理解OAuth2.0协议和授权机制
wu论是自然资源还是互联网上的资源,需要控制使用权与被使用权,以保护资源的安quan、合理的使用和有效的管控。
项目中,我们需要控制的是用户资源,既要保证有效用户的合理使用,又要防范非法用户的攻击。如此,如何区分有效和非法就是我们需要考虑的问题,简单点,通过账号密码来区分,能够通过检测的便是有效用户。
可当项目越来越复杂,用户还想使用弟三方应用,那么不能将账号密码交给弟三方吧,同时,尽管通过账号密码检测了是有效用户,那么是否就能够访问资源、使用资源呢,这也未必。
种种因素下,OAuth(Open Authorization)作为一个安quan、开放且简易的标准,方便我们在项目中协调资源、控制授权,以在用户、弟三方应用和用户资源三者间形成一个有效的控制机制,而wu需将用户的账号密码提供给弟三方应用,且还能控制弟三方应用对资源的访问与使用。
An open protocol to allow secure authorizationin a simple and standard method from web, mobile and desktop applications.
认证与授权
对于弟三方应用想要访问被保护的资源,应当是使用授权访问,而这前提是要经过认证环节,毕竟认证成功,但不代表就有权限访问资源。OAuth更多的是侧重于如何实现授权来控制弟三方应用能够访问资源。认证协议是基于其上的Open ID Connect。尽管OAuth的流程中存在认证部分内容,但不能说OAuth就是认证协议。
- Authentication(认证) 是验证用户(是弟三方应用的使用者)的身份的凭据(账号和密码),通过这个凭据,系统得以知道你就是你,也就是说系统存在你这个用户。所以,Authentication 被称为身份/用户验证。
- Authorization(授权) 发生在 Authentication(认证) 之后。其本身意思就很明了,它主要掌管我们访问系统的权限。比如有些特定资源只能具有特定的权限才能访问。比如手机浏览器想要访问底层摄像头,需要经用户允许访问才能获得授权,以此才能获取到具体资源。
OAuth历史
OAuth 的历史版本中有 OAuth 1.0 和 OAuth 2.0,其中 OAuth 1.0 在 2010 年发表为 RFC5849,OAuth 2.0 为 RFC6749,并且 OAuth 2.0 不向下兼容 OAuth 1.0,目前 OAuth 2.0 被广泛使用,因此这里不再对 OAuth 1.0 进行更多的描述。
OAuth的几种角色
-
Resource Owner:资源者,拥有资源的人,简单说就是谁在操作浏览器/App/小程序..
-
Resource Server:资源服务器,资源拥有者拥有的资源
-
Client:弟三方应用,从资源者处获取授权,然后从资源服务器获取资源
当不考虑OAuth协议,我们常见便是如上三种,想要弟三方应用可以使用资源服务器的资源,又得把自身的
