OAuth2.0说明文档
1、OAuth 2.0 简介
OAuth为应用提供了一种访问受保护资源的方法。在应用访问受保护资源之前,它必须先从资源拥有者处获取授权(访问许可),然后用访问许可交换访问令牌(代表许可的作用域、持续时间和其它属性)。应用通过向资源服务器出示访问令牌来访问受保护资源。
下图中的名词说明
Resource Owner:用户
User-Agent:浏览器
Client:应用服务器
Authorization Server:认证服务器(用户信息存放服务的认证服务器)
Resource Server:资源服务器(用户真正信息存放的服务器,需要通过access_token进行访问)
Web-Hosted Client Resource:web托管的客户端资源(这个确切的说,我也不知道叫啥才适合)
OAuth2.0服务支持以下5种获取Access Token的方式:(图片来源:OAuth2.0协议草案 )
1.1、APP密钥模式(Client Credentials Flow)
直接使用app密钥,不另作说明
1.2、Resource Owner Password Credentials Flow
直接使用用户密码,不另作说明
1.3、Authorization Code Flow
授权码模式
流程简单表述为,当用户访问应用服务器
(A)应用服务器返回带有授权信息的重定向链接,浏览器拿到链接,转为访问认证服务器(见下面:获取Authorization Code)
(B)认证服务器提供界面给用户进行确认授权,用户确认授权
(C)用户确认授权后,认证服务器返回带有code的重定向链接,浏览器拿到链接,转为访问应用服务器
(D)应用服务器拿到code,访问认证服务器(见下面:通过Authorization Code获取Access Token)
(E)认证服务器验证后,返回access_token给应用服务器
授权码是应用弹出窗口,并将用户引导到授权服务器,传入标识符、请求作用域、本地状态,和一个重定向URI。授权服务器验证用户,获得授权,然后用重定向URI引导回应用,并传回授权码给应用。因为终端用户只在授权服务器上进行验证,所以终端用户的用户名和密码从来不用分享给应用。
获取Authorization Code
|
参数名 |
必选 |
介绍 |
|
client_id |
True |
创建应用时获得的App Key |
|
response_type |
True |
此值固定为“code” |
|
redirect_uri |
True |
授权后要回调的URI,即接收Authorization Code的URI, 其值可以是“oob”。 非“oob”值的redirect_uri所在域名必须与开发者注册应用时所提供的回调地址的域名相匹配 |
|
scope |
False |
以空格分隔的权限列表,若不传递此参数,代表请求默认的basic权限。(目前只有basic权限) |
|
state |
False |
hash,用于预防CSRF,用于保持请求和回调的状态,授权服务器在重定向到“redirect_uri”时,会在Query Parameter中原样回传该参数 |
/authorize?client_id=ABCDEFGHIJKLMNOP&response_type=code&redirect_uri=http://www.example.com/oauth_redirect&scope=basic&state=mytest
如果用户在此页面同意授权,则将重定向用户浏览器到指定的“redirect_uri”,并附带上表示授权服务所分配的Authorization Code的code参数(假设为“0987654321“),以及state参数(如果有),验证通过后,认证服务器将重定向用户浏览器到“http://www.example.com/oauth_redirect?state=mytest&code=0987654321”
说明:每一个Authorization Code的有效期为60秒(可根据需求调长一些,但原则上应尽可能短),并且只能使用一次,再次使用将无效。
通过Authorization Code获取Access Token
通过上面第一步获得Authorization Code后,便可以用其向认证服务器换取一个Access Token。
|
参数名 |
必选 |
介绍 |
|
grant_type |
True |
此值固定为“authorization_code” |
|
code |
True |
通过上面第一步所获得的Authorization Code |
|
client_id |
True |
创建应用时获得的App Key |
|
client_secret |
True |
应用的App Secret |
|
redirect_uri |
True |
redirect_uri所在域名必须与开发者注册应用时所提供的回调地址的域名匹配 |
/access_token?grant_type=authorization_code&code=0987654321&client_id=ABCDEFGHIJKLMNOP&client_secret=abcdefg...&redirect_uri=http://www.example.com/oauth_redirect
若参数无误,服务器将返回一段JSON文本,包含以下参数:
|
参数名 |
必选 |
介绍 |
|
access_token |
True |
获取的Access Token |
|
token_type |
False |
令牌类型“bearer”或“mac”,暂无很明确的说明,通常是brearer或省略 |
|
expires_in |
True |
Access Token的有效期,以秒为单位 |
|
refresh_token |
False |
用于刷新Access Token 的 Refresh Token |
|
scope |
False |
Access Token最终的访问范围,即用户实际授予的权限列表,用户在授权页面时,有可能会取消掉某些请求的权限,通常只作或只有登录认证的话,可忽略 |
示例:Content-Type: application/json
{"access_token":"uuvvwwxxyyzz","expires_in":"3600", "scope":"basic","refresh_token":"qwertyuiop"}
1.4、Implicit Grant Flow
简化模式,该模式下,通常client和user-agent是在一起的,如手机app等
流程简单表述为,当用户访问应用服务
(A)应用服务返回带有授权信息的重定向链接,浏览器拿到链接,转为访问认证服务器
(B)认证服务器提供界面给用户进行确认授权,用户确认授权
(C)假设资源所有者授予访问权限,则认证服务器返回带有获取access_token的令牌的链接
(D)浏览器链接重定向到一个web客户端资源,访问资源服务器
(E)返回一个网页(通常是一个嵌入式脚本的HTML文档)
(F)浏览器从脚本中提取access_token(包括其他参数)
(G)浏览器带着access_token重定向到应用服务器,应用服务器到浏览器传来的access_token
采用Implicit Grant方式获取Access Token的授权验证流程又被称为User-Agent Flow,适用于所有无Server端配合的应用(由于应用往往位于一个User Agent里,如浏览器里面,因此这类应用在某些平台下又被称为Client-Side Application),如手机/桌面客户端程序、浏览器插件等,以及基于JavaScript等脚本语言实现的应用。
1.5、Refreshing an Expired Access Token
令牌刷新方式,适用于所有有Server端配合的应用,其实就是更新access_token
获取Access Token,都会拿到有效期为14天的Refresh Token,和2分钟有效期的Access Token。对于这些应用,只要用户在14天内登录,应用就可以使用Refresh Token获得新的Access Token。
要使用Refresh Token获得新的Access Token,需要应用在其服务端发送请求(推荐用POST方法)到开放平台OAuth2.0授权服务的以下地址: “/access_token”,并带上以下参数:
|
参数名 |
必选 |
介绍 |
|
grant_type |
True |
必须为“refresh_token” |
|
refresh_token |
True |
用于刷新Access Token用的Refresh Token |
|
client_id |
True |
创建应用时获得的App Key |
|
client_secret |
True |
应用的App Secret |
|
scope |
False |
以空格分隔的权限列表,若不传递此参数,代表请求默认的basic权限。注:通过Refresh Token刷新Access Token时所要求的scope权限范围必须小于等于上次获取Access Token时授予的权限范围 |
示例:
/access_token?grant_type=refresh_token&refresh_token=qwertyuiop&client_id=ABCDEFGHIJKLMNOP&client_secret=abcdefg...&scope=basic
若请求成功服务器将返回一段JSON文本,包含以下参数
示例:Content-Type: application/json
{ "access_token":"uuvvwwxxyyzz","expires_in":"120","scope":"basic","refresh_token":" qwertyuiop"}
2、使用access_token调用API
获取access_token以后,就可以使用access_token调用API接口。
调用API的URL“/json”传递需要的参数,参数的详细介绍请参照以上描述
例:/json?access_token=uuvvwwxxyyzz