碼上快樂

相關內容    簡體    繁體

Auto2.0學習二--客戶端的授權模式

本文轉載自   查看原文   2020-06-01 11:35   528    OAuth

OAuth 2.0的運行流程如下圖,摘自RFC 6749。

  

OAuth2.0的運行流程步驟說明:

(A)用戶打開客戶端以后,客戶端要求用戶給予授權。

(B)用戶同意給予客戶端授權。

(C)客戶端使用上一步獲得的授權,向認證服務器申請令牌。

(D)認證服務器對客戶端進行認證以后,確認無誤,同意發放令牌。

(E)客戶端使用令牌,向資源服務器申請獲取資源。

(F)資源服務器確認令牌無誤,同意向客戶端開放資源。

  上面六個步驟之中,B是關鍵,即用戶怎樣才能給於客戶端授權。有了這個授權以后,客戶端就可以獲取令牌,進而憑令牌獲取資源。

  客戶端必須得到用戶的授權(authorization grant),才能獲得令牌(access token)。

客戶端獲取授權的四種模式:

  授權碼模式(authorization code)

  簡化模式(implicit)

  密碼模式(resource owner password credentials)

  客戶端模式(client credentials)

1、授權碼模式(authorization code)是功能最完整、流程最嚴密的授權模式。它的特點就是通過客戶端的后台服務器,與"服務提供商"的認證服務器進行互動。

步驟如下:

(A)用戶訪問客戶端,后者將前者導向認證服務器。

(B)用戶選擇是否給予客戶端授權。

(C)假設用戶給予授權,認證服務器將用戶導向客戶端事先指定的"重定向URI"(redirection URI),同時附上一個授權碼。

(D)客戶端收到授權碼,附上早先的"重定向URI",向認證服務器申請令牌。這一步是在客戶端的后台的服務器上完成的,對用戶不可見。

(E)認證服務器核對了授權碼和重定向URI,確認無誤后,向客戶端發送訪問令牌(access token)和更新令牌(refresh token)。

上面這些步驟所需要的參數:

A步驟中,客戶端申請認證的URI,包含以下參數:

  response_type:表示授權類型,必選項,此處的值固定為"code"

  client_id:表示客戶端的ID,必選項

  redirect_uri:表示重定向URI,可選項

  scope:表示申請的權限范圍,可選項

  state:表示客戶端的當前狀態,可以指定任意值,認證服務器會原封不動地返回這個值。

  下邊是一個示例:

  

GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
HTTP/1.1
Host: server.example.com

 

C步驟中,服務器回應客戶端的URI,包含以下參數:

  code:表示授權碼,必選項。該碼的有效期應該很短,通常設為10分鍾,客戶端只能使用該碼一次,否則會被授權服務器拒絕。該碼與客戶端ID和重定向URI,是一一對應關系。

  state:如果客戶端的請求中包含這個參數,認證服務器的回應也必須一模一樣包含這個參數。

  下面是一個例子:

  

HTTP/1.1 302 Found
Location https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

D步驟中,客戶端向認證服務器申請令牌的HTTP請求,包含以下參數:

  grant_type:表示使用的授權模式,必選項,此處的值固定為"authorization_code"。

  code:表示上一步獲得的授權碼,必選項。

  redirect_uri:表示重定向URI,必選項,且必須與A步驟中的該參數值保持一致。

  client_id:表示客戶端ID,必選項。

  下面是一個例子:

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

E步驟中,認證服務器發送的HTTP回復,包含以下參數:

  access_token:表示訪問令牌,必選項。

  token_type:表示令牌類型,該值大小寫不敏感,必選項,可以是bearer類型或mac類型。

  expires_in:表示過期時間,單位為秒。如果省略該參數,必須其他方式設置過期時間。

  refresh_token:表示更新令牌,用來獲取下一次的訪問令牌,可選項。

  scope:表示權限范圍,如果與客戶端申請的范圍一致,此項可省略。

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 OAuth2.0學習(1-7)授權方式4-客戶端模式(Client Credentials Grant) 【ASP.NET Core 3.1_授權&鑒權】OAuth2.0四種授權模式-客戶端模式 IdentityServer4 (1) 客戶端授權模式(Client Credentials) [OAuth] OAuth2.0中的客戶端模式 OAuth2.0-3客戶端授權放到數據庫 spring boot 2.0 Feign的客戶端 asp.net權限認證:OWIN實現OAuth 2.0 之客戶端模式(Client Credential) ASP.NET Core3.1使用IdentityServer4中間件系列隨筆(三):創建使用[ClientCredentials客戶端憑證]授權模式的客戶端 hadoop client 客戶端模式搭建 微信客戶端sdk使用前的 授權簽名
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM