OAuth2.0

使用OAuth2.0协议首先要了解以下几个关键信息:

  1. 使用OAuth2.0必须基于HTTPS,使用传统HTTP是无法保障安全性的;
  2. 授权模式选择并确认,这会直接影响前后端的交互和代码实现;
  3. OAuth2.0前端要实现:授权令牌(accessToken)存储、校验、刷新。

1. 协议参与者

  1. Client:第三方应用客户端;
  2. RS (Resource Server):资源源服务器;
  3. AS (Authorization Server):授权服务器;
  4. RO (Resource Owner):资源所有者。

2. 授权码模式

对应支持不同类型的第三方应用OAuth给出了多种模式,这里着重介绍其中使用最广泛也是最核心的模式,同时也是微信开发平台使用的模式:授权码模式(Authorization Code Grant)

通常开发移动应用最终目的都是对外发布,也就是说服务器需要提供给不同用户,在不同地区/网络/设备上使用。
那么这样一来移动应用实际使用场景中,开发者对其是不可控的,也就是说不带有授权的任何请求都可以被理解为是一次攻击行为,或者说无法验证Client身份任何一个请求都可以视为是无效的,那么这个时候使用授权码模式无疑是最为安全可靠的。

那么问题来了,如果一家公司同时拥有多个移动应用是否可以沿用OAuth?答案肯定是可以的,只是在使用过程中需要像微信openSDK一样加上对应的AppId和AppSecret参数用于区分(AppId和AppSecret是通过平台授予的)

2.1 授权码模式介绍

在OAuth2.0的官方RFC文档中,对授权码模式的大致实现流程介绍如下:


Authorization Code Grant.png

(A) Client向AS发起授权请求并提供身份验证;
(B) AS对Client身份进行验证,若有限则返回accessToken和refreshToken;
(C) Client使用accessToken向RS发起资源请求;
(D) RS验证accessToken,若accessToken有效则为该请求提供服务并响应;
(E) 重复步骤(C)和(D),直到accessToken过期。若Client知道accessToken已过期,它将跳到步骤(G);否则,将向RS发出另一个资源请求;
(F) 若accessToken失效,AS会返回accessToken失效错误;
(G) Client通过向AS进行身份验证,并提供refreshToken来请求新的accessToken;
(H) AS对Client提供的身份进行验证,并验证refreshToken,如果有效,则发出新的accessToken

2.2 授权码Authorization Code

对于本地原生App应用来说,授权码这个环节是否可以跳过?
这个要取决于获取access_Token的方式渠道,OAuth2.0的文档对Native App实现授权是通过浏览器来实现的:


OAuth 2.0 for Native Apps.png

这里会引发一个问题:为什么AS不直接将Access Token通过重定向方式返回客户端App,却要先返回授权码Authorization Code?
主要原因就是由于这里沿用的PC端的授权模式,然而浏览器的redirect_uri是一个不安全信道,不适合传递access_Token这类私密数据,RO用户代理本身也是不可信赖的,协议本身的目的就是保证客户端是唯一可以获取access_Token的主体。

3. 前端需要做什么

首先这个流程需要前后端同事配合完成,不同的公司和产品可能对数据的保密要求不尽相同,所以在是否真的需要使用OAuth2以及如何实现之前,良好的沟通以及对考虑今后功能的扩展兼容是必须的;其次OAuth 2.0协议侧重于简化Client端开发人员的工作,仅需调用几个简单的API接口即可实现授权令牌(accessToken)的获取、校验、刷新。

以微信开发平台提供第三方登录功能为例,文档提供了三个基础API作用分别为:


微信授权登录接口作用域.png

由此可以看出微信的工程师在提供功能时就考虑到了上述所有的情况:

  1. 获取Authorization Code需要配合 scope(授权作用域)+ state(状态标识),有效防止CSRF攻击;
  2. sns/oauth2/access_token通过Authorization Code向AS请求accessToken和refreshToken,AS需要通过appId+appSecret等参数确认其唯一性,通常还会返回当前accessToken的有效期;
  3. sns/oauth2/refresh_token由于accessToken有效期较短,通过该接口对其续期或刷新;
  4. sns/auth允许Client验证当前accessToken有效性;
  5. sns/userinfoClient使用已获得的accessToken向AS请求用户个人信息,或向RS发出资源请求。

与授权码模式流程图中相同,RS在收到请求后会先向AS验证accessToken,确认有效后才响应并为该请求提供服务

我画了一张相对简单的流程图供参考:


OAuth2.0 for app前端.jpg

接下来就是代码集成,请参考Code

参考文章:
OAuth2.0
OAuth2.0协议原理详解
微信开放文档

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 175,490评论 5 419
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 74,060评论 2 335
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 124,407评论 0 291
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 47,741评论 0 248
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 56,543评论 3 329
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 43,040评论 1 246
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 34,107评论 3 358
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 32,646评论 0 229
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 36,694评论 1 271
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 32,398评论 2 279
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 33,987评论 1 288
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 30,097评论 3 285
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 35,298评论 3 282
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 27,278评论 0 14
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 28,413评论 1 232
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 38,397评论 2 309
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 38,099评论 2 314

推荐阅读更多精彩内容