OAuth2是什么?
OAuth2是一个授权协议。OAuth2.0框架能让第三方应用以有限的权限访问HTTP服务,可以通过构建资源拥有者与HTTP服务间的许可交互机制,让第三方应用代表资源拥有者访问服务,或者通过授予权限给第三方应用,让其代表自己访问服务。
我们需要关心如下角色:
- 资源拥有者:拥有资源权限的一个人;
- 受保护的资源:资源拥有者有权限访问的组件,大多数情况下是WebApi形式;
- 客户端:只要软件使用了受保护的API,它就是客户端;
通过以上组件最终达到的效果是:让客户端为资源拥有者访问受保护资源。用户身份认证直接在用户(和用户的浏览器)与授权服务器之间进行,这个过程对客户端应用不可见。这一重要特性避免了用户将自己的凭证透露给客户端应用,对抗这种反模式正是发明OAuth的原因。
OAuth2不能做什么?
- OAuth没有定义HTTP协议之外的情形;
- OAuth不是身份认证协议;
- OAuth没有定义用户对用户的授权机制;
- OAuth没有定义授权处理机制;
- OAuth没有定义令牌的格式;
- OAuth没有定义加密方式;
- OAuth不是单体协议;
OAuth2重要组件
- OAuth客户端:是代表资源拥有者访问受保护资源的软件;
- 受保护资源:能通过HTTP服务器进行访问,在访问时需要OAuth访问令牌。受保护资源需要验证收到的令牌,受保护资源对是否认可令牌拥有最终决定权;
- 资源拥有者:有权将访问权限授权给客户端的主体。在大多数情况下,资源拥有者是一个人;
- OAuth认证服务器:是一个HTTP服务,它在OAuth系统中充当中央组件,授权服务器对资源拥有者和客户端进行身份认证,让资源拥有者向客户端授权、为客户端颁发令牌、为受保护的资源校验令牌;
OAuth2细节:
- scope参数:使用空格分隔的字符串;
- 授权码许可流程:需结合前端信道和后端信道通信;