如何做企业网站排名优化,肥城网站建设哪家好,在线 代理 输入网址,wordpress做图集OAuth 2是什么OAuth 2是一个可以通过浏览器#xff0c;手机等多种设备进行安全授权的一个标准简单的开源协议。随着互联网的兴起以及普及#xff0c;越来越多的应用出现在用户的面前。这些应用大部分都是相对独立的以及由不同的公司进行运营的。不同的应用也保存了不同的数据…OAuth 2是什么OAuth 2是一个可以通过浏览器手机等多种设备进行安全授权的一个标准简单的开源协议。随着互联网的兴起以及普及越来越多的应用出现在用户的面前。这些应用大部分都是相对独立的以及由不同的公司进行运营的。不同的应用也保存了不同的数据。因此跨应用的数据访问就变得不可避免。当我们需要跨应用访问数据的时候我们就需要解决如何让应用A能够访问到应用B中的用户数据。比如说在百度云或者OneDrive中保存了相片(应用B)相片打印服务(应用A)就需要访问百度云或者OneDrive中的数据进行处理。一种最简单的方法就是应用A询问用户在应用B中的认证信息然后使用这个认证信息进行数据访问。但是这样子就意味着应用A拥有了用户的认证信息应用A可以随意访问用户在应用B中的数据(虽然每个应用都声称不会滥用但谁知道呢)。因此需要一种方案可以能够授权应用A适当的权限来获取应用B中的数据。而OAuth 2就是这么一种解决方案。代客泊车钥匙的例子计算机世界很多时候都是现实世界的映射OAuth 2也不例外。在影视作品中我们常常可以看到主角们开着车来到一个豪华的酒店或者赌场的大堂下了车之后直接扔了一副车钥匙给服务生。服务生会替车主将车停好。如果是一辆小破车或许车主还不至于太担心服务生把车私自开走。但是要是是一辆豪车的话就很难说了。那么之所以服务生没有能把车开走秘诀就在这个车钥匙上。这个车钥匙是代客泊车专用钥匙(英文叫做valet parking key)。这钥匙只能限制性的操作车中的某些功能比如只能以时速不超过20km/h行驶或者不能驾驶超过10分钟还有类似无法打开天窗和后备箱。通过这种功能性的限制(权限限制)使得服务生只能操作被允许的功能即代客泊车而无法完成超过其权限的操作比如拿走后备箱的东西等等。在这个例子中涉及到了五个部分车主服务生代客泊车钥匙车主钥匙以及车。这五个部分对应到OAuth 2的场景中就是资源所有者客户终端token资源所有者在资源服务器上的用户名和密码资源服务器上的资源。如果用我们上面应用A和应用B的场景那就是服务生应用A客户终端车应用2资源服务器上的资源。OAuth 2 组件在上面的例子中也简略的提到了OAuth 2的各个组件。OAuth 2中一共涉及到4个组件客户端用户也就是资源所有者授权服务器以及资源服务器。这四个组件的大致关系如下图所示。授权服务器是一个能够提供受限的密钥(key)或者令牌(token)类似于上文提到的valet parking key。客户端包括了可信客户端和非可信客户端。可信客户端一般是指客户端和资源服务器属于同一个团体开发的比如微博的资源服务器和微博官方客户端。非可信客户端则一般指由第三方开发的客户端比如很多第三方的微博应用。OAuth 2中的各个组件从上图的示例中可以看出用户即资源所有者可以通过客户端访问资源服务器上的资源。客户端为了能够访问资源服务器需要先获得一个令牌(token)。由于用户并不想直接将资源服务器的用户名密码透露给客户端用户可以通过授权服务器给予客户端一个临时的受限访问令牌。客户端在使用授权服务器之前必须先进行注册(一次性操作)注册的目的是让授权服务器清楚之后的授权请求是由哪个客户端发起的。同时注册的时候也会约定好之后通信所使用的密钥等信息。客户端在完成注册之后就可以通过下面将讲到的OAuth 2流程来获得令牌(token)然后通过令牌来访问资源服务器上的资源。可信域在这个授权流程中我们还需要注意可信域这会帮助我们后面理解为什么OAuth 2 不合适作为认证工具。可信域代表了域中组件的相互信任关系。从下图可以看出默认情况下资源服务器和授权服务器属于同一个可信域。也就意味着授权服务器知道资源服务器哪些资源需要被保护资源服务器也知道如何验证由授权服务器产生的令牌。授权服务器和资源服务器类似于一种强耦合的关系。此外很显然的资源所有者和资源服务器也具有相互信任关系。由于上面提到的客户端可以由第三方提供所以其不需要和授权服务器或者资源服务器属于同一个可信域。OAuth 2涉及到的可信域OAuth 2 流程由于OAuth 2可以应用在不同的客户端和场景也就导致了OAuth 2有4种不同的流程。前两种流程涉及到了用户的交互需要用户进行明确的授权许可。授权码流程(Authorization Code Flow)使用最为广泛的一种流程基于浏览器的访问基本都使用这种流程。请求授权码请求令牌访问资源简化模式(Implicit Flow)请求令牌访问资源另外两种属于不需要进行任何的用户交互。密码模式(Resource Owner Password Credential Flow)这是类似于一些企业内部使用的授权模式。使用资源所有者的用户名密码进行令牌请求访问资源客户端模式(Client Credential Flow)这用于客户端到服务器的通信。使用客户端的凭据进行令牌请求访问资源这四种模式的具体流程我们会在之后的文章中进行详细介绍。参考RFC 6749 – The OAuth 2 2.0 Authorization Framework
