2. 程式人生 > >OAuth認證

OAuth認證

阿新 發佈:2017-05-05
地址 分包 如果 網站 p s noi con 提供服務 跨站

https://www.wuhuachuan.com/visitor/learning/article/getArticleDetail?id=e70818e5-f5f1-4640-b928-f908bece0463&utm_source=tuicool&utm_medium=referral

前言

主要想總結下工作中使用的 Kong 集成 OAuth 這項技術,所以轉載這篇文章先介紹 OAuth 的一些概念。如果有時間,還是讀一下 OAuth RFC 文檔好: 點這裏

OAuth 概念

OAuth 是一個開放標準,允許用戶讓第三方應用訪問該用戶在某一網站上存儲的私密的資源(如照片,視頻,聯系人列表), 而不需要將用戶名和密碼提供給第三方應用。

OAuth允許用戶提供一個令牌,而不是用戶名和密碼來訪問他們存放在特定服務提供者的數據。 每一個令牌授權一個特定的網站在特定的時段內訪問特定的資源。 這樣,OAuth讓用戶可以授權第三方網站訪問他們存儲在另外服務提供者的某些特定信息,而非所有內容。

OAuth 運行流程

首先會有幾個術語:

  • Resource owner : 資源所有者,本文中稱為 “用戶”。
  • Authorization server :認證服務器,即服務提供商專門用來處理認證的服務器。
  • Resource server:資源服務器,即用戶提供商存放用戶生成的資源的服務器。它和認證服務器,可以是同一臺服務器,也可以是不同的服務器。

總的來說, 認證服務器 和 資源服務器 都由 服務提供商 提供。流程如下圖:

技術分享

文字解釋:

  • 用戶打開客戶端以後,客戶端要求用戶給予授權。
  • 用戶同意給予客戶端授權。
  • 客戶端使用上一步獲得的授權,向認證服務器申請令牌。
  • 認證服務器對客戶端進行認證後,確認無誤後,同意發放令牌。
  • 客戶端使用令牌,向資源服務器申請獲取資源。
  • 資源服務器確認令牌無誤後,同意向客戶端開放資源。

上面的 6 個步驟中,重點在於 2 ,即用戶怎麽給客戶端授權,有了這個授權,客戶端就可以獲取令牌,進而憑借令牌獲取資源。

OAuth 授權模式

OAuth2.0 定義了 四種授權模式。分別為:

  • 授權碼模式
  • 簡化模式
  • 密碼模式
  • 客戶端模式

授權碼 模式

授權碼模式是功能最完整,流程最嚴密的授權模式。它的特定就是通過客戶端的後臺服務器,與“服務提供商”的認證服務器進行互動。流程如下圖:

技術分享

解釋:

首先,用戶訪問客戶端,後者將前者導向認證服務器。如: https://www.example.com/v1/oauth/authorize?response_type=code&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read

  • www.example.com/v1/oauth/authorize :API 授權的終端。
  • client_id :應用程序的client ID,用於 API 識別應用程序。
  • redirect_uri :獲得授權碼之後,服務提供商重定向用戶代理(比如瀏覽器)的地址。
  • response_type : 表明授權類型,默認是 code。即授權碼模式。
  • scope: 應用程序可以獲得的授權級別,默認值為 read。
  • state:表示客戶端的當前狀態,可以指定任意值,認證服務器會原封不動地返回這個值,用於抵禦 CSRF 攻擊。

然後,用戶選擇是否給予授權。如下圖:

技術分享

假如用戶給予授權,認證服務器將用戶導向客戶端事先指定的 “重定向URL”,同時附上一個授權碼: https://www.jianshu.com/callback?code=AUTHORIZATION_CODE

客戶端收到授權碼,附上之前的 “重定向URI” 向認證服務器申請令牌。這一步是在客戶端的後臺的服務器上完成的,對用戶不可見。

https://www.example.com/v1/oauth/token? client_id=CLIENT_ID& client_secret=CLIENT_SECRET& grant_type=authorization_code& code=AUTHORIZATION_CODE& redirect_url=REDIRECT_URL

URI 包括:

  • www.example.com/v1/oauth/authorize :API Token的終端。
  • client_id :即 app key / consumer key ,用於驗證應用程序。
  • client_secret:即 app secret / consumer secret 用於驗證應用程序。
  • grant_type :剛剛獲得的授權碼
  • redirect_uri :重定向URI,和第一步一致。

認證服務器核對了授權碼 和 重定向 URI 確認無誤後,向客戶端發送訪問令牌和 更新令牌。

{ "access_token":"ACCESS_TOKEN", "token_type":"bearer", "expires_in":2592000, "refresh_token":"REFRESH_TOKEN", "scope:read" }

包括了:

  • access_token:訪問令牌
  • token_type :令牌類型
  • expires_in :過期時間,單位為秒
  • refresh_token: 更新令牌,用來獲取下一次的訪問令牌。
  • scope:權限範圍。

Ps:這裏可能會有一個疑惑,為什麽要發送兩次請求得到 token,為什麽要有 code?

是這樣子的:

  1. 瀏覽器的 redirect uri 是一個不安全信道,此方式不適合於傳遞敏感數據(如 access token)。 因為 uri 可能通過 HTTP referrer 被傳遞給其它惡意站點,也可能存在於瀏覽器 cacher 或 log 文件中,這就給攻擊者盜取 access token 帶來了很多機會。 另外,此協議也不應該假設 RO 用戶代理的行為是可信賴的,因為 RO 的瀏覽器可能早已被攻擊者植入了跨站腳本用來監聽 access token。 因此,access token 通過 RO 的用戶代理傳遞給 Client,會顯著擴大 access token 被泄露的風險。 但 authorization code 可以通過 redirect uri 方式來傳遞,是因為 authorization code 並不像 access token 一樣敏感。 即使 authorization code 被泄露,攻擊者也無法直接拿到 access token,因為拿 authorization code 去交換 access token 是需要驗證 Client 的真實身份。 也就是說,除了 Client 之外,其他人拿 authorization code 是沒有用的。 此外,access token 應該只頒發給 Client 使用,其他任何主體(包括 RO)都不應該獲取 access token。 協議的設計應能保證 Client 是唯一有能力獲取 access token 的主體。 引入 authorization code 之後,便可以保證 Client 是 access token 的唯一持有人。 當然,Client 也是唯一的有義務需要保護 access_token 不被泄露。
  2. 引入 authorization code 還會帶來如下的好處。 由於協議需要驗證 Client 的身份,如果不引入 authorization code,這個 Client 的身份認證只能通過第1步的 redirect uri 來傳遞。 同樣由於 redirect uri 是一個不安全信道,這就額外要求 Client 必須使用數字簽名技術來進行身份認證,而不能用簡單的密碼或口令認證方式。 引入 authorization_code 之後,AS 可以直接對 Client 進行身份認證(見步驟4和5),而且可以支持任意的 Client 認證方式(比如,簡單地直接將 Client 端密鑰發送給 AS)。

簡化模式

簡化模式不經過第三方應用程序的服務器,直接在瀏覽器中向認證服務器 申請令牌,跳過了“授權碼” 這個步驟,所以步驟都在瀏覽器中完成,令牌對訪問者是可見的,而且客戶端不需要認證。這種模式一般是用於客戶端應用程序,比如手機應用,桌面客戶端應用程序和運行於瀏覽器上的Web應用程序。授權令牌會交給用戶代理,再由用戶代理交給應用程序。如下圖:

技術分享

首先,還是用戶訪問客戶端,客戶端將用戶導向認證服務器。 https://www.example.com/authorize?response_type=token&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read

然後,用戶選擇是否給予客戶端授權:

技術分享

假如用戶給予授權,認證服務器將用戶導向客戶端事先指定的 “重定向URI” ,並且在 URI 的 hash 部分包含了訪問令牌: https://www.example.com/callback#token=ACCESS_TOKEN

then 瀏覽器向資源服務器發出請求,其中不包括上一步收到的 hash 值。

then 資源服務器返回一個網頁,其中包含的代碼可以獲取Hash 值中的令牌。

then 瀏覽器執行上一步獲得的腳本,提出令牌。

finally 瀏覽器將令牌發送給客戶端。

密碼模式

即用戶向客戶端提供用戶名密碼。客戶端使用這些信息,向 “服務商提供商” 索要授權。在這種模式下,客戶端不得存儲密碼。 這通常用在用戶對客戶端高度可信的情況下。 一般,認證服務器只有在其他授權模式無法執行的情況下,才能考慮使用這種模式。如下圖:

技術分享

  1. 用戶向客戶端提供用戶名,密碼。
  2. 客戶端用用戶名,密碼發送給認證服務器,向後者申請令牌。
  3. 認證服務器確認無誤後,向客戶端提供訪問令牌。

客戶端模式

客戶端使用自己的名義,而不是用戶的名義,向“服務提供商” 進行認證。嚴格來說,客戶端模式並不屬於OAuth 框架所需要解決的問題。在這種模式下,用戶直接向客戶端註冊,客戶端以自己的名義要求“服務提供商”提供服務,其實並不存在授權。如下圖:

技術分享

  1. 客戶端向認證服務器進行身份認證,並且要求一個訪問令牌。
  2. 認證服務器認證無誤後,向客戶端提供訪問令牌。

對於這種方式,用在 訪問一些和用戶無關的Open Api,比如一些首頁數據,這些數據和用戶無關,但是又不想任何人都可以調用這個WebApi,那麽就可以采用這種模式。

參考

  • 深入理解OAuth2.0協議

寫在最後

  1. 寫出來,說出來才知道對不對,知道不對才能改正,改正了才能成長。
  2. 在技術方面,希望大家眼裏都容不得沙子。如果有不對的地方或者需要改進的地方希望可以指出,萬分感謝。

OAuth認證

相關推薦

OAuth認證

地址 分包 如果 網站 p s noi con 提供服務 跨站 https://www.wuhuachuan.com/visitor/learning/article/getArticleDetail?id=e70818e5-f5f1-4640-b928-f908bece0

搭建Oauth認證服務器

oauth get server 服務器 ati ocs blank docs net https://docs.microsoft.com/en-us/aspnet/aspnet/overview/owin-and-katana/owin-oauth-20-authori

How to setup oAuth 1.0 in NetSuite RESTlet API 如何在NetSuite中設定RESTlet API的oAuth認證

步驟如下: 1. Got Restlet URL 訪問RESTlet的Deployment,這樣獲取WebService要Post或訪問到的具體URL地址, 如果你疑惑RESTlet是什麼,那要等我下一篇文章再介紹。   2. Setup Roles for Token user, goe

spring boot +security+oauth認證伺服器和資源伺服器(基於註解實現)

部分程式碼是搬別人寫好、自己做了調整 一、認證伺服器配置 1.新建maven專案pom.xml <dependencies> <dependency> <groupId>

OAuth認證原理與第三方登入

1.背景 以下例子引用知乎“OAuth 授權的工作原理是怎樣的?足夠安全嗎?”中李天放的回答 假如你在某個網站A上使用微博進行第三方登入,那麼你可以想象新浪微博就是你的家。偶爾你會想讓一些人(第三方應

Android面試題-oauth認證協議原理

本文配套視訊 配套視訊 原始碼分析相關面試題 與XMPP相關面試題 與效能優化相關面試題 與登入相關面試題 與開發相關面試題 騰訊QQ第三方登入的實現原理? Oauth當中的角色: 1.Ser

OAuth認證的 HMAC-SHA1簽署 實現

HMAC-SHA1簽署方式使用[RFC2104] (Krawczyk, H., Bellare, M., and R. Canetti, “HMAC: Keyed-Hashing for Message Authentication,” .)中定義的HMAC-SHA1簽署演算

認證 協議 JWT OAuth Session Cookie

cot ack 後端 tel 曾經 pin algo col 會話 本文翻譯自Auth-Boss。 如果有翻譯的不恰當或不對的地方, 歡迎指出。 成為一個認證老司機, 了解網絡上不同的身份認證方法。 本文檔的目的是記錄和編目Web上的身份驗證方法。認證指的是創建一個

翻譯:WebApi 認證--用戶認證Oauth解析

類型 修改 必須 back import googl further set 包裝 The Web API v2用戶認證模板提供了流行的應用用戶認證場景,如.使用本地帳號的用戶名密碼認賬 (包括創建用戶、設置和修改密碼)以及使用第三方的認證方式,如facebook,goog

認證授權那點事兒 —— OAuth 2.0

OAuth 2.0 —— 開放授權協議,對應的規範檔案RFC-6749早在2012年便成形,所以這並不是一個新的技術(你問我為啥研究這個,我也想吟一首詩啊。。。組織上就是這樣決定的),但由於其必不可少的價值,在今天的網路上已經得到了廣泛的應用。 OAuth2.0認證是要在不同的應用之

瞭解第三方認證方式:OAuth與OpenID

一、常規認證 網站的常規認證方式,就是需要使用者在登陸的時候輸入使用者名稱密碼,再根據該使用者具體對應的許可權,檢視該使用者可以訪問的目錄及可以進行的功能。 在java程式設計領域,該方面的功能是可以通過shiro或者Spring Security來完成。都

Sprint Boot使用OAuth和JWT實現身份認證【一】

依賴第三方庫:compile 'io.jsonwebtoken:jjwt:0.9.0'1.先寫個例子用JWT實現獲取token和解析tokenpackage com.yf.gyy.OAuthController; import java.util.Date; import

ASP.NET Core 認證與授權[3]:OAuth & OpenID Connect認證

原文: ASP.NET Core 認證與授權[3]:OAuth & OpenID Connect認證 在上一章中,我們瞭解到,Cookie認證是一種本地認證方式,通常認證與授權都在同一個服務中,也可以使用Cookie共享的方式分開部署,但侷限性較大,而如今隨著微服務的流行,更加偏向於將以前的單體應用

Oauth三種認證方式

1.資源所有者密碼憑據許可。Resource Owner Password Credentials Grant 2.隱式許可。Implicit Grant 3.授權碼許可。Authorization Code Grant cookie是不能跨域的 共享session庫 統一認證中心 一個

基於Python下的OAuth 2.0 點點網API認證

一、點點API簡介 根據該網站描述,該網站採用標準的OAuth 2.0的協議,既然是標準,應該很容易移植,現在採用這種協議的網站越來越多了,開發者最多的應該是新浪了,看到新浪有Python 的SDK果斷下載下來,並進行移植。 二、SDK程式碼 oauth.p

oauth jwt認證整合問題集合

Field authenticationManager in com.spring.cloud.authentic.config.JwtAuthorizationConfig required a bean of type 'org.springframework.secur

Restful介面鑑權認證OAuth

OAuth是一個關於授權(authorization)的開放網路標準,在全世界得到廣泛應用,目前的版本是2.0版。 本文對OAuth 2.0的設計思路和執行流程,做一個簡明通俗的解釋,主要參考材料為RFC 6749。 一、應用場景 為了理解OAuth的適用場合,

自己開發實現OAuth做webapi認證

一、作為認證伺服器,首先需要提供一個可以通過appid/appsecret來獲取token這樣的一個介面,於是便有了以下程式碼。 public class AuthController : ApiController { [HttpG

Spring Boot+Spring Security+Spring Social專案開發(六):開發APP認證框架、Spring Security OAuth核心原始碼、重構三種登入方式、重構社交登入

說在前面 博主最近會有很多專案跟大家一起分享,做完後會上傳github上的,希望讀友們能給博主提提意見哈哈 這個專案是第三方登入和安全方面的,關於後臺與app和網站的登入連線操作的實戰專案 各位如果可以就給我star哈哈謝謝啦 S

OAUTH、OPENID、SAML、CAS做統一認證與授權的聯絡與區別

首先,SSO和許可權控制是兩回事: 1、CAS系統解決單點登入問題,對身份認證的具體方法不做要求。 2、Oauth、openID、SAML是身份身份認證授權的規範和標準,是解決認證授權問題的。 OpenID與Oauth協議的區別,可以從其標準定義的核心應用場景來分