OAuth 2.0 概念及授权流程梳理

OAuth2 的概念

OAuth是一个关于授权的开放网络标准，OAuth2是其2.0版本。

它规定了四种操作流程（授权模式）来确保安全

应用场景有第三方应用的接入、微服务鉴权互信、接入第三方平台、第一方密码登录等

Java王国中Spring Security也对OAuth2标准进行了实现。

OAuth2授权模式

OAuth2定义了四种授权模式（授权流程）来对资源的访问进行控制

• 授权码模式（Authorization Code Grant）
• 隐式授权模式（Implicit Grant）
• 用户名密码模式（Resource Owner Password Credentials Grant）
• 客户端模式（Client Credentials Grant）

无论哪个模式（流程）都拥有三个必要角色:客户端、授权服务器、资源服务器，有的还有用户（资源拥有者），下面简单介绍下授权流程

授权码模式（Authorization Code Grant）

授权码模式是OAuth2目前最安全最复杂的授权流程，先放一张图，稍做解释

如上图，我们可以看到此流程可大致分为三大部分

• Client Side：用户+客户端与授权服务器的交互
• Server Side：客户端与授权服务器之间的交互
• Check Access Token：客户端与资源服务器之间的交互 + 资源服务器与授权服务器之间的交互

整体上来说，可以用一句话概括授权码模式授权流程

客户端换取授权码，客户端使用授权码换token，客户端使用token访问资源

接下来对这三部分进行一些说明 ：

前提条件：

• 第三方客户端需要提前与资源拥有方（同时也是授权所有方）协商客户端id（client_id），客户端密钥（client_secret）
• 文中暂时未将scope、state等依赖具体框架的内容写进来，这里可以参考Spring Security OAuth2的实现

Client Side

客户端换取授权码

这个客户端可以是浏览器，

• 客户端将client_id + client_secret + 授权模式标识(grant_type) + 回调地址(redirect_uri)拼成url访问授权服务器授权端点
• 授权服务器返回登录界面，要求用户登录（此时用户提交的密码等直接发到授权服务器，进行校验）
• 授权服务器返回授权审批界面，用户授权完成
• 授权服务器返回授权码到回调地址

Server Side

客户端使用授权码换token

• 客户端接收到授权码，并使用授权码 + client_id + client_secret访问授权服务器颁发token端点
• 授权服务器校验通过，颁发token返回给客户端
• 客户端保存token到存储器（推荐cookie）

Check Access Token

客户端使用token访问资源

• 客户端在请求头中添加token，访问资源服务器
• 资源服务器收到请求，先调用校验token的方法（可以是远程调用授权服务器校验端点，也可以直接访问授权存储器手动校对）
• 资源服务器校验成功，返回资源

这里的说明省去了一些参数，如scope(请求token的作用域)、state(用于保证请求不被CSRF)、redirect_uri(授权服务器回调uri)，先理解概念，实现的时候再去要求

隐式授权模式（Implicit Grant）

隐式授权模式大致可分为两部分：

• Client Side：用户+客户端与授权服务器的交互
• Check Access Token：客户端与资源服务器之间的交互 + 资源服务器与授权服务器之间的交互

用一句话概括隐式授权模式授权流程

客户端让用户登录授权服务器换token，客户端使用token访问资源

Client Side

客户端让用户登录授权服务器换token

• 客户端（浏览器或单页应用）将client_id + 授权模式标识(grant_type)+ 回调地址(redirect_uri)拼成url访问授权服务器授权端点
• 授权服务器跳转用户登录界面，用户登录
• 用户授权
• 授权服务器访问回调地址返回token给客户端

Check Access Token

客户端使用token访问资源

• 客户端在请求头中添加token，访问资源服务器
• 资源服务器收到请求，先调用校验token的方法（可以是远程调用授权服务器校验端点，也可以直接访问授权存储器手动校对）
• 资源服务器校验成功，返回资源

密码模式（Resource Owner Password Credentials Grant）

密码模式大体上也分为两部分：

• Client Side: 用户与客户端交互，客户端与授权服务器交互
• Check Access Token:客户端与资源服务器之间的交互 + 资源服务器与授权服务器之间的交互

一句话概括用户名密码模式流程：

用户在客户端提交账号密码换token，客户端使用token访问资源

Client Side
用户在客户端提交账号密码换token

• 客户端要求用户登录
• 用户输入密码，客户端将表单中添加客户端的client_id + client_secret发送给授权服务器颁发token端点
• 授权服务器校验用户名、用户密码、client_id、client_secret，均通过返回token到客户端
• 客户端保存token

Check Access Token

客户端使用token访问资源

• 客户端在请求头中添加token，访问资源服务器
• 资源服务器收到请求，先调用校验token的方法（可以是远程调用授权服务器校验端点，也可以直接访问授权存储器手动校对）
• 资源服务器校验成功，返回资源

客户端模式（Client Credentials Grant）

客户端模式大体上分为两部分：

• Server Side: 客户端与授权服务器之间的交互
• Check Access Token: 客户端与资源服务器，资源服务器与授权服务器之间的交互

一句话概括客户端模式授权流程：

客户端使用自己的标识换token，客户端使用token访问资源

Server Side

客户端使用自己的标识换token

• 客户端使用client_id + client_secret + 授权模式标识访问授权服务器的颁发token端点
• 授权服务器校验通过返回token给客户端
• 客户端保存token

Check Access Token

客户端使用token访问资源

• 客户端在请求头中添加token，访问资源服务器
• 资源服务器收到请求，先调用校验token的方法（可以是远程调用授权服务器校验端点，也可以直接访问授权存储器手动校对）
• 资源服务器校验成功，返回资源

OAuth2授权模式的选型

考虑到授权场景的多样性，可以参考以下两种选型方式

按授权需要的多端情况

按客户端类型与所有者

后记

学习OAuth2有一段时间了，把学到的知识分享出来，行文中难免有错误，如果发现还请留言指正，谢谢合作

参考文章与资料：

https://time.geekbang.org/course/intro/84 作者：杨波

https://blog.csdn.net/sinat_25295611/article/details/84980987 作者：Kayfen

How OAuth 2.0 works and how to choose the right flow 作者：Lorenzo Spyna

原文出处https://www.cnblogs.com/hellxz/p/oauth2_process.html