一口气说出 OAuth2.0 的四种授权方式

这几天打算先把项目的前后端分离架构搭建完成既然是前后端分离项目就免不了做鉴权 所以oauth2.0是一个我们不得不了解的知识点。一、OAuth2.0 为何物OAuth简单理解就是一种授权机制它是在客户端和资源所有者之间的授权层用来分离两种不同的角色。在资源所有者同意并向客户端颁发令牌后客户端携带令牌可以访问资源所有者的资源。OAuth2.0是OAuth协议的一个版本有2.0版本那就有1.0版本有意思的是OAuth2.0却不向下兼容OAuth1.0相当于废弃了1.0版本。举个小栗子解释一下什么是 OAuth 授权在家肝文章饿了定了一个外卖外卖小哥30秒火速到达了我家楼下奈何有门禁进不来可以输入密码进入但出于安全的考虑我并不想告诉他密码。此时外卖小哥看到门禁有一个高级按钮“一键获取授权”只要我这边同意他会获取到一个有效期 2小时的令牌token正常出入。令牌token和密码的作用虽然相似都可以进入系统但还有点不同。token拥有权限范围有时效性的到期自动失效而且无效修改。二、OAuth2.0 授权方式OAuth2.0的授权简单理解其实就是获取令牌token的过程OAuth协议定义了四种获得令牌的授权方式authorization grant如下授权码authorization-code隐藏式implicit密码式password客户端凭证client credentials但值得注意的是不管我们使用哪一种授权方式在三方应用申请令牌之前都必须在系统中去申请身份唯一标识客户端 IDclient ID和 客户端密钥client secret。这样做可以保证token不被恶意使用。下面我们会分析每种授权方式的原理在进入正题前先了解OAuth2.0授权过程中几个重要的参数response_typecode 表示要求返回授权码token 表示直接返回令牌client_id客户端身份标识client_secret客户端密钥redirect_uri重定向地址scope表示授权的范围read只读权限all读写权限grant_type表示授权的方式AUTHORIZATION_CODE授权码、password密码、client_credentials凭证式、refresh_token更新令牌state应用程序传递的一个随机数用来防止CSRF攻击。1、授权码OAuth2.0四种授权中授权码方式是最为复杂但也是安全系数最高的比较常用的一种方式。这种方式适用于兼具前后端的Web项目因为有些项目只有后端或只有前端并不适用授权码模式。下图我们以用WX登录掘金为例详细看一下授权码方式的整体流程。用户选择WX登录掘金掘金会向WX发起授权请求接下来WX询问用户是否同意授权常见的弹窗授权。response_type为code要求返回授权码scope参数表示本次授权范围为只读权限redirect_uri重定向地址。https://wx.com/oauth/authorize? response_typecode client_idCLIENT_ID redirect_urihttp://juejin.im/callback scoperead用户同意授权后WX根据redirect_uri重定向并带上授权码。http://juejin.im/callback?codeAUTHORIZATION_CODE当掘金拿到授权码code时带授权码和密匙等参数向WX申请令牌。grant_type表示本次授权为授权码方式authorization_code获取令牌要带上客户端密匙client_secret和上一步得到的授权码code。https://wx.com/oauth/token? client_idCLIENT_ID client_secretCLIENT_SECRET grant_typeauthorization_code codeAUTHORIZATION_CODE redirect_urihttp://juejin.im/callback最后WX收到请求后向redirect_uri地址发送JSON数据其中的access_token就是令牌。{ access_token:ACCESS_TOKEN, token_type:bearer, expires_in:2592000, refresh_token:REFRESH_TOKEN, scope:read, ...... }2、隐藏式上边提到有一些Web应用是没有后端的 属于纯前端应用无法用上边的授权码模式。令牌的申请与存储都需要在前端完成跳过了授权码这一步。前端应用直接获取tokenresponse_type设置为token要求直接返回令牌跳过授权码WX授权通过后重定向到指定redirect_uri。https://wx.com/oauth/authorize? response_typetoken client_idCLIENT_ID redirect_urihttp://juejin.im/callback scoperead3、密码式密码模式比较好理解用户在掘金直接输入自己的WX用户名和密码掘金拿着信息直接去WX申请令牌请求响应的JSON结果中返回token。grant_type为password表示密码式授权。https://wx.com/token? grant_typepassword usernameUSERNAME passwordPASSWORD client_idCLIENT_ID这种授权方式缺点是显而易见的非常的危险如果采取此方式授权该应用一定是可以高度信任的。4、凭证式凭证式和密码式很相似主要适用于那些没有前端的命令行应用可以用最简单的方式获取令牌在请求响应的JSON结果中返回token。grant_type为client_credentials表示凭证式授权client_id和client_secret用来识别身份。https://wx.com/token? grant_typeclient_credentials client_idCLIENT_ID client_secretCLIENT_SECRET三、令牌的使用与更新1、令牌怎么用拿到令牌可以调用WXAPI 请求数据了那令牌该怎么用呢每个到达WX的请求都必须带上token将token放在http请求头部的一个Authorization字段里。如果使用postman模拟请求要在Authorization-Bearer Token放入token注意低版本postman没有这个选项。2、令牌过期怎么办token是有时效性的一旦过期就需要重新获取但是重走一遍授权流程不仅麻烦而且用户体验也不好那如何让更新令牌变得优雅一点呢一般在颁发令牌时会一次发两个令牌一个令牌用来请求API另一个负责更新令牌refresh_token。grant_type为refresh_token请求为更新令牌参数refresh_token是用于更新令牌的令牌。https://wx.com/oauth/token? grant_typerefresh_token client_idCLIENT_ID client_secretCLIENT_SECRET refresh_tokenREFRESH_TOKEN总结OAuth2.0授权其实并不是很难只不过授权流程稍显麻烦逻辑有些绕OAuth2.0它是面试经常会被问到的知识点还是应该多了解一下。下一篇实战OAuth2.0四种授权敬请期待欢迎关注哦~