一般公司项目比较多,比较分散,但是对于都是公司的用户来说,用户数据一般是共享的,所以集成统一认证与授权的功能一般就必不可少,这样可以实现一个用户,分配一点权限,能访问公司很多项目.
一般的认证与授权方案有 OAuth、分布式 Session、OpenID 和 JWT 等.目前常用的是OAuth2,其重点在于为Web应用程序、桌面应用程序、移动设备以及室内设备的授权流程提供简单的客户端开发方式。它为第三方应用提供对HTTP服务的有限访问,既可以是资源拥有者通过授权允许第三方应用获取HTTP服务,也可以是第三方以自己的名义获取访问权限。
OAuth2 中主要分为了4种角色(重点核心)
1.resource owner 资源所有者,是能够对受保护的资源授予访问权限的实体,可以是一个用户,这时会被称为end-user。
2.resource server 资源服务器,持有受保护的资源,允许持有访问令牌(access token)的请求访问受保护资源。
3.client 客户端,持有资源所有者的授权,代表资源所有者对受保护资源进行访问。
4.authorization server 授权服务器,对资源所有者的授权进行认证,成功后向客户端发送访问令牌。
(所有的操作都是围绕这四种角色来开展的.)
官方有一个流程图:
主要是六步操作:
1.client请求Resource owner 来 获取授权;
2.Resource owner 同意授权,返回授权许可(Authorization Grant);
3.client携带Authorization Grant要求授权Resource Server 进行认证,并发送一个token令牌;
4.Resource Server 对client进行身份验证,并认证Authorization Grant,如果有效,返回token令牌;
5.client携带Authorization Grant向Resource Server请求受保护资源的访问;
6.Resource Server验证token令牌,如果有效,接受访问请求,返回受保护资源。
授权类型
OAuth2默认定了四种授权类型
1.authorization code 授权码类型
2.implicit 简化类型(也称为隐式类型)
3.resource owner password credentials 密码类型
4. client credential 客户端类型
下面主要说一下客户端类型
具体代码如下:(着重看每个方法上面的注释,可以便于理解)
package main
import (
"encoding/json"
"fmt"
"github.com/google/uuid"
"gopkg.in/oauth2.v3/errors"
"gopkg.in/oauth2.v3/manage"
"gopkg.in/oauth2.v3/models"
"gopkg.in/oauth2.v3/server"
"gopkg.in/oauth2.v3/store"
"log"
"net/http"
)
func main(){
clientStore, srv := InitOauthManager()
/**
注册获取 clientId和clientSecret( 1.client请求Resource owner 来 获取授权; )
*/
http.HandleFunc("/route", func(w http.ResponseWriter, r *http.Request) {
clientId := uuid.New().String()[:8]
clientSecret := uuid.New().String()[:8]
err := clientStore.Set(clientId, &models.Client{
ID: clientId,
Secret: clientSecret,
})
if err != nil {
fmt.Println(err.Error())
}
w.Header().Set("Content-Type", "application/json")
/**
//(2.Resource owner 同意授权,返回授权许可(Authorization Grant))
*/
json.NewEncoder(w).Encode(map[string]string{"CLIENT_ID": clientId, "CLIENT_SECRET": clientSecret}) //实际项目中一般存到数据库或者redis
})
/**
获取access_token( 3.client携带Authorization Grant要求授权Resource Server 进行认证,并发送一个token令牌;
4.Resource Server 对client进行身份验证,并认证Authorization Grant,如果有效,返回token令牌)
*/
http.HandleFunc("/token", func(w http.ResponseWriter, r *http.Request) {
srv.HandleTokenRequest(w, r)
})
/**
带着access_token 访问路径(5.client携带Authorization Grant向Resource Server请求受保护资源的访问;)
*/
http.HandleFunc("/test01", validateToken(func(w http.ResponseWriter, r *http.Request) {
w.Write([]byte("HelloWord"))
}, srv))
log.Fatal(http.ListenAndServe(":8888", nil))
}
/**
token校验(6.Resource Server验证token令牌,如果有效,接受访问请求,返回受保护资源。)
*/
func validateToken(f http.HandlerFunc, srv *server.Server) http.HandlerFunc {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
_, err := srv.ValidationBearerToken(r)
if err != nil {
http.Error(w, err.Error(), http.StatusBadRequest)
return
}
f.ServeHTTP(w, r)
})
}
//初始化OauthManager
func InitOauthManager() (*store.ClientStore, *server.Server) {
manager := manage.NewDefaultManager()
manager.SetAuthorizeCodeTokenCfg(manage.DefaultAuthorizeCodeTokenCfg)
manager.MustTokenStorage(store.NewMemoryTokenStore())
clientStore := store.NewClientStore()
manager.MapClientStorage(clientStore)
srv := server.NewDefaultServer(manager)
srv.SetAllowGetAccessRequest(true)
srv.SetClientInfoHandler(server.ClientFormHandler)
manager.SetRefreshTokenCfg(manage.DefaultRefreshTokenCfg)
srv.SetInternalErrorHandler(func(err error) (re *errors.Response) {
log.Println("Internal Error:", err.Error())
return
})
srv.SetResponseErrorHandler(func(re *errors.Response) {
log.Println("Response Error:", re.Error.Error())
})
return clientStore, srv
}1.首先我们启动项目.访问: http://localhost:8888/route 获取 clientId 和 clientSecret
2.然后访问: http://localhost:8888/token?grant_type=client_credentials&client_id=012eaf30&client_secret=298262d9 获取 到 access_token
3.在访问 :http://localhost:8888/test01?access_token=P8AR0LRKOLOYEMV9ACUXWG 可以看到返回的值
4.我们不加access_token或者修改下这个access_token 看是否还能获取到响应内容呢?
1.修改access_token 发现:
2.不加access_token
可以看到 没有正确的token令牌 是不让我们访问的,至此,我们整个模拟流程走通了.
Oauth支持的5类 grant_type 及说明
authorization_code — 授权码模式(即先登录获取code,再获取token)
password — 密码模式(将用户名,密码传过去,直接获取token)
client_credentials — 客户端模式(无用户,用户向客户端注册,然后客户端以自己的名义向’服务端’获取资源)
implicit — 简化模式(在redirect_uri 的Hash传递token; Auth客户端运行在浏览器中,如JS,Flash)
refresh_token — 刷新access_token
未完待续....