我是通过点点网了解到OAuth2.0的,点点网关于OAuth的介绍是:OAuth 2.0是在2006年设计的OAuth协议的下一个版本, 2.0版本更注重于客户端开发的简易性,同时给Web,桌面,移动等平台给予支持,它是基于OAuth WRAP开放的一套安全认证的流程。
OAuth2.0的授权认证流程如下图:
A:客户端发起授权请求
B:资源的拥有者返回允许授权的应答
C:客户端向授权服务器发出认证授权的请求
D:认证通过,授权服务器会返回一个包含Access Token的应答,该应答中应包含Access Token
E:客户端根据D中得到的Access Token向资源服务器发送访问请求
F:资源服务器返回资源。
以上只是个人的简单理解,只做参考。
关于OAuth 2.0的认证流程,根据官方的说法,总共有4种:
1. Authorization Code
这是基于网页的授权方式。客户端在请求验证前,需要先将浏览器跳转到用户授权页面,用户在登陆并确认授权后将浏览器Redirect到获得ClientID是注册的回调地址。这个地址中包含一个code参数。用户根据该参数请求服务器获得Access Token。
该认证授权流程包含了图片中的所有步骤。
2.Implicit
这是一种适合JS等网页语言使用的认证方式,这种认证方式比较简单,值包含图片中的A、B、C和D几个步骤。首先将页面引导至用户授权页面,用户授权后直接跳转到回调地址,并将Access Token作为地址参数传递给页面,方便脚本语言(JS)的访问。
3.Resource Owner Password Credentials
这是一种比较大的信任授权方式,前提条件是用户对你的应用有绝对的信任,愿意在你的应用(Client)中输入自己的用户名和密码。客户端通过用户名和密码进行验证,并得到Access Token。由于这种方式需要用户的绝对信任,并且需要客户端程序开发人员有比较强的自律和职业操守,所以这种方式经常不被推荐。
4.Client Credentials
对于不需要用户登陆就可以访问的资源,可以通过这种方式进行授权。这种授权方式只包含C、D、E和F几个步骤。
关于 Refresh Token
正常情况下,我们在获得了Access Token后就可以对受保护的资源进行访问。但是 Access Token的声明周期比较短(通常为10分钟),当Access Token到期后,我们可以通过使用Refresh Token重新获得Access Token。
每一个Refresh Token可以使用一次,在重新获得Access Token时,Refresh Token 也会被重新获得。
注意:由于我是通过点点网的OAuth了解到的这些内容,尽管也参考了一些博客和官方的文档,但仍然不能做到尽善尽美,读者在看的时候也要抱着怀疑的态度,积极求证,有不懂的问题可以留言和我交流。