javascript
[认证授权] 2.OAuth2授权(续) amp;amp; JSON Web Token
0. RFC6749還有哪些可以完善的?
0.1. 撤銷Token
在上篇[認證授權] 1.OAuth2授權?中介紹到了OAuth2可以幫我們解決第三方Client訪問受保護資源的問題,但是只提供了如何獲得access_token,并未說明怎么來撤銷一個access_token。關于這部分OAuth2單獨定義了一個RFC7009 - OAuth 2.0 Token Revocation來解決撤銷Token問題。
0.2. Token對Client的不透明問題
OAuth2提供的“access_token"是一個對Client不透明的字符串,盡管有"scope","expires_in"和"refresh_token"來輔助,但也是不完善的且分散的信息。還拿上一篇的小明來舉例,“小明授權在線打印并且包郵的網站訪問自己的QQ空間的相冊”。雙引號里面的這句話其中有4個重要的概念:
授權者小明:表示是小明授權,而不是隔壁老王。
被授權者在線打印并且包郵的網站:表示授權給指定的網站,而不是其他的比如1024.com之類的網站(你懂的。。。)。
小明自己的QQ空間:表示讓被授權者訪問自己的信息,而不是隔壁老王的信息,小明也沒這權限來著,不然隔壁王嬸夜不答應吧。。。
相冊:表示你可以訪問我的相冊,而不是我的日志,我的其他信息。
那么如何得到獲得上面提到的這些附加的信息呢?OAuth2又單獨提供了一個RFC7662 -OAuth 2.0 Token Introspection來解決Token的描述信息不完整的問題。
1. OAuth2 Token 撤銷(RFC7009 - OAuth2 Token Revocation)
簡單來說,這個協議規定了一個Authorization server提供一個怎樣的API來供Client撤銷access_token或者refresh_token。
比如Client發起一個如下的請求:
POST /revoke HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
token=45ghiukldjahdnhzdauz&token_type_hint=refresh_token
其中各項含義如下:
/revoke:是Authorization Server需要提供的API地址,Client使用Post方式請求這個地址。
Content-Type: application/x-www-form-urlencoded:固定此格式。
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW:訪問受保護資源的授權憑證。
token:必選,可以是access_token或者refresh_token的內容。
token_type_hint:可選,表示token的類型,值為”access_token“或者"refresh_token"。
如果撤銷成功,則返回一個HTTP status code為200的響應就可以了。
2. OAuth2 Token 元數據(RFC7662 - OAuth2 Token Introspection)
簡單的總結來說,這個規范是為OAuth2擴展了一個API接口(Introspection Endpoint),讓第三方Client可以查詢上面提到的那些信息(比如,access_token是否還有效,誰頒發的,頒發給誰的,scope又哪些等等的元數據信息)。
比如Client發起一個如下的請求:
POST /introspect HTTP/1.1
Host: server.example.com
Accept: application/json
Content-Type: application/x-www-form-urlencoded
Authorization: Bearer 23410913-abewfq.123483
token=2YotnFZFEjr1zCsicMWpAA&token_type_hint=access_token
?看起來和上面的撤銷Token的請求差不多,其中各項含義如下:
/introspect:是Authorization Server需要提供的API地址,Client使用Post方式請求這個地址。
Accept:application/json:表示Authorization Server需要返回一個JSON格式的數據。
Content-Type: application/x-www-form-urlencoded:固定此格式。
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW:訪問受保護資源的授權憑證。
token:必選,可以是access_token或者refresh_token的內容。
token_type_hint:可選,表示token的類型,值為”access_token“或者"refresh_token"。
如果請求成功,則會返回如下的信息:
{
? ? ? "active": true,
? ? ? "client_id": "l238j323ds-23ij4",
? ? ? "token_type":"access_token",
? ? ? "username": "jdoe",
? ? ? "scope": "read write dolphin",
? ? ? "sub": "Z5O3upPC88QrAjx00dis",
? ? ? "aud": "https://protected.example.net/resource",
? ? ? "iss": "https://server.example.com/",
? ? ? "exp": 1419356238,
? ? ? "iat": 1419350238,
? ? ? "nbf": 1419350238,
? ? ? "jti": "abcdefg"
? ? ? "extension_field": "twenty-seven"
}
JSON各項屬性含義如下(其中有些信息是在JSON Web Token中定義的,參考鏈接有詳細的介紹):
active:必須的。表示token是否還是有效的。
client_id:可選的。表示token所屬的Client。比如上面的在線打印并且包郵的網站。
token_type:可選的。表示token的類型。對應傳遞的token_type_hint。
user_name:可選的。表示token的授權者的名字。比如上面的小明。
scope:可選的。和上篇5.1.1 Authorization Request中的可選參數scope對應,表示授權給Client訪問的范圍,比如是相冊,而不是小明的日志以及其他受保護資源。
sub:可選的。token所屬的資源擁有者的唯一標識,JWT定義的。也就是小明的唯一標識符。
aud:可選的。token頒發給誰的,JWT定義的。
iss:可選的。token的頒發者,JWT定義的。
exp:可選的。token的過期時間,JWT定義的。
iat:可選的。iss頒發token的時間,JWT定義的。
nbf:可選的。token不會在這個時間之前被使用,JWT定義的。
jti:可選的。token的唯一標識,JWT定義的。
extension_field:可以自己擴展相關其他屬性。
其中大量的信息都是可選的信息,而且可以自己擴展需要的屬性信息,從這些屬性中就可以解決我們上面提到的access_token對于Client不透明的問題。
我們注意到其中有很多屬于JWT定義的屬性,那么這個JWT是什么東西?它解決了什么問題?
3. JSON Web Token (JWT)
簡單總結來說,JWT是一個定義一種緊湊的,自描述的并且提供防篡改機制的傳遞數據的方式的標準協議。
我們先來看一個簡單的示例:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Imxpbmlhbmh1aSJ9.hnOfZb95jFwQsYj3qlgFbUu1rKpfTE6AzgXZidEGGTk就是這么一堆看起來像是亂碼一樣的字符串。JWT由3部分構成:header.payload.signature,每個部分由“.”來分割開來。
3.1. Header
header是一個有效的JSON,其中通常包含了兩部分:token類型和加密算法。
{"alg": "HS256","typ": "JWT" }對這個JSON采用base64編碼后就是第1部分eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9。
3.2. Payload
這一部分代表真正想要傳遞的數據,包含一組Claims,其中JWT預定義了一些Claim(2. Token 元數據?這一節就用到一些JWT預定義的一些Cliam)后面會介紹。關于什么是Claim,可以參考文章末尾給的參考鏈接。
{"sub": "1234567890","name": "linianhui" }對這個JSON采用base64編碼后就是第2部分eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Imxpbmlhbmh1aSJ9。
3.3. Signature
這一部分是可選的,由于前面Header和Payload部分是明文的信息,所以這一部分的意義在于保障信息不被篡改用的,生成這部分的方式如下:
HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)使用header中指定的簽名算法對“header.payload”部分進行簽名,得到的第3部分hnOfZb95jFwQsYj3qlgFbUu1rKpfTE6AzgXZidEGGTk。然后組合成一個完整的JWT字符串,而接收方使用同樣的簽名算法來生成簽名,來判斷header和payload部分有沒有被篡改鍋,因為簽名的密鑰是只有通信雙方知道的,所以可以保證這部分信息不被第三方所篡改。
3.4. JWT的一些Claims
JWT規范中預先定義了一些Cliam,但并不是必選的,常用的有:
iss(Issuer簽發者)。
sub(subject簽發給的受眾,在Issuer范圍內是唯一的)。
aud(Audience接收方)。
exp(Expiration Time過期時間)。
iat(Issued At簽發時間)等等。
更完整的一些Claim列表參見:https://www.iana.org/assignments/jwt/jwt.xhtml
如果上面這些仍無法滿足自己的需要,則可以自定義一些來使用。
3.5. JWT 應用場景
由于其采用base64來進行編碼,使得它可以安全的用在一些僅限ASCII的地方傳遞信息,比如URL的querystring中。
比如用戶登陸后,可以把用戶的一些屬性信息(用戶標識,是否是管理員,權限有哪些等等可以公開的信息)用JWT編碼存儲在cookie中,由于其自描述的性質,每次服務器讀取到Cookie的時候就可以解析到當前用戶對應的屬性信息,而不必再次去查詢數據庫。如果Cookie中每次都發送浪費帶寬,也可以用?Authorization: Bearer <jwttoken>?的方式附加到Request上去。
4. OAuth2 & JWT
注意到我們在2. Token 元數據?這一小節中,OAuth2返回Token的元數據的JSON,以及OAuth2中的access_token對Client是不透明的字符串這件事,我們可以把access_token的元數據信息用JWT來編碼以下,作為access_token的字符串內容,這樣是不是就可以使得它對Client是透明的了。
比如我之前遇到的問題,在我使用access_token的時候有沒有過期我并不知道,其實需要借助輔助的“expires_in”來檢查,還有其scope是哪些,也需要額外的去查詢,再比如這個access_token管理的用戶是誰,也需要額外的查詢,有了JWT呢,可以把這些都打包進去,比如:
{
? ? "sub":"linianhui",
? ? "scope":"1419356238",
? ? "exp":123456789,
}
然后生成一個這樣的jwt字符串?eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJsaW5pYW5odWkiLCJzY29wZSI6IjE0MTkzNTYyMzgiLCJleHAiOjEyMzQ1Njc4OX0.ASu85ohHMSOhnxbJSJI4OKLsPlbjPs7th0Xw5-b4l1A?作為access_token的值,感覺一下子就方便了好多吧。
5. 總結
OAuth2在RFC6749中并未完整的提供一些問題的解決方案,而是附加了一些相關的RFC來解決這些問題,其實除了本文中提到的2個問題點之外,還有一些其他可以優化的地方存在,這些點在后續的OIDC的文章中再做介紹吧,感興趣的可以看一看http://openid.net/connect/中關于OAuth2的另外一些相關擴展標準草案,這些標準也是OIDC所需要的一些可選支持。另外在一些場景下,使用JWT來使得OAuth2的提供自描述的Token還是一件很方便的事情的。
以上內容均是個人的一些理解,如果錯誤之處,歡迎指正!
6. 參考
JSON協議:RFC7159 - The JavaScript Object Notation (JSON) Data Interchange Format
OAuth2 擴展協議:
RFC7009 - OAuth 2.0 Token Revocation
RFC7662 - OAuth 2.0 Token Introspection
OAuth相關擴展草案:https://datatracker.ietf.org/wg/oauth/charter/
JWT相關協議族:
RFC7515 - JSON Web Signature (JWS)
RFC7516 - JSON Web Encryption (JWE)
RFC7517 - JSON Web Key (JWK)
RFC7518 - JSON Web Algorithms (JWA)
RFC7519 - JSON Web Token (JWT)
JWT官方站點:https://jwt.io
Claims:https://en.wikipedia.org/wiki/Claims-based_identity
JWT注冊的的一組Claims :?https://www.iana.org/assignments/jwt/jwt.xhtml
相關文章:?
Thinktecture IdentityServer:.NET開源OpenID和OAuth解決方案
教你實踐ASP.NET Core Authorization(免看文檔教程)
雙重OAuth 2.0架構
[認證授權] 1.OAuth2授權
原文地址:http://www.cnblogs.com/linianhui/p/oauth2-extensions-protocol-and-json-web-token.html
.NET社區新聞,深度好文,微信中搜索dotNET跨平臺或掃描二維碼關注
總結
以上是生活随笔為你收集整理的[认证授权] 2.OAuth2授权(续) amp;amp; JSON Web Token的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: EntityFramework Core
- 下一篇: gradle idea java ssm