孤尽训练营打卡日记day19--OAuth2基础

前言

        我们现在的系统架构都是微服务的架构，也就是说，一个完整的功能，是由后台多个工程一起完成的。那么就会有一个问题，明明是多个工程，但是我们只需要登录一次，这是怎么实现的呢？今天我们跟着刘雪松老师一起学习一下OAuth2第三方登录授权协议

OAuth2 是什么？

        OAuth（开放授权）是一个开放标准，允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息，而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。比如在微信上打开京东的小程序，这个时候就会提示是否授权。

使用场景

        第三方应用授权登录：在APP或者网页接入一些第三方应用时，时长会需要用户登录另一个合作平台，比如QQ，微博，微信的授权登录。

示例：QQ授权登录京东

•  客户端：京东
• 资源服务器和授权服务器：QQ
• OAuth2：授权协议；因为客户端和认证服务器双方的不信任产生的一个授权协议。

OAuth2 角色

• Resource Owner：资源所有者，本文中又称"用户"（user）,即登录用户。
• Client（Third-party application）：客户端，第三方应用程序，比如打开京东，使用第三方登录，选择qq登录，这时候京东就是客户端。
• Authorization server：认证服务器，即服务提供商专门用来处理认证的服务器。
• Resource server：资源服务器，即服务提供商存放用户生成的资源的服务器。它与认证服务器，可以是同一台服务器，也可以是不同的服务器。
• User Agent：用户代理，本文中就是指浏览器。

 

OAuth2 授权模式

授权码模式：最完整和严谨的授权模式，第三方平台登录的都是此模式

安全性：最高

使用场景：

流程：

1. 用户访问客户端，后者将前者导向认证服务器，假设用户给予授权，认证服务器将用户导向客户端事先指定的"重定向URI"（redirection URI），同时附上一个授权码。
2. 客户端收到授权码，附上早先的"重定向URI"，向认证服务器申请令牌：GET /oauth/token?response_type=code&client_id=test&redirect_uri=重定向页面链接。请求成功返回code授权码，一般有效时间是10分钟。
3. 认证服务器核对了授权码和重定向URI，确认无误后，向客户端发送访问令牌（access token）和更新令牌（refresh token）。POST /oauth/token?response_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=重定向页面链接。

简化模式：省略授权码阶段，客户端是纯静态页面采用次模式

安全性：高

1. 客户端将用户导向认证服务器。
2. 用户决定是否给于客户端授权。
3. 假设用户给予授权，认证服务器将用户导向客户端指定的"重定向URI"，并在URI的Hash部分包含了访问令牌。
4. 浏览器向资源服务器发出请求，其中不包括上一步收到的Hash值。
5. 资源服务器返回一个网页，其中包含的代码可以获取Hash值中的令牌。
6. 浏览器执行上一步获得的脚本，提取出令牌。
7. 浏览器将令牌发给客户端。

密码模式：把用户名密码告诉客户端，对客户端高度信任，比如客户单和认证服务器是同一家公司

安全性：一般

流程：

1. 用户向客户端提供用户名和密码。
2. 客户端将用户名和密码发给认证服务器，向后者请求令牌。
3. 认证服务器确认无误后，向客户端提供访问令牌。

客户端模式：直接以客户端名义申请令牌，很少用

安全性：差

流程：

1. 客户端向认证服务器进行身份认证，并要求一个访问令牌。
2. 认证服务器确认无误后，向客户端提供访问令牌。

OAuth 2.0 和 1.0 的区别

OAuth 1.0 的缺点：

• 用的是http协议，申请RequestToken 过程中，容易被攻击者调包
• 攻击者调包后的目的就是伪造回调地址，拿到用户的accessToken

OAuth 2.0 改进

• 去掉签名，改用SSL（HTTPS）确保安全性
• 所有的token不在有对应的secret存在，签名过程简洁，这也直接导致OAuth2.0不兼容老版本
• 能更好的支持不是基于浏览器的应用
• OAuth2.0 的访问令牌是短命的，且有刷新令牌

为什么要用 oauth2？

单体架构：cookie session机制

 cookie session 和 token 的区别

• cookie 是不能跨域的，前后端分离分布式架构实现多系统SSO非常困难
• 移动端没有cookie，所以对移动端支持不好
• token 基于header 传递，部分解决了CSRF攻击
• token 要比sessionId大，客户端存储在Local Storage 中，可以直接被JS读取

莫等闲，白了少年头，空悲切。   --《满江红·写怀》岳飞

参考文档：

刘雪松老师的ppt

Oauth2详解-介绍(一) - 简书