OAuth2.0开放授权（一）

迈不过友情╰ 2023-02-08 12:42 14阅读 0赞

## 1.OAuth2.0的简介 ##

OAuth2.0是Oauth协议的延续版本，但不兼容OAuth1.0（1.0完全废止）。  
OAuth2.0关注客户端开发者的简易性。  
2012.10，OAuth2.0协议正式发布为RFC6749。

## 2.OAuth2.0的运行流程以及术语解释 ##

\#\#\#2.1 OAuth2.0的运行流程

![OAuth2.0的运行流程.png][OAuth2.0_.png]  
（A）用户打开客户端以后，客户端要求用户给予授权。  
（B）用户同意给予客户端授权。  
（C）客户端使用上一步获得的授权，向认证服务器申请令牌。  
（D）认证服务器对客户端进行认证以后，确认无误，同意发放令牌。  
（E）客户端使用令牌，向资源服务器申请获取资源。  
（F）资源服务器确认令牌无误，同意向客户端开放资源。

### 2.2术语解释 ###

*  令牌（token）  
    令牌的特点：  
    1.令牌是短期的，到期会自动失效，用户无法修改；  
    2.令牌可以被数据所有者撤销，会立即失效；  
    3.令牌有权限范围（scope），例如只读令牌；
 *  第三方应用程序（Third-party application）/客户端（client）  
    例如：打开知乎，选择qq登录，这时候知乎就是客户端
 *  HTTP服务提供商(HTTP service)  
    例如：打开知乎，选择qq登录，qq就是服务提供商
 *  资源所有者（Resource Owner）  
    例如：应用程序的用户（user）
 *  认证服务器（Authorization server）  
    **服务提供商**专门用于处理认证的服务
 *  资源服务器（Resource server）  
    **服务提供商**存放**资源所有者**的服务器（与认证服务器可以是同一台服务器，也可以不是同一台服务器）

## 3.OAuth2.0获得令牌的四种授权方式（authorization grant） ##

*  授权码模式（authorization code）
 *  简化模式（implicit）
 *  资源所有者密码凭证（resource owner password credentials）
 *  客户端模式（client credentials）

### 3.1授权码模式（authorization code） ###

![image.png][]  
授权码模式的流程步骤：  
01.授权码请求：客户端（第三方应用）通过用户代理（浏览器或者自己的服务器）访问**认证服务器**提供的获取授权码的url  
例如：

示例一：
    https://b.com/oauth/authorize?
    &response_type=code
    &client_id=CLIENT_ID
    &redirect_uri=https://a.com/callback
    &scope=read
    
    // 参数解释
    response_type：表示要求返回授权码（code）
    client_id：客户端在认证服务器中注册的唯一标识
    redirect_uri：接受或拒绝请求后的跳转网址
    scope：表示要求的授权范围（这里是只读）
    
    // 示例一：
    https://b.com/oauth/authorize?
    response_type=code
    &app_id=wx201800a28199
    &state=wilson
    &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Foauth2
    &scope=user,photo HTTP/1.1
    
    // 参数解释
    response_type：（必传）此时为"code"     
    app_id：（必传）微信服务器下发的标识第三方应用的
    redirect_uri：（必传）授权成功后的重定向地址
    scope：（可选）标识授权范围
    state：（推荐）第三方应用提供的一个字符串，微信授权服务器会原样返回

02.授权码返回  
**认证服务器**验证客户端获取验证码请求中的参数，确认无误后，等待用户确认授权（用户登录，或者提示是否授权等等）  
用户授权后，认证服务器根据请求中的redirect\_uri重定向该地址，并携带**授权码**  
例如：

// 示例一
    https://a.com/callback?code=AUTHORIZATION_CODE
    参数解释：code =>授权码
    // 示例二
    https://client.example.com/oauth2?code=SplxlOBeZQQYbYS6WxSbIA&state=wilson

03.访问令牌请求  
客户端应用根据上一步拿到的授权码code，再次请求认证服务器，请求获取访问令牌access\_token  
例如：

// 示例一
    https://b.com/oauth/token?
    client_id=CLIENT_ID
    &client_secret=CLIENT_SECRET
    &grant_type=authorization_code
    &code=AUTHORIZATION_CODE
    &redirect_uri=redirect_uri
    
    // 参数解释：
    client_id: 客户端在认证服务器中注册的唯一标识；
    client_secret: 客户端的密钥（client_secret参数是保密的，因此只能在后端发请求）；
    grant_type: 参数的值是authorization_code，表示采用的授权方式是授权码;
    code：上一步拿到的授权码AUTHORIZATION_CODE；
    redirect_uri：令牌颁发后的回调网址；
    
    // 示例二
    https://b.com/oauth/authorize?
    grant_type=authorization_code
    &code=SplxlOBeZQQYbYS6WxSbIA
    &app_id=wx201800a28199
    &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Foauth2
    
    // 参数解释
    grant_type：（必传）值为"authorization_code"
    code：（必传）值为上一步获取到的授权码code
    redirect_uri：（必传）必须和第一步获取授权码中的一致
    app_id：（必传）标识第三方应用id

04.访问令牌返回  
**认证服务器**是向redirect\_uri指定的地址返回访问令牌、刷新令牌、令牌过期时间等返回给客户端  
例如：

// 示例一
    {    
      "access_token":"ACCESS_TOKEN",
      "token_type":"bearer",
      "expires_in":2592000,
      "refresh_token":"REFRESH_TOKEN",
      "scope":"read",
      "uid":100101,
      "info":{...}
    }
    
    // 示例二
    {
        "access_token":"2YotnFZFEjr1zCsicMWpAA",
        "token_type":"example",
        "expires_in":3600, 
        "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", 
        "example_parameter":"example_value"
     }

05.受限资源获取  
客户端携带**访问令牌**去**资源服务器**获取受限的资源

## 4.Oauth2.0访问令牌的刷新 ##

### 4.1请求刷新令牌 ###

客户端获取到**访问令牌**后，一般会同时获取到**过期时间**和**刷新令牌**。当访问令牌失效时，客户端可以调用刷新令牌接口来刷新令牌。  
例如

// 示例一
    https://b.com/oauth/token?
    client_id=CLIENT_ID
    &client_secret=CLIENT_SECRET
    &grant_type=refresh_token
    &refresh_token=REFRESH_TOKEN
    
    // 示例二
    https://b.com/oauth/authorize?
    grant_type=refresh_token
    &refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
    
    // 参数解释
    grant_type：必填 值为 "refresh_token"
    refresh_token：必填 值为第三方应用得到访问令牌同时拿到的刷新令牌

### 4.2刷新令牌返回 ###

例如：

// 示例一
    {    
      "access_token":"ACCESS_TOKEN",
      "token_type":"bearer",
      "expires_in":2592000,
      "refresh_token":"REFRESH_TOKEN",
      "scope":"read",
      "uid":100101,
      "info":{...}
    }
    // 示例二
    {
       "access_token":"2YotnFZFEjr1zCsicMWpAA",
       "token_type":"example",
       "expires_in":3600, 
       "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", 
       "example_parameter":"example_value"
    }

[OAuth2.0_.png]: /images/20230208/b55331f471034a408e0fbdda56dc9ebe.png
[image.png]: /images/20230208/6138c77915cd46039dc96c3a31dc8b3c.png