OAuth2--授权模式

授权码模式

1、资源拥有者打开客户端，客户端要求资源拥有者给予授权，它将浏览器被重定向到授权服务器，重定向时会 附加客户端的身份信息。如:

/uaa/oauth/authorize?client_id=c1&response_type=code&scope=all&redirect_uri=http://www.baidu.com

参数列表如下:

• client_id:客户端准入标识。
• response_type:授权码模式固定为code。
• scope:客户端权限。
• redirect_uri:跳转uri，当授权码申请成功后会跳转到此地址，并在后边带上code参数(授权码)。

2、浏览器出现向授权服务器授权页面，之后将用户同意授权。
3、授权服务器将授权码(AuthorizationCode)转经浏览器发送给client(通过redirect_uri)。
4、客户端拿着授权码向授权服务器索要访问access_token，请求如下:

参数列表如下

• client_id:客户端准入标识。
• client_secret:客户端秘钥。
• grant_type:授权类型，填写authorization_code，表示授权码模式
• code:授权码，就是刚刚获取的授权码，注意:授权码只使用一次就无效了，需要重新申请。
• redirect_uri:申请授权码时的跳转url，一定和申请授权码时用的redirect_uri一致。

5、授权服务器返回令牌(access_token)

这种模式是四种模式中最安全的一种模式。一般用于client是Web服务器端应用或第三方的原生App调用资源服务 的时候。因为在这种模式中access_token不会经过浏览器或移动端的App，而是直接从服务端去交换，这样就最大 限度的减小了令牌泄漏的风险。

测试：

浏览器访问认证页面:

http://localhost:53020/uaa/oauth/authorize? client_id=c1&response_type=code&scope=all&redirect_uri=http://www.baidu.com

然后输入模拟的账号和密码点登陆之后进入授权页面:

确认授权后，浏览器会重定向到指定路径(oauth_client_details表中的web_server_redirect_uri)并附加验证码? code=DB2mFj(每次不一样)，最后使用该验证码获取token。

简化模式

1、资源拥有者打开客户端，客户端要求资源拥有者给予授权，它将浏览器被重定向到授权服务器，重定向时会 附加客户端的身份信息。如:

/uaa/oauth/authorize?client_id=c1&response_type=token&scope=all&redirect_uri=http://www.baidu.com

参数描述同授权码模式 ，注意response_type=token，说明是简化模式。

2、浏览器出现向授权服务器授权页面，之后将用户同意授权。
3、授权服务器将授权码将令牌(access_token)以Hash的形式存放在重定向uri的fargment中发送给浏览 器。

注:fragment 主要是用来标识 URI 所标识资源里的某个资源，在 URI 的末尾通过 (#)作为 fragment 的开头， 其中 # 不属于 fragment 的值。如https://domain/index#L18这个 URI 中L18 就是 fragment 的值。大家只需要 知道js通过响应浏览器地址栏变化的方式能获取到fragment 就行了。

一般来说，简化模式用于没有服务器端的第三方单页面应用，因为没有服务器端就无法接收授权码。

测试：

浏览器访问认证页面:

   http://localhost:53020/uaa/oauth/authorize?client_id=c1&response_type=token&scope=all&redirect_uri=http://www.baidu.com

然后输入模拟的账号和密码点登陆之后进入授权页面:

确认授权后，浏览器会重定向到指定路径(oauth_client_details表中的web_server_redirect_uri)并以Hash的形 式存放在重定向uri的fargment中,如:

https://www.baidu.com/#access_token=eb94a964-6313-46fd-9de5-ef6994ba2655&token_type=bearer&expires_in=7199

密码模式

1、资源拥有者将用户名、密码发送给客户端
2、客户端拿着资源拥有者的用户名、密码向授权服务器请求令牌(access_token)，请求如下:

/uaa/oauth/token? client_id=c1&client_secret=secret&grant_type=password&username=shangsan&password=123

参数列表如下:

• client_id:客户端准入标识。
• client_secret:客户端秘钥。
• grant_type:授权类型，填写password表示密码模式
• username:资源拥有者用户名。
• password:资源拥有者密码。

3、授权服务器将令牌(access_token)发送给client

这种模式十分简单，但是却意味着直接将用户敏感信息泄漏给了client，因此这就说明这种模式只能用于client是我们自己开发的情况下。因此密码模式一般用于我们自己开发的，第一方原生App或第一方单页面应用。

测试：

POST http://localhost:53020/uaa/oauth/token

客户端模式

1、客户端向授权服务器发送自己的身份信息，并请求令牌(access_token)
2、确认客户端身份无误后，将令牌(access_token)发送给client，请求如下:

/uaa/oauth/token?client_id=c1&client_secret=secret&grant_type=client_credentials

参数列表如下:

• client_id:客户端准入标识。
• client_secret:客户端秘钥。
• grant_type:授权类型，填写client_credentials表示客户端模式

这种模式是最方便但最不安全的模式。因此这就要求我们对client完全的信任，而client本身也是安全的。因 此这种模式一般用来提供给我们完全信任的服务器端服务。比如，合作方系统对接，拉取一组用户信息。

测试：

POST http://localhost:53020/uaa/oauth/token