oauth2.0四種授權模式

1.什么是oauth2.0

OAuth（開放授權）是一個開放標准，允許用戶授權第三方移動應用訪問他們存儲在另外的服務提供者上的信息，而不需要將用戶名和密碼提供給第三方移動應用或分享他們數據的所有內容，OAuth2.0是OAuth協議的延續版本，但不向后兼容OAuth 1.0即完全廢止了OAuth1.0。

2.應用場景

第三方應用授權登錄：在APP或者網頁接入一些第三方應用時，時長會需要用戶登錄另一個合作平台，比如QQ，微博，微信的授權登錄。

原生app授權：app登錄請求后台接口，為了安全認證，所有請求都帶token信息，如果登錄驗證、請求后台數據。

前后端分離單頁面應用（spa）：前后端分離框架，前端請求后台數據，需要進行oauth2安全認證，比如使用vue、react后者h5開發的app。

3.名詞定義

（1） Third-party application：第三方應用程序，本文中又稱"客戶端"（client），比如打開知乎，使用第三方登錄，選擇qq登錄，這時候知乎就是客戶端。

（2）HTTP service：HTTP服務提供商，本文中簡稱"服務提供商"，即上例的qq。

（3）Resource Owner：資源所有者，本文中又稱"用戶"（user）,即登錄用戶。

（4）User Agent：用戶代理，本文中就是指瀏覽器。

（5）Authorization server：認證服務器，即服務提供商專門用來處理認證的服務器。

（6）Resource server：資源服務器，即服務提供商存放用戶生成的資源的服務器。它與認證服務器，可以是同一台服務器，也可以是不同的服務器。

1. OAuth2簡易實戰（一）-四種模式

1.1. 隱式授權模式（Implicit Grant）

• 第一步：用戶訪問頁面時，重定向到認證服務器。
• 第二步：認證服務器給用戶一個認證頁面，等待用戶授權。
• 第三步：用戶授權，認證服務器想應用頁面返回Token
• 第四步：驗證Token，訪問真正的資源頁面

1.2. 授權碼授權模式（Authorization code Grant）

• 第一步：用戶訪問頁面
• 第二步：訪問的頁面將請求重定向到認證服務器
• 第三步：認證服務器向用戶展示授權頁面，等待用戶授權
• 第四步：用戶授權，認證服務器生成一個code和帶上client_id發送給應用服務器然后，應用服務器拿到code，並用client_id去后台查詢對應的client_secret
• 第五步：將code、client_id、client_secret傳給認證服務器換取access_token和refresh_token
• 第六步：將access_token和refresh_token傳給應用服務器
• 第七步：驗證token，訪問真正的資源頁面

案例Github自取:https://github.com/PinkPig-cq/springSecurityoAuth

1.3. 密碼模式（Resource Owner Password Credentials Grant）

• 第一步：用戶訪問用頁面時，輸入第三方認證所需要的信息(QQ/微信賬號密碼)
• 第二步：應用頁面那種這個信息去認證服務器授權
• 第三步：認證服務器授權通過，拿到token，訪問真正的資源頁面

優點：不需要多次請求轉發，額外開銷，同時可以獲取更多的用戶信息。(都拿到賬號密碼了)

缺點：局限性，認證服務器和應用方必須有超高的信賴。(比如親兄弟？)

應用場景：自家公司搭建的認證服務器

1.4. 客戶端憑證模式（Client Credentials Grant）

• 第一步：用戶訪問應用客戶端
• 第二步：通過客戶端定義的驗證方法，拿到token，無需授權
• 第三步：訪問資源服務器A
• 第四步：拿到一次token就可以暢通無阻的訪問其他的資源頁面。

這是一種最簡單的模式，只要client請求，我們就將AccessToken發送給它。這種模式是最方便但最不安全的模式。因此這就要求我們對client完全的信任，而client本身也是安全的。

因此這種模式一般用來提供給我們完全信任的服務器端服務。在這個過程中不需要用戶的參與。