在OAuth2.0中，OAuth2.0 provider負(fù)責(zé)保護(hù)暴露在外的資源，第三方應(yīng)用客戶端Client可以獨(dú)立的或代表用戶Owner來(lái)訪問(wèn)這些受保護(hù)的資源，provider提供token令牌的管理和驗(yàn)證來(lái)實(shí)現(xiàn)此功能，還必須提供一個(gè)授權(quán)確認(rèn)頁(yè)面，讓用戶Owner確認(rèn)第三方Client是否可以訪問(wèn)這些受保護(hù)的資源 。

令牌相較與密碼，有這些優(yōu)勢(shì)：1.令牌是短期的，到期會(huì)自動(dòng)失效 2.令牌可以被數(shù)據(jù)所有者撤銷，會(huì)立即失效 3.令牌有權(quán)限范圍（scope）。

關(guān)于OAuth可以關(guān)注 阮一峰講OAuth和江南一點(diǎn)雨講解OAuth

OAuth非常好的一點(diǎn)就是考慮了實(shí)際應(yīng)用中的復(fù)雜場(chǎng)景，總結(jié)了四種授權(quán)方式（authorization grant ）：

• 授權(quán)碼（authorization-code）
• 隱藏式（implicit）
• 密碼式（password）
• 客戶端憑證（client credentials）

注意，不管哪一種授權(quán)方式，第三方應(yīng)用都必須先到系統(tǒng)申請(qǐng)客戶端 ID（client ID）和客戶端密鑰（client secret），還要填寫(xiě)redirect_url。這是為了防止令牌被濫用，沒(méi)有備案過(guò)的第三方應(yīng)用，是不會(huì)拿到令牌的。

授權(quán)碼模式

授權(quán)碼（authorization code）方式，指的是第三方應(yīng)用先申請(qǐng)一個(gè)授權(quán)碼，然后再用該碼獲取令牌。

這種方式是最常用的流程，安全性也最高，它適用于那些有后端的 Web 應(yīng)用。授權(quán)碼通過(guò)前端傳送，令牌則是儲(chǔ)存在后端，而且所有與資源服務(wù)器的通信都在后端完成。這樣的前后端分離，可以避免令牌泄漏。

第一步：A 網(wǎng)站提供一個(gè)鏈接，用戶點(diǎn)擊后就會(huì)跳轉(zhuǎn)到 B 網(wǎng)站，授權(quán)用戶數(shù)據(jù)給 A 網(wǎng)站使用。下面就是 A 網(wǎng)站跳轉(zhuǎn) B 網(wǎng)站的一個(gè)示意鏈接

Get http://localhost:8080/oauth/authorize?response_type=code&client_id=client_2&redirect_uri=http://www.baidu.com&scope=select

第二步：跳轉(zhuǎn)后，B 網(wǎng)站會(huì)要求用戶登錄，然后詢問(wèn)是否同意給予 A 網(wǎng)站授權(quán)。用戶表示同意，這時(shí) B 網(wǎng)站就會(huì)跳回redirect_uri參數(shù)指定的網(wǎng)址。跳轉(zhuǎn)時(shí)，會(huì)傳回一個(gè)授權(quán)碼。`

https://www.baidu.com/?code=cDG0IN

第三步：A 網(wǎng)站拿到授權(quán)碼以后，就可以在后端，向 B 網(wǎng)站請(qǐng)求令牌

POST http://localhost:8080/oauth/token?client_id=client_2&client_secret=123456&grant_type=authorization_code&code=cDG0IN&redirect_uri=http://www.baidu.com

第四步：B 網(wǎng)站收到請(qǐng)求以后，就會(huì)頒發(fā)令牌

{ "access_token":"ACCESS_TOKEN","token_type":"bearer","expires_in":2592000,"refresh_token":"REFRESH_TOKEN","scope":"read","uid":100101,"info":{...} }

根據(jù)access_token即可訪問(wèn)資源服務(wù)器里的內(nèi)容

GET http://localhost:8081/openApi/order/1 Accept: application/json Authorization: bearer access_token

隱藏式

有些 Web 應(yīng)用是純前端應(yīng)用，沒(méi)有后端。這時(shí)就不能用上面的方式了，必須將令牌儲(chǔ)存在前端。RFC 6749 就規(guī)定了第二種方式，允許直接向前端頒發(fā)令牌。這種方式?jīng)]有授權(quán)碼這個(gè)中間步驟，所以稱為（授權(quán)碼）“隱藏式”（implicit）。

第一步，A 網(wǎng)站提供一個(gè)鏈接，要求用戶跳轉(zhuǎn)到 B 網(wǎng)站，授權(quán)用戶數(shù)據(jù)給 A 網(wǎng)站使用。

https://b.com/oauth/authorize?response_type=token&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read

第二步，用戶跳轉(zhuǎn)到 B 網(wǎng)站，登錄后同意給予 A 網(wǎng)站授權(quán)。這時(shí)，B 網(wǎng)站就會(huì)跳回redirect_uri參數(shù)指定的跳轉(zhuǎn)網(wǎng)址，并且把令牌作為 URL 參數(shù)，傳給 A 網(wǎng)站

https://a.com/callback#token=ACCESS_TOKEN

注意，令牌的位置是 URL 錨點(diǎn)（fragment），而不是查詢字符串（querystring），這是因?yàn)?OAuth 2.0 允許跳轉(zhuǎn)網(wǎng)址是 HTTP 協(xié)議，因此存在"中間人攻擊"的風(fēng)險(xiǎn)，而瀏覽器跳轉(zhuǎn)時(shí)，錨點(diǎn)不會(huì)發(fā)到服務(wù)器，就減少了泄漏令牌的風(fēng)險(xiǎn)。

這種方式把令牌直接傳給前端，是很不安全的。因此，只能用于一些安全要求不高的場(chǎng)景，并且令牌的有效期必須非常短，通常就是會(huì)話期間（session）有效，瀏覽器關(guān)掉，令牌就失效了

密碼式

用戶把用戶名和密碼，直接告訴該應(yīng)用。該應(yīng)用就使用你的密碼，申請(qǐng)令牌，這種方式稱為"密碼式"（password）。這種方式需要用戶給出自己的用戶名/密碼，顯然風(fēng)險(xiǎn)很大，因此只適用于其他授權(quán)方式都無(wú)法采用的情況，而且必須是用戶高度信任的應(yīng)用。
第一步，A 網(wǎng)站要求用戶提供 B 網(wǎng)站的用戶名和密碼。拿到以后，A 就直接向 B 請(qǐng)求令牌

https://oauth.b.com/token?grant_type=password&username=USERNAME&password=PASSWORD&client_id=CLIENT_ID

第二步，B 網(wǎng)站驗(yàn)證身份通過(guò)后，直接給出令牌。注意，這時(shí)不需要跳轉(zhuǎn)，而是把令牌放在 JSON 數(shù)據(jù)里面，作為 HTTP 回應(yīng)，A 因此拿到令牌。

憑證式

憑證式（client credentials），適用于沒(méi)有前端的命令行應(yīng)用，即在命令行下請(qǐng)求令牌。這種方式給出的令牌，是針對(duì)第三方應(yīng)用的，而不是針對(duì)用戶的，即有可能多個(gè)用戶共享同一個(gè)令牌

第一步，A 應(yīng)用在命令行向 B 發(fā)出請(qǐng)求

https://oauth.b.com/token?grant_type=client_credentials&client_id=CLIENT_ID&client_secret=CLIENT_SECRET

上面 URL 中，grant_type參數(shù)等于client_credentials表示采用憑證式，client_id和client_secret用來(lái)讓 B 確認(rèn) A 的身份。

第二步，B 網(wǎng)站驗(yàn)證通過(guò)以后，直接返回令牌。

令牌的使用

A 網(wǎng)站拿到令牌以后，就可以向 B 網(wǎng)站的 API 請(qǐng)求數(shù)據(jù)了。

此時(shí)，每個(gè)發(fā)到 API 的請(qǐng)求，都必須帶有令牌。具體做法是在請(qǐng)求的頭信息，加上一個(gè)Authorization字段，令牌就放在這個(gè)字段里面。

curl -H "Authorization: Bearer ACCESS_TOKEN" \ "https://api.b.com"

上面命令中，ACCESS_TOKEN就是拿到的令牌。

令牌的有效期到了，如果讓用戶重新走一遍上面的流程，再申請(qǐng)一個(gè)新的令牌，很可能體驗(yàn)不好，而且也沒(méi)有必要。OAuth 2.0 允許用戶自動(dòng)更新令牌。

具體方法是，B 網(wǎng)站頒發(fā)令牌的時(shí)候，一次性頒發(fā)兩個(gè)令牌，一個(gè)用于獲取數(shù)據(jù)，另一個(gè)用于獲取新的令牌（refresh token 字段）。令牌到期前，用戶使用 refresh token 發(fā)一個(gè)請(qǐng)求，去更新令牌。

https://b.com/oauth/token?grant_type=refresh_token&client_id=CLIENT_ID&client_secret=CLIENT_SECRET&refresh_token=REFRESH_TOKEN

上面 URL 中，grant_type參數(shù)為refresh_token表示要求更新令牌，client_id參數(shù)和client_secret參數(shù)用于確認(rèn)身份，refresh_token參數(shù)就是用于更新令牌的令牌。

B 網(wǎng)站驗(yàn)證通過(guò)以后，就會(huì)頒發(fā)新的令牌。

總結(jié)

以上是生活随笔為你收集整理的OAuth2.0的四种授权方式的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。