OAuth是一個(gè)關(guān)于授權(quán)（authorization）的開(kāi)放網(wǎng)絡(luò)標(biāo)準(zhǔn)，在全世界得到廣泛應(yīng)用，目前的版本是2.0版。

創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),寶應(yīng)企業(yè)網(wǎng)站建設(shè),寶應(yīng)品牌網(wǎng)站建設(shè),網(wǎng)站定制,寶應(yīng)網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷,網(wǎng)絡(luò)優(yōu)化,寶應(yīng)網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長(zhǎng)自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

一、名詞解釋

1.     在詳細(xì)講解Oauth3.0之前，需要了解幾個(gè)專用名詞。

2.     Third-party application: 第三方應(yīng)用程序，本文中有稱作"客戶端"（client）

3.     HTTP Service: HTTP服務(wù)提供商，本文中簡(jiǎn)稱"服務(wù)提供商"

4.     Reource Owner: 資源所有者， 本文中又稱"用戶"（user）

5.     User Agent: 用戶代理，本文中就是指瀏覽器

6.     Authorization Server: 認(rèn)證服務(wù)器，即服務(wù)提供商專門用來(lái)處理認(rèn)證的服務(wù)器

7.     Resource Server: 資源服務(wù)器，即服務(wù)器提供商存放用戶生成資源的服務(wù)器，它與認(rèn)證服務(wù)器，可以是同一臺(tái)服務(wù)器，也可以不同的服務(wù)器。

    其實(shí)，OAuth的作用就是讓“客戶端”安全可控的獲取“用戶”的授權(quán)，與“服務(wù)商提供商”進(jìn)行互動(dòng)

二、OAuth思路

    OAuth在 客戶端 與服務(wù)器端之間設(shè)置了一個(gè)授權(quán)層（autorization layer）。客戶端不能直接登錄服務(wù)提供商，只能登錄授權(quán)層，以此將用戶與客戶端區(qū)分開(kāi)來(lái)?？蛻舳说卿浭跈?quán)層所用的令牌token，與用戶的密碼不同。用戶可以在

登錄的時(shí)候指定授權(quán)層令牌的權(quán)限范圍和有效期。

    客戶端登錄授權(quán)層之后，服務(wù)提供商根據(jù)令牌的權(quán)限和有效期，向客戶端開(kāi)放用戶存儲(chǔ)的資料

   

三、運(yùn)行流程

    OAuth3.0的運(yùn)行流程如下圖，摘自RFC 6749

    

    （A）用戶打開(kāi)客戶端以后，客戶端要求用戶給予授權(quán)。

    （B）用戶同意給予客戶端授權(quán)。

    （C）客戶端使用上一步獲得的授權(quán)，向認(rèn)證服務(wù)器申請(qǐng)令牌。

    （D）認(rèn)證服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證以后，確認(rèn)無(wú)誤，同意發(fā)放令牌。

    （E）客戶端使用令牌，向資源服務(wù)器申請(qǐng)獲取資源。

    （F）資源服務(wù)器確認(rèn)令牌無(wú)誤，同意向客戶端開(kāi)放資源。

    不難看出來(lái)，上面六個(gè)步驟之中，B是關(guān)鍵，即用戶怎樣才能給于客戶端授權(quán)。有了這個(gè)授權(quán)以后，客戶端就可以獲取令牌，進(jìn)而憑令牌獲取資源。

四、客戶端的授權(quán)模式

    客戶端必須得到用戶的授權(quán)（authorization grant），才能獲得令牌（access token）。

    OAuth 2.0定義了四種授權(quán)方式：

        授權(quán)碼模式（authorization code）

        簡(jiǎn)化模式（implicit）

        密碼模式（resource owner password credentials）

        客戶端模式（client credentials）

五、授權(quán)碼模式

    授權(quán)碼模式（authorization code）是功能最完整、流程最嚴(yán)密的授權(quán)模式。它的特點(diǎn)就是通過(guò)客戶端的后臺(tái)服務(wù)器，與"服務(wù)提供商"的認(rèn)證服務(wù)器進(jìn)行互動(dòng)。

    

它的步驟如下：

    （A）用戶訪問(wèn)客戶端，后者將前者導(dǎo)向認(rèn)證服務(wù)器。

    （B）用戶選擇是否給予客戶端授權(quán)。

    （C）假設(shè)用戶給予授權(quán)，認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端事先指定的"重定向URI"（redirection URI），同時(shí)附上一個(gè)授權(quán)碼。

    （D）客戶端收到授權(quán)碼，附上早先的"重定向URI"，向認(rèn)證服務(wù)器申請(qǐng)令牌。這一步是在客戶端的后臺(tái)的服務(wù)器上完成的，對(duì)用戶不可見(jiàn)。

    （E）認(rèn)證服務(wù)器核對(duì)了授權(quán)碼和重定向URI，確認(rèn)無(wú)誤后，向客戶端發(fā)送訪問(wèn)令牌（access token）和更新令牌（refresh token）。

    下面是上面這些步驟所需要的參數(shù)。

    A步驟中，客戶端申請(qǐng)認(rèn)證的URI，包含以下參數(shù)：

        response_type：表示授權(quán)類型，必選項(xiàng)，此處的值固定為"code"

        client_id：表示客戶端的ID，必選項(xiàng)

        redirect_uri：表示重定向URI，可選項(xiàng)

        scope：表示申請(qǐng)的權(quán)限范圍，可選項(xiàng)

        state：表示客戶端的當(dāng)前狀態(tài)，可以指定任意值，認(rèn)證服務(wù)器會(huì)原封不動(dòng)地返回這個(gè)值。

    下面是一個(gè)例子

        GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1

        Host: server.example.com

    C步驟中，服務(wù)器回應(yīng)客戶端的URI，包含以下參數(shù)：

        code：表示授權(quán)碼，必選項(xiàng)。該碼的有效期應(yīng)該很短，通常設(shè)為10分鐘，客戶端只能使用該碼一次，否則會(huì)被授權(quán)服務(wù)器拒絕。該碼與客戶端ID和重定向URI，是一一對(duì)應(yīng)關(guān)系。

        state：如果客戶端的請(qǐng)求中包含這個(gè)參數(shù)，認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個(gè)參數(shù)。

    下面是一個(gè)例子。

            HTTP/1.1 302 FoundLocation: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

    D步驟中，客戶端向認(rèn)證服務(wù)器申請(qǐng)令牌的HTTP請(qǐng)求，包含以下參數(shù)：

        grant_type：表示使用的授權(quán)模式，必選項(xiàng)，此處的值固定為"authorization_code"。

        code：表示上一步獲得的授權(quán)碼，必選項(xiàng)。

        redirect_uri：表示重定向URI，必選項(xiàng)，且必須與A步驟中的該參數(shù)值保持一致。

        client_id：表示客戶端ID，必選項(xiàng)。

    下面是一個(gè)例子。

        

    E步驟中，認(rèn)證服務(wù)器發(fā)送的HTTP回復(fù)，包含以下參數(shù)：

        access_token：表示訪問(wèn)令牌，必選項(xiàng)。

        token_type：表示令牌類型，該值大小寫不敏感，必選項(xiàng)，可以是bearer類型或mac類型。

        expires_in：表示過(guò)期時(shí)間，單位為秒。如果省略該參數(shù)，必須其他方式設(shè)置過(guò)期時(shí)間。

        refresh_token：表示更新令牌，用來(lái)獲取下一次的訪問(wèn)令牌，可選項(xiàng)。

        scope：表示權(quán)限范圍，如果與客戶端申請(qǐng)的范圍一致，此項(xiàng)可省略。

    下面是一個(gè)例子。

        

    從上面代碼可以看到，相關(guān)參數(shù)使用JSON格式發(fā)送（Content-Type: application/json）。此外，HTTP頭信息中明確指定不得緩存。

六、簡(jiǎn)化模式

    簡(jiǎn)化模式（implicit grant type）不通過(guò)第三方應(yīng)用程序的服務(wù)器，直接在瀏覽器中向認(rèn)證服務(wù)器申請(qǐng)令牌，跳過(guò)了"授權(quán)碼"這個(gè)步驟，因此得名。所有步驟在瀏覽器中完成，令牌對(duì)訪問(wèn)者是可見(jiàn)的，且客戶端不需要認(rèn)證。

    

    它的步驟如下：

    （A）客戶端將用戶導(dǎo)向認(rèn)證服務(wù)器。

    （B）用戶決定是否給于客戶端授權(quán)。

    （C）假設(shè)用戶給予授權(quán)，認(rèn)證服務(wù)器將用戶導(dǎo)向客戶端指定的"重定向URI"，并在URI的Hash部分包含了訪問(wèn)令牌。

    （D）瀏覽器向資源服務(wù)器發(fā)出請(qǐng)求，其中不包括上一步收到的Hash值。

    （E）資源服務(wù)器返回一個(gè)網(wǎng)頁(yè)，其中包含的代碼可以獲取Hash值中的令牌。

    （F）瀏覽器執(zhí)行上一步獲得的腳本，提取出令牌。

    （G）瀏覽器將令牌發(fā)給客戶端。

    下面是上面這些步驟所需要的參數(shù)。

    A步驟中，客戶端發(fā)出的HTTP請(qǐng)求，包含以下參數(shù)：

        response_type：表示授權(quán)類型，此處的值固定為"token"，必選項(xiàng)。

        client_id：表示客戶端的ID，必選項(xiàng)。

        redirect_uri：表示重定向的URI，可選項(xiàng)。

        scope：表示權(quán)限范圍，可選項(xiàng)。

        state：表示客戶端的當(dāng)前狀態(tài)，可以指定任意值，認(rèn)證服務(wù)器會(huì)原封不動(dòng)地返回這個(gè)值。

    下面是一個(gè)例子：

        

    C步驟中，認(rèn)證服務(wù)器回應(yīng)客戶端的URI，包含以下參數(shù)：

        access_token：表示訪問(wèn)令牌，必選項(xiàng)。

        token_type：表示令牌類型，該值大小寫不敏感，必選項(xiàng)。

        expires_in：表示過(guò)期時(shí)間，單位為秒。如果省略該參數(shù)，必須其他方式設(shè)置過(guò)期時(shí)間。

        scope：表示權(quán)限范圍，如果與客戶端申請(qǐng)的范圍一致，此項(xiàng)可省略。

        state：如果客戶端的請(qǐng)求中包含這個(gè)參數(shù)，認(rèn)證服務(wù)器的回應(yīng)也必須一模一樣包含這個(gè)參數(shù)。

    下面是一個(gè)例子：

        

    在上面的例子中，認(rèn)證服務(wù)器用HTTP頭信息的Location欄，指定瀏覽器重定向的網(wǎng)址。注意，在這個(gè)網(wǎng)址的Hash部分包含了令牌。

    根據(jù)上面的D步驟，下一步瀏覽器會(huì)訪問(wèn)Location指定的網(wǎng)址，但是Hash部分不會(huì)發(fā)送。接下來(lái)的E步驟，服務(wù)提供商的資源服務(wù)器發(fā)送過(guò)來(lái)的代碼，會(huì)提取出Hash中的令牌

七、密碼模式

    密碼模式（Resource Owner Password Credentials Grant）中，用戶向客戶端提供自己的用戶名和密碼?？蛻舳耸褂眠@些信息，向"服務(wù)商提供商"索要授權(quán)。

    在這種模式中，用戶必須把自己的密碼給客戶端，但是客戶端不得儲(chǔ)存密碼。這通常用在用戶對(duì)客戶端高度信任的情況下，比如客戶端是操作系統(tǒng)的一部分，或者由一個(gè)著名公司出品。
    而認(rèn)證服務(wù)器只有在其他授權(quán)模式無(wú)法執(zhí)行的情況下，才能考慮使用這種模式。

      

    它的步驟如下：

    （A）用戶向客戶端提供用戶名和密碼。

    （B）客戶端將用戶名和密碼發(fā)給認(rèn)證服務(wù)器，向后者請(qǐng)求令牌。

    （C）認(rèn)證服務(wù)器確認(rèn)無(wú)誤后，向客戶端提供訪問(wèn)令牌。

    下面是一個(gè)例子：

    

    C步驟中，認(rèn)證服務(wù)器向客戶端發(fā)送訪問(wèn)令牌，下面是一個(gè)例子：

    

  注意： 整個(gè)過(guò)程中，客戶端不得保存用戶的密碼

    

八、客戶端模式

    客戶端模式（Client Credentials Grant）指客戶端以自己的名義，而不是以用戶的名義，向"服務(wù)提供商"進(jìn)行認(rèn)證。嚴(yán)格地說(shuō)，客戶端模式并不屬于OAuth框架所要解決的問(wèn)題。

    在這種模式中，用戶直接向客戶端注冊(cè)，客戶端以自己的名義要求"服務(wù)提供商"提供服務(wù)，其實(shí)不存在授權(quán)問(wèn)題。

    

    它的步驟如下：

    （A）客戶端向認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證，并要求一個(gè)訪問(wèn)令牌。

    （B）認(rèn)證服務(wù)器確認(rèn)無(wú)誤后，向客戶端提供訪問(wèn)令牌。

     

    A步驟中，客戶端發(fā)出的HTTP請(qǐng)求，包含以下參數(shù)：

        granttype：表示授權(quán)類型，此處的值固定為"clientcredentials"，必選項(xiàng)。

        scope：表示權(quán)限范圍，可選項(xiàng)。

        

    

    認(rèn)證服務(wù)器必須以某種方式，驗(yàn)證客戶端身份。

    B步驟中，認(rèn)證服務(wù)器向客戶端發(fā)送訪問(wèn)令牌，下面是一個(gè)例子：

    

    

    九、更新令牌

    如果用戶訪問(wèn)的時(shí)候，客戶端的"訪問(wèn)令牌"已經(jīng)過(guò)期，則需要使用"更新令牌"申請(qǐng)一個(gè)新的訪問(wèn)令牌。

    客戶端發(fā)出更新令牌的HTTP請(qǐng)求，包含以下參數(shù)：

        granttype：表示使用的授權(quán)模式，此處的值固定為"refreshtoken"，必選項(xiàng)。

        refresh_token：表示早前收到的更新令牌，必選項(xiàng)。

        scope：表示申請(qǐng)的授權(quán)范圍，不可以超出上一次申請(qǐng)的范圍，如果省略該參數(shù)，則表示與上一次一致。

    

    

    

    原文：http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文題目：理解Oauth2.0-創(chuàng)新互聯(lián)
當(dāng)前URL：http://weahome.cn/article/cejhsc.html