OAuth2

参考：

• 265Stuff：OAuth 2.0 Simple Example
• 周志明：《凤凰架构-架构安全性-授权-OAuth2》
• Google：OpenID Connect

为了对 OAuth2 有一个直观的认识。我们先从一个例子开始。

谷歌的 OpenId Connect 是 OAuth2 的一个实践，集成了谷歌 OpenId Connect 的网站，可以实现用谷歌账号登录它们的网站，比如说我们熟悉的 StackOverflow 就可以集成了 OpenId Connect （谷歌还有一个叫 Sign in with Google 的客户端 SDK，虽然也是基于 OAuth2，但是经过了封装和标准协议还是有些区别。比如 Reddit 等网站谷歌账号登录就是用的这个 SDK 。为了阐述标准的 OAuth2，今天我们还是用使用  OpenId Connect  的 StackOverflow 来做说明）。

如果我们之前已经用谷歌账号登录过 StackOverflow，可以先将浏览器 Cookie 缓存清除。再打开 StackOverflow 网站。

用谷歌账号登陆前 StackOverflow，打开 F12 Network，并选中 Preserve log，这样在网页重定向之后，之前的请求记录仍然会保留下来。

 完成用谷歌账号登录后，我们来一一分析在这期间发生的请求

在阅读下面的步骤之前，请保证已经了解了什么是重定向——《》

我们从浏览器可以看到的相关请求有：

1、用户点击谷歌账号进行登录，returnurl 是用户现在停留的页面，我停留在 StackOverflow 首页。

https://stackoverflow.com/users/login?
　　ssrc=head
　　&returnurl=https://stackoverflow.com/

{
  "fkey": "0e092d8da5b2ef159f31ca6e96b702bed161d848e75e108b5619adeb57f62b49",
  "ssrc": "head",
  "email": "",
  "password": "",
  "oauth_version": "2.0",
  "oauth_server": "https://accounts.google.com/o/oauth2/auth"
}

StackOverFlow 后端返回谷歌的 OAuth2 接口，自己的 client_id，以及 redirect_uri 是到谷歌授权服务器的 url

Status Code: 302 Found
Location: https://accounts.google.com/o/oauth2/auth?
　　client_id=717762328687-iludtf96g1hinl76e4lc1b9a82g457nn.apps.googleusercontent.com
　　&scope=profile email
　　&redirect_uri=https://stackauth.com/auth/oauth2/google
　　&state=
　　{"sid":1,"st":"59:3:1b8,16:c4729f2f7e47e8e0,10:1700192426,16:9b919914a5835436,ab53156abc79d1c3efbfbd96539ee08ce612452f12f2862ff35bb6c82ad2f805","cid":"717762328687-iludtf96g1hinl76e4lc1b9a82g457nn.apps.googleusercontent.com","k":"Google","ses":"272ab7f4f4cd4640b68720f3c05770f5"}
　　&response_type=code

2、浏览器收到上面的 302 后，就会用 Location 里的 url 再发出一次请求。这样就会带上 client_id 和 redirect_uri 请求到谷歌授权服务器

https://accounts.google.com/o/oauth2/auth
　　?client_id=717762328687-iludtf96g1hinl76e4lc1b9a82g457nn.apps.googleusercontent.com
　　&scope=profile email
　　&redirect_uri=https://stackauth.com/auth/oauth2/google
　　&state=
　　{"sid":1,"st":"59:3:1b8,16:c4729f2f7e47e8e0,10:1700192426,16:9b919914a5835436,ab53156abc79d1c3efbfbd96539ee08ce612452f12f2862ff35bb6c82ad2f805","cid":"717762328687-iludtf96g1hinl76e4lc1b9a82g457nn.apps.googleusercontent.com","k":"Google","ses":"272ab7f4f4cd4640b68720f3c05770f5"}
　　&response_type=code

谷歌授权服务器的响应是 302 重定向

• • 当需要客户同意授权时，返回的重定向地址是谷歌的授权页面。客户点击同意后会在后面会再重定向到 StackOverflow 设置的 redirect_url 后端地址
  • 当不需要客户同意授权时，返回的重定向地址直接就是 stackauth.com 是 StackOverFlow 在谷歌 设置的自己的 redirect_url 后端地址，后面的参数有谷歌给予的授权码，就是下面 Location 中的 code

Status Code: 302 Found
Location: https://stackauth.com/auth/oauth2/google
　　?state=
　　{"sid":1,"st":"59:3:1b8,16:c4729f2f7e47e8e0,10:1700192426,16:9b919914a5835436,ab53156abc79d1c3efbfbd96539ee08ce612452f12f2862ff35bb6c82ad2f805","cid":"717762328687-iludtf96g1hinl76e4lc1b9a82g457nn.apps.googleusercontent.com","k":"Google","ses":"272ab7f4f4cd4640b68720f3c05770f5"}
　　&code=4/0AfJohXkprUYlXEgDK2tLi_a0hVMLckl6WnTepFNvwSbs0KT2je0WxaomUWbLPeDvfZIXQQ
　　&scope=email profile https://www.googleapis.com/auth/userinfo.profile openid https://www.googleapis.com/auth/userinfo.email&authuser=0&prompt=none

2、浏览器收到上面的重定向后，就会用 Location 里的 url 再发出一次请求。这样就会带上授权码请求到 stackOverFlow 后端，然后 stackOverFlow 后端 会把授权码 code 和自己持有的 clientsecret 一起发给谷歌换取令牌

https://stackauth.com/auth/oauth2/google?
　　state=
　　{"sid":1,"st":"59:3:1b8,16:c4729f2f7e47e8e0,10:1700192426,16:9b919914a5835436,ab53156abc79d1c3efbfbd96539ee08ce612452f12f2862ff35bb6c82ad2f805","cid":"717762328687-iludtf96g1hinl76e4lc1b9a82g457nn.apps.googleusercontent.com","k":"Google","ses":"272ab7f4f4cd4640b68720f3c05770f5"}
　　&code=4/0AfJohXkprUYlXEgDK2tLi_a0hVMLckl6WnTepFNvwSbs0KT2je0WxaomUWbLPeDvfZIXQQ
　　&scope=email profile https://www.googleapis.com/auth/userinfo.profile openid https://www.googleapis.com/auth/userinfo.email&authuser=0
　　&prompt=none

stackOverFlow 后台的响应，可以看到也是一个重定向 302。

Status Code: 302 Found
Location: https://stackoverflow.com/users/oauth/google?
　　code=4/0AfJohXkprUYlXEgDK2tLi_a0hVMLckl6WnTepFNvwSbs0KT2je0WxaomUWbLPeDvfZIXQQ
　　&state=
　　{"sid":1,"st":"59:3:1b8,16:c4729f2f7e47e8e0,10:1700192426,16:9b919914a5835436,ab53156abc79d1c3efbfbd96539ee08ce612452f12f2862ff35bb6c82ad2f805","cid":"717762328687-iludtf96g1hinl76e4lc1b9a82g457nn.apps.googleusercontent.com","k":"Google","ses":"272ab7f4f4cd4640b68720f3c05770f5"}
　　&s=272ab7f4f4cd4640b68720f3c05770f5

3、xx

https://stackoverflow.com/users/oauth/google?
　　code=4/0AfJohXkprUYlXEgDK2tLi_a0hVMLckl6WnTepFNvwSbs0KT2je0WxaomUWbLPeDvfZIXQQ
　　&state=
　　{"sid":1,"st":"59:3:1b8,16:c4729f2f7e47e8e0,10:1700192426,16:9b919914a5835436,ab53156abc79d1c3efbfbd96539ee08ce612452f12f2862ff35bb6c82ad2f805","cid":"717762328687-iludtf96g1hinl76e4lc1b9a82g457nn.apps.googleusercontent.com","k":"Google","ses":"272ab7f4f4cd4640b68720f3c05770f5"}
　　&s=272ab7f4f4cd4640b68720f3c05770f5

xx

Status Code: 302 Found
Location: https://stackoverflow.com/

到这里

后续的获取访问令牌，和通过访问令牌获取谷歌资源都是 StackOverflow 后端与谷歌进行交互的