本章内容
什么是OAuth2
OAuth2角色有哪些
OAuth2授权流程
OAuth2授权模式
什么是OAuth2
Auth2是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无须将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务器提供者的数据。每一个令牌授权一个特定的网站在特定的时间段内访问特定的资源。这样,OAuth让用户可以授权第三方网站灵活访问储蓄在另一台服务器上的资源信息,而非所有内容。例如,用户想通过QQ登录头条,这时头条就是一个第三方应用,头条要访问用户的一些基本信息就需要得到用户的授权,如果用户把自己的QQ用户名和密码告诉头条,那么头条就能访间用户的所有数据,并且只有用户修改密码才能收回授权,这种授权方式安全隐患很大,如果使用 OAuth,就能很好地解决这一问题。
采用令牌的方式可以让用户灵活地对第三方应用授权或者收回权限。 OAuth2是 OAuth协议的下一版本,但不向下兼容 OAuth1.0。 OAuth2关注客户端开发者的简易性,同时为Web应用、桌面应用、移动设备、起居室设备提供专门的认证流程。传统的Web开发登录认证一般都是基于Session的,但是在前后端分离的架构中继续使用 Session会有许多不便,因为移动端( Android、ios、微信小程序等)要么不支持 Cookie(微信小程序),要么使用非常不便,对于这些问题,使用 OAuth2认证都能解决。
OAuth2角色
要了解 OAuth2,需要先了解 OAuth2中几个基本的角色。
资源所有者:资源所有者即用户,具有头像、照片、视频等资源。
客户端:客户端即代表意图访问受限资源的第三方应用。在访问实现之前,它必须先经过用户者授权,并且获得的授权凭证将进一步由授权服务器进行验证
授权服务器:授权服务器用来验证用户提供的信息是否正确,并返回一个令牌给第三方应用。
资源服务器:资源服务器是提供给用户资源的服务器,例如头像、照片、视频等。
一般来说,授权服务器和资源服务器可以是同一台服务器。
OAuth2授权过程
授权流程到底是怎么样的呢?我们一起来看下面这图。
步骤一:客户端向用户请求授权。
步骤二:用户单击客户端所呈现的服务授权页面上的同意授权按钮后,服务端返回一个授权
许可凭证给客户端。
步骤三:客户端拿着授权许可凭证去授权服务器申请令牌。
步骤四:授权服务器验证信息无误后,发放令牌给客户端。
步骤五:客户端拿着令牌去资源服务器访问资源。
步骤六:资源服务器验证令牌无误后开放资源。
授权模式
OAuth协议的授权模式共分为4种。
1,授权码模式:授权码模式是功能最完整、流程最严谨的授权模式。它的特点就是通过客户端的服务器与授权服务器进行交互,国内常见的第三方平台登录功能基本都是使用这种模式。
2,简化模式:简化模式不需要客户端服务器参与,直接在浏览器中向授权服务器申请令牌,一般若网站是纯静态页面,则可以采用这种方式。
3,密码模式:密码模式是用戶把用户名密码直接告诉客户端,客户端使用这些信息向授权服务
器申请令牌。这需要用户对客户端高度信任,例如客户端应用和服务提供商是同一家公司。
4,客户端模式:客户端模式是指客户端使用自己的名义而不是用户的名义向服务器提供者申请授权。严格意义上来说,客户端模式不能算作OAuth协议要解决的问题的一种解决方案。但是,对于开发人员而言,在一些前后端分离应用或者移动端提供的认证授权服务器上使用这种模式还是比较方便的。
小结:这四种模式各有特色,分别适用于不同的开发场景,开发者需要根据实际情况进行选择。
最后,希望通过本次分享,大家对OAuth有了一个新的认识,对SpringBoot安全管理有一定的认知。如果大家想学什么IT方面的知识,欢迎留言,谢谢大家。
参考书籍:SpringBoot+Vue全栈开发实战
