OAuth2

OAuth2

OAuth2是一个关于授权（authorization）的开放网络标准，在全世界得到广泛应用，如qq登陆、微信登陆、微博登陆。

---

OAuth的产生
需求：有一个“云打印”网站，可以将用户存储在google的照片打印出来。用户为了使用该服务，必须让“云打印”读取自己存储在google上的照片。但google只有得到用户授权才会同意“云打印”读取这些照片。
方案1：用户把用户名密码告诉“云打印”，然后“云打印”去google获取照片并打印。
问题：1、用户的google用户名密码泄露。2、“云打印”拥有了该用户在google网盘上所有的权限，即“云打印”可以访问该用户存储在google网盘上的所有文件。3、google只能使用用户名密码认证，不能使用第三方验证，比如手机验证、邮箱验证。
OAuth2方案：使用OAuth2，”云打印”在获取用户的授权后可以从google获取一个绑定用户的token，”云打印”可以使用这个token去访问用户允许它访问的数据，且token有默认的有效时间，用户也可以手动取消token的有效性。

---

OAuth2名词
1、Third-party application：即”云打印”
2、Http service：即google
3、Resource Owner：用户
4、User Agent：浏览器
5、Authorization Server：认证服务器，即谷歌专门用来提供认证服务的服务器。
6、Resource Server：资源服务器，即谷歌网盘服务器。

---

会话机制常用的有两种
session方式：用户发送用户名密码，服务器校验并生成session并发送session id给客户端，客户端保存在cookie中，下次访问携带cookie。
token方式：区别，服务器不生成sesseion id，生成token发送给客户端，客户端可以把token放在cookie中，也可以不放在cookie中，下次访问携带token。

OAuth2使用token方式

---

OAuth2协议大致流程

 +--------++---------------+ ||--(A)- Authorization Request ->|Resource| ||| Owner | ||<-(B)-- Authorization Grant ---|| ||+---------------+ || ||+---------------+ ||--(C)-- Authorization Grant -->| Authorization | | Client || Server| ||<-(D)----- Access Token -------|| ||+---------------+ || ||+---------------+ ||--(E)----- Access Token ------>|Resource| ||| Server| ||<-(F)--- Protected Resource ---|| +--------++---------------+
1、第三方应用（Client）向用户请求授权。
2、用户同意授权。(Grant，同意）
3、第三方应用带着用户的授权向认证服务器请求令牌。(Token，令牌)
4、认证服务器返回令牌。
5、第三方应用带着令牌向资源服务器请求资源。
6、资源服务器返回资源。 

---

 Authorization Grant——用户授权有四种模式
1、授权码模式
2、简化模式(隐式模式)
3、密码模式
4、客户端模式

---

授权码模式

 +----------+ | Resource | |Owner  | |  | +----------+  ^  | (B) +----|-----+  Client Identifier  +---------------+ | -+----(A)-- & Redirection URI ---->|| |  User-| | Authorization | |  Agent  -+----(B)-- User authenticates --->| Server| |  | || | -+----(C)-- Authorization Code ---<|| +-|----|---+ +---------------+|| ^  v  (A)  (C)|  ||| |  |^v |  | +---------+  |  | | |>---(D)-- Authorization Code ---------'  | |  Client |  & Redirection URI  | | | | | |<---(E)----- Access Token -------------------' +---------+(w/ Optional Refresh Token) 

Resource Owner——个人用户　　Client——第三方应用后台服务器　　User Agent——用户代理，即浏览器　　Authorization Server——认证服务器

CSDN使用qq授权登陆：
1、在csdn.net注册页面点击qq小图标，浏览器访问：https://passport.csdn.net/v1/register/authorization?authType=qq
　　这是csdn.net的一个地址，authType=qq表示使用qq授权登陆；另外csdn.net还支持github、微博、百度、脉脉的授权登陆
2、Client从认证服务器获取授权码

　　Client自动调用腾讯对外开放的接口https://graph.qq.com/oauth2.0/show?which=Login&display=pc&client_id=100270989&response_type=code&redirect_uri=https://passport.csdn.net/account/login?pcAuthType=qq&state=test

官网示例，使用x-www-form-urlencoded格式组织参数GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1Host: server.example.com

　　Client携带的参数：response_type=code，表示使用授权码模式；client_id，表示客户端标识，即上图中的Client Identifier，此字符串唯一代表此客户端，此字符串不保密，此字符串要暴露给个人用户；redirect_uri表示重定向url，即上图中的Redirection URI；state为了防止csrf攻击。
　　用户输入的参数：qq用户名、qq密码，即上图中的 User authenticates
3、认证服务器返回授权码

　　Authorization Server使浏览器重定向到Client指定的接口，并把Authorization Code添加到redirect_uri后面。Authorization Code在发布不久后必须过期，以降低泄露风险；最大的过期时间推荐为10分钟。Authorization Code只能使用一次；如果再次使用，认证服务器必须拒绝请求，如果可以的话，还应该废除此前基于此Authorization Code发布的token。

官网重定向示例，使用x-www-form-urlencoded格式组织参数
HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

4、Client向认证服务器获取令牌

Client后台服务器使用HTTPS携带Authorization Code访问Authorization Server。

 官网示例： POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
　　 //grant_type的值必须是authorization_code，code是上一步认证服务器返回的，redirect_uri必须和获取授权码时的地址相同

5、认证服务器返回令牌

Authorization Server返回Access Token、Refresh Token到Client后台服务器，并使用后台服务器重定向到资源服务器

 官网示例：HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache {"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA","example_parameter":"example_value" } 

---

简化模式(隐式模式)

简化模式不支持刷新token的发放；第三方没有服务器；第三方通常通过浏览器里的javascrpt和服务提供方交互。

 +----------+ | Resource | |  Owner| |  | +----------+  ^  | (B) +----|-----+  Client Identifier +---------------+ | -+----(A)-- & Redirection URI --->|| |  User-|| Authorization | |  Agent  -|----(B)-- User authenticates -->| Server| |  ||| |  |<---(C)--- Redirection URI ----<|| |  |  with Access Token +---------------+ |  |in Fragment |  |+---------------+ |  |----(D)--- Redirection URI ---->|Web-Hosted  | |  |  without Fragment  | Client| |  ||Resource| | (F)  |<---(E)------- Script ---------<|| |  |+---------------+ +-|--------+||  (A)  (G) Access Token||^v +---------+ | | |  Client | | | +---------+

1、Client发送请求以获取token，对应(A)(B)，请求示范：

// 使用https发送以下请求:GET /authorize?response_type=token&client_id=s6BhdRkqt3&state=xyz&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1Host: server.example.com 

2、认证服务器返回token，响应示范：

 // "application/x-www-form-urlencoded" format HTTP/1.1 302 Found Location: http://example.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA&state=xyz&token_type=example&expires_in=3600

返回的token在url的部分。
url格式：
[scheme:][//host:port][/path][?query][#fragment]
http://www.baidu.com:80/find?name=xxx&sex=nam#state=xxx
url的fragment以#号开头

---

密码模式

 +----------+ | Resource | |  Owner| |  | +----------+  v  |Resource Owner (A) Password Credentials  |  v +---------+  +---------------+ | |>--(B)---- Resource Owner ------->|| | | Password Credentials | Authorization | | Client  |  | Server| | |<--(C)---- Access Token ---------<|| | |(w/ Optional Refresh Token)|| +---------+  +---------------+

此模式第三方会获得到用主的用户名密码，适用于用户非常信任第三方的情况下。

1、请求令牌

 POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=password&useame=johndoe&password=A3ddj3w

2、返回令牌

 HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache {"access_token":"2YotnFZFEjr1zCsicMWpAA","token_type":"example","expires_in":3600,"refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA","example_parameter":"example_value" }

---

客户端模式 

 +---------+  +---------------+ | |  || | |>--(A)- Client Authentication --->| Authorization | | Client  |  | Server| | |<--(B)---- Access Token ---------<|| | |  || +---------+  +---------------+

1、请求令牌

 POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=client_credentials

2、返回令牌

     HTTP/1.1 200 OK
     Content-Type: application/json;charset=UTF-8
     Cache-Control: no-store
     Pragma: no-cache

     {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600,
       "example_parameter":"example_value"
     } 

---

Client_id

授权服务器向注册的客户端颁发客户端标识符——唯一字符串。

---

协议端点(Protocol Endpoints)

两个授权服务器端点：授权端点、令牌端点
一个客户端端点：重定向端点

授权端点(Authorization endpoint)：只适用于授权码模式和简化模式
令牌端点(Token Endpoint)：第三方提交刷新token或用户授权到认证服务器此端点，以获取token
重定向端点(Redirection Endpoint)：客户端重定向