OAuth2.0的一个简单解释
写在前面
乘着年尾还有点时间,打算将今年学到的OAth2相关知识进行总结,一来是便于自己对知识点的汇总,二来是怕自己遗忘,写几篇笔记来进行记录。
OAth2
快递员问题
一开始我也不太明白OAth2这个概念,直到某一天看到阮一峰写的OAth2博客,才对OAth2有了一个更为清晰的理解和认识。他通过一个快递员问题,从身边的事物入手,来理解OAth2的概念。
假设笔者住在一个大型的居民小区,小区有门禁系统,任何人进入的时候需要输入密码。笔者非常喜欢淘货,每天都有快递员来送货,因此笔者必须找到一个办法,让快递员通过门禁系统,进入小区进而给我派件。现在问题来了,如果我把我的密码告诉快递员,那么快递员就拥有了和我一样的权限,这似乎不太合适。还有万一我修改了密码,那我必须告诉所有的快递员,这样它们才能继续进入小区。
那么问题来了,有没有一种办法可以让快递员既可以自由的进出小区,又无需知道小区居民的用户密码,而且他唯一的权限就是派件,其他需要密码的场合,他都不能进,没有对应的权限。
授权机制的设计
针对上述问题,笔者设计了一套授权机制。
第一步,在门禁系统的密码输入器下面增加一个按钮,叫做”获取授权”。快递员首先需要按这个按钮,去申请授权。
第二步,快递员在按下按钮以后,屋主(也就是笔者)的手机就会跳出对话框:有人正在要求授权。系统还会显示该快递员的姓名、工号和所属的快递公司。
笔者确认请求属实,就点击确认按钮告诉门禁系统,笔者同意给予快递员进入小区的授权。
第三步,门禁系统得到笔者的确认以后,会向快递员显示一个进入小区的令牌(access token)。令牌就是类似密码的一串数字,只在短期内(如七天)有效。
第四步,快递员向门禁系统输入令牌,进入小区。
这里有人可能会问,为什么不是远程为快递员开门,而要为他单独生成一个令牌?那是因为快递员可能每天都会来送货,第二天他还可以复用这个令牌。另外,有的小区有多重门禁,快递员可以使用同一个令牌通过它们。
互联网场景
我们把上面的例子搬到互联网,这就是OAuth的设计思想。
首先,居民小区就是储存用户数据的网络服务。比如,微信储存了我的好友信息,获取这些信息,就必须经过微信的”门禁系统”。
其次,快递员(或者说快递公司)就是第三方应用,想要穿过门禁系统,进入小区。
最后,我就是用户本人,同意授权第三方应用进入小区,获取我的数据。
简单说,OAuth就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。
令牌与密码
令牌(token)与密码(password)的作用是一样的,都可以进入系统,但是存在三点差异,如下所示:
(1)令牌是短期的,到期会自动失效,用户自己无法修改。密码一般长期有效,用户不修改,就不会发生变化。
(2)令牌可以被数据所有者撤销,会立即失效。以上例而言,屋主可以随时取消快递员的令牌。密码一般不允许被他人撤销。
(3)令牌有权限范围(scope),比如只能进小区的二号门。对于网络服务来说,只读令牌就比读写令牌更安全。密码一般是完整权限。
上面这些设计,保证了令牌既可以让第三方应用获得权限,同时又随时可控,不会危及系统安全。这就是 OAuth 2.0 的优点。
注意,只要知道了令牌,就能进入系统。系统一般不会再次确认身份,所以令牌必须保密,泄漏令牌与泄漏密码的后果是一样的。 这也是为什么令牌的有效期,一般都设置得很短的原因。
OAuth 2.0 对于如何颁发令牌的细节,规定得非常详细。具体来说,一共分成四种授权类型(authorization grant),即四种颁发令牌的方式,适用于不同的互联网场景。
以上就是阮一峰大佬对于OAuth2的理解,个人觉得这个理解非常到位,且通俗易懂,非常适合入门理解OAuth2。
个人理解的OAuth2
接下来笔者将从自己的理解来谈一谈OAuth2。
OAuth是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等〉,而在这个过程中无须将用户名和密码提供给第三方应用。
实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站在特定的时段内访问特定的资源。这样,OAuth让用户可以授权第三方网站灵活地访问存储在另外一些资源服务器的特定信息,而非所有内容。
例如,用户想通过QQ登录知乎,此时知乎就是一个第三方应用,知乎要访问用户的一些基本信息就需要得到用户的授权,如果用户把自己的QQ用户名和密码告诉知乎,那么知乎就能访问用户的所有数据,并且只有用户修改密码才能收回授权,这种授权方式安全隐患很大,如果使用OAuth,就能很好地解决这一问题。
采用令牌的方式可以让用户灵活地对第三方应用授权或者收回权限。
OAuth2是OAuth协议的下一版本,但不向下兼容OAuth1.0 。OAuth2关注客户端开发者的简易性,同时为Web 应用、桌面应用、移动设备、起居室设备提供专门的认证流程。
传统的Web开发登录认证一般都是基于Session的,但是在前后端分离的架构中继续使用Session会有许多不便,因为移动端(Android、iOS、微信小程序等)要么不支持Cookie(微信小程序),要么使用非常不便,对于这些问题,使用OAuth2认证都能解决,因此OAuth2对于解决信息授权与认证有非常大的帮助。
(完)
