頭信息的Location欄,指定瀏覽器重定向的網址。注意,在這個網址的Hash部分包含了令牌。
根據上面的D步驟,下一步瀏覽器會訪問Location指定的網址,但是Hash部分不會發送。接下來的E步驟,服務提供商的資源服務器發送過來的代碼,會提取出Hash中的令牌。
八、密碼模式
密碼模式(Resource Owner Password Credentials Grant)中,用戶向客戶端提供自己的用戶名和密碼。客戶端使用這些信息,向"服務商提供商"索要授權。
在這種模式中,用戶必須把自己的密碼給客戶端,但是客戶端不得儲存密碼。這通常用在用戶對客戶端高度信任的情況下,比如客戶端是操作系統的一部分,或者由一個著名公司出品。而認證服務器只有在其他授權模式無法執行的情況下,才能考慮使用這種模式。
它的步驟如下:
(A)用戶向客戶端提供用戶名和密碼。
(B)客戶端將用戶名和密碼發給認證服務器,向後者請求令牌。
(C)認證服務器確認無誤後,向客戶端提供訪問令牌。
B步驟中,客戶端發出的HTTP請求,包含以下參數:
- grant_type:表示授權類型,此處的值固定爲"password",必選項。
- username:表示用戶名,必選項。
- password:表示用戶的密碼,必選項。
- scope:表示權限範圍,可選項。
下面是一個例子。
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=password&username=johndoe&password=A3ddj3w
C步驟中,認證服務器向客戶端發送訪問令牌,下面是一個例子。
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" }
上面代碼中,各個參數的含義參見《授權碼模式》一節。
整個過程中,客戶端不得保存用戶的密碼。
九、客戶端模式
客戶端模式(Client Credentials Grant)指客戶端以自己的名義,而不是以用戶的名義,向"服務提供商"進行認證。嚴格地說,客戶端模式並不屬於OAuth框架所要解決的問題。在這種模式中,用戶直接向客戶端註冊,客戶端以自己的名義要求"服務提供商"提供服務,其實不存在授權問題。
它的步驟如下:
(A)客戶端向認證服務器進行身份認證,並要求一個訪問令牌。
(B)認證服務器確認無誤後,向客戶端提供訪問令牌。
A步驟中,客戶端發出的HTTP請求,包含以下參數:
- granttype:表示授權類型,此處的值固定爲"clientcredentials",必選項。
- scope:表示權限範圍,可選項。
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=client_credentials
認證服務器必須以某種方式,驗證客戶端身份。
B步驟中,認證服務器向客戶端發送訪問令牌,下面是一個例子。
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"example", "expires_in":3600, "example_parameter":"example_value" }
上面代碼中,各個參數的含義參見《授權碼模式》一節。
十、更新令牌
如果用戶訪問的時候,客戶端的"訪問令牌"已經過期,則需要使用"更新令牌"申請一個新的訪問令牌。
客戶端發出更新令牌的HTTP請求,包含以下參數:
- granttype:表示使用的授權模式,此處的值固定爲"refreshtoken",必選項。
- refresh_token:表示早前收到的更新令牌,必選項。
- scope:表示申請的授權範圍,不可以超出上一次申請的範圍,如果省略該參數,則表示與上一次一致。
下面是一個例子。
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
(完)
周夢康 說:
阮老師的文章都是精品,真正做到深入淺出。
2014年5月12日 22:10 | 檔案 | 引用
hutusi 說:
留名,慢慢看~
2014年5月12日 22:58 | 檔案 | 引用
chility 說:
今天培訓老師講了這部分,恰好阮老師寫了這篇文章介紹,加深理解。
2014年5月13日 00:31 | 檔案 | 引用
phi 說:
那什麼,沒看懂。能不能用位圖。ASCII圖看的很不習慣。謝謝
2014年5月13日 01:24 | 檔案 | 引用
WhatDoesTheFoxSay 說:
授權碼模式這部分中的“E步驟中,客戶端發送的HTTP回覆,包含以下參數“這句話,是否應爲”認證服務器發送的HTTP回覆“?
2014年5月13日 05:00 | 檔案 | 引用
Charles 說:
本文關於state參數的解釋,是語焉不詳的。事實上,絕大多數的互聯網中文文檔對這個參數都語焉不詳。我想,對於造成近期互聯網上危害廣泛的OAuth漏洞來說,衆多中文技術資料對這個參數解釋不到位,對這個參數的實現沒有給出清晰的指導,也是成因的一部分。原文是這麼說的:RECOMMENDED. An opaque value used by the client to maintain state between the request and callback. The authorization server includes this value when redirecting the user-agent back to the client. The parameter SHOULD be used for preventing cross-site request forgery as described in Section 10.12.如果阮老師只是翻譯爲什麼“客戶端狀態”之類的話,還有什麼“可以隨便填”,這算不上一種到位的解釋。首先,這個參數是“RECOMMENDED”,並非什麼可有可無的東西,事實是很多廠商都實現成了可有可無,其次,這個參數是“SHOULD”,爲啥“SHOULD”呢,因爲會引發“CSRF”。
2014年5月13日 07:41 | 檔案 | 引用
阮一峯 說:
謝謝指出,已經改過來了。
2014年5月13日 08:44 | 檔案 | 引用
Tonni 說:
阮兄的博客又更新了,前幾天買的《黑客與畫家》昨天到了,很不錯的書。
2014年5月13日 09:05 | 檔案 | 引用
YG 說:
看了這麼多OAuth的文章,阮老師的這篇是最好懂的,拜讀了
2014年5月14日 08:19 | 檔案 | 引用
M16 說:
說白了oauth就是一個網絡版的usbkey
2014年5月17日 13:50 | 檔案 | 引用
洋子 說:
支付寶鏈接已失效
2014年5月18日 22:56 | 檔案 | 引用
Nicole 說:
非常感謝老師的分享,收益了。。
2014年5月20日 09:13 | 檔案 | 引用
匆匆過客 說:
仔細一看,確實,如果state項不用動態數據的話會存在CSRF漏洞
2014年5月20日 09:39 | 檔案 | 引用
smilexu 說:
(E)客戶端使用令牌,向資源服務器申請獲取資源。
令牌就可以?整個過程都沒有用戶名和密碼的獲得,那資源服務器又是如何確認用戶的?
2014年5月21日 12:01 | 檔案 | 引用
萬文婷 說:
我是比較文學與世界文學的碩士生,希望您能聯繫我,探討一下卡爾維諾。
2014年5月21日 16:19 | 檔案 | 引用
niannian 說:
授權碼模式中,D步驟,文中說client_id是必選項,但是隨後的例子中沒有這項
2014年5月23日 14:12 | 檔案 | 引用
spojus 說:
收款主頁下線啦
2014年5月24日 23:01 | 檔案 | 引用
loddit 說:
同ls的niannian
另外 granttype authorizationcode 都沒加 _ 下劃線
2014年5月24日 23:20 | 檔案 | 引用
Ike 說:
話說,RFC本來就是純文字檔案,這樣的圖其實看了很親切。。。
2014年5月25日 16:14 | 檔案 | 引用
rhgb 說:
2014年6月 7日 16:47 | 檔案 | 引用
king 說:
如果客戶端做一個假的驗證授權頁面,來套取用戶,用戶名和密碼,是有可能的吧?
2014年6月12日 11:30 | 檔案 | 引用
jucelin 說:
我也有此疑問。weibo.com提供的都提示"請認準本頁URL地址必須以 api.weibo.com 開頭",這提示基本上沒用。
2014年6月16日 20:41 | 檔案 | 引用
mll 說:
協議中的 SHOULD,應該等同於 MUST 來對待。
2014年6月19日 17:25 | 檔案 | 引用
sjh 說:
工商銀行的網銀在開通時要求用戶自己說一句話,每次使用網銀付款時網站會向用戶出示這句話以證明網站的合法性。這個感覺要好些吧~
2014年7月18日 17:27 | 檔案 | 引用
lvqiuyi 說:
有兩點不太明白
1.授權碼授權裏,爲什麼要兩次傳遞重定向url呢?有什麼好處?
2.D步驟裏,傳遞的參數有Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW,什麼作用呢?
2014年8月 5日 11:24 | 檔案 | 引用
lvqiuyi 說:
懂了,Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW,應該是對於應用client的授權認證,這樣就相當於有兩層保護,一層是認證客戶端,一層是認證用戶,不過basic的加密方式,是不是不太安全呢?
2014年8月 5日 14:44 | 檔案 | 引用
suolaiwo 說:
請問一下,授權碼code,其作用是什麼?
2014年9月 8日 14:29 | 檔案 | 引用
guest 說:
本質的作用是避免Access Token通過URL返回,有篇視頻講這個比較詳細《[開放平臺]一步一步理解OAuth2協議-全網首發》
http://edu.51cto.com/index.php?do=course&m=addlession&course_id=2035
2014年9月16日 14:30 | 檔案 | 引用
zhiwen 說:
請問你這個是使用什麼框架實現的OAuth的相關服務器端的?
2014年9月18日 13:55 | 檔案 | 引用
陳偉 說:
正在學習OAuth2,寫得太好了!非常容易理解!
2014年10月21日 16:57 | 檔案 | 引用
hebidu 說:
我想知道 如何 生成access_token ,refresh_token 。
2014年10月22日 12:45 | 檔案 | 引用
James 說:
生成access_token ,refresh_token 很簡單,取一唯一的隨機信息再做BASE64編碼即可,它本身不包含任何有效信息的;服務端把它和用戶受權關聯以校驗其受權的有效性.