AI智能
改变未来

微服务架构视频笔记 – OAuth2定义和原理


OAuth2定义和原理

OAuth2最简向导

首先有用户数据,然后有个资源服务器,负责管理用户数据,有时候会有客户应用需要访问用户的数据,这时候,我们一般会给资源服务器按个门来暴露用户数据,被称为API,有了这个API之后,客户应用就可以通过API来访问用户数据,这个时候,如果客户应用通过API提出“给我用户的数据”的请求,我们的资源服务器收到这个请求之后,就可以把相应的用户数据返回给客户应用,这样的话客户应用就拿到了用户数据。

这时,如果来了个恶意客户应用会发生什么,当恶意客户应用通过API发送“给我用户的数据”的请求,若是资源服务器没有安全限制的话,就会提供用户数据给恶意客户应用,会造成恶意客户应用也可以访问用户数据的情况。

业界针对这种场景的实践是提前给用户应用颁发一个Access Token,他表示客户应用被授权可以访问用户数据,而拿到Access Token之后的客户应用,在访问用户数据时候,会给出Access Token,而资源服务器拿到这个Access Token之后,会做出一个校验,来看这个令牌是不是合法的,有没有权限去访问用户数据,如果有权限,那就会把用户数据返回给他,这就完成了一次正常的、安全的数据访问,这个机制可以工作的前提,就是必须提前给客户应用颁发Access Token,也就是说我们需要一个颁发Access Token的角色,这就需要引入一个新的角色了,那就是授权服务器,由他来管理和颁发Access Token。

授权服务器主要负责生成Access Token,并且把Access Token颁发给客户应用,
客户应用带上Access Token通过API调用的方式访问用户数据,资源服务器会取出这个Access Token并且校验Access Token是否具有访问用户数据的权限,如果校验通过,他就会把用户数据提供给客户应用。

在上面的这个流程中第一步是授权服务器生成Access Token,在真实流程中,颁发Token之前需要征询用户同意,也就是说在客户应用申请“给我Access Token”时,授权服务器就会跳转页面到客户端,去询问客户“你是否同意将权限授予客户应用”,如果这个客户同意,这时授权服务器才会正式的生成Access Token,并把这个Access Token办法给客户应用。在这样一个过程之中,OAuth 2.0标准化了Access Token的请求和响应部分,OAuth 2.0的细节在RFC 6749(OAuth 2.0授权框架)中描述。

OAuth 2.0的定义

  • 用于REST/APIs的代理授权框架(delegated authorization framework)
  • 基于令牌Token的授权,在无需暴露用户密码的情况下,使应用能获取对用户数据的有限访问权限
  • 解耦认证和授权
  • 事实上的标准安全框架,支持多种应用场景是服务器端WebApp
  • 浏览器单页SPA
  • 无线/原生App
  • 服务器对服务器之间

对于令牌Token,可以类比为仆从钥匙(Valet Key)
有一些高档汽车是具有常规钥匙和仆从钥匙的,而仆从钥匙通常是只具有一些有限的权限,比方说只能行驶有限的公里数,不能打开汽车内的柜子、后备箱。
令牌与仆从钥匙就很像,令牌是给用户授权有限的访问权限,让应用能够代表用户去访问用户的数据,是OAuth的核心部分。

OAuth 2.0历史

在OAuth 2.0之前存在了一个OAuth 1.0,而现在以及不再常用,2010年开始制定OAuth 2.0,诸如Google,Microsoft,Facebook等大厂干预其中,由于OAuth 2.0这个协议干系人以及场景非常多,所以就会出现利益的冲突,但是在2012年10月的时候,OAuth 2.0的规范最终还是出炉了。

OAuth 2.0优势

  1. OAuth 2.0比OAuth 1.0易于实现
  2. 更安全,客户端不接触用户密码,服务器端更易集中保护
  3. 广泛传播并被持续采用
  4. 短寿命和封装的token
  5. 资源管理器和服务授权服务器的解耦
  6. 集中式授权,简化客户端
  7. HTTP/JSON友好,易于请求和传递token
  8. 考虑多种客户端架构场景
  9. 客户可以具有不同的信任级别

OAuth 2.0不足

  • 协议框架太宽泛,造成各种实现的兼容性和互操作性差
  • 和OAuth 1.0不兼容
  • OAuth 2.0不是一个认证协议,而是一个授权协议,OAuth 2.0本身并不能告诉你任何用户信息

OAuth 2.0主要角色

  • 客户应用(Client Application):是一个Web或者无线应用,他需要访问用户的受保护资源
  • 资源服务器(Resource Server):是一个web站点或者web service API,用户的受保护数据保存于此
  • 授权服务器(Authorized Server):在客户应用成功认证并获得授权之后,向客户应用颁发访问令牌Access Token
  • 资源拥有者(Resource Owner):资源的拥有人,想要分享某些资源给第三方应用

OAuth术语

  • 用户凭证(Client Credentials):用户的ClientId和密码用于认证客户
  • 令牌(Tokens):授权服务器在接收到客户请求后,颁发的访问令牌
  • 资源拥有者(Scopes):客户请求访问令牌时,由资源拥有者额外指定的细分权限(permission)

OAuth令牌类型

  • 访问令牌(Access Token):用于代表一个用户或服务直接去访问受保护的资源,最为重要。
  • 刷新令牌(Refresh Token):用于去授权服务器获取一个新的访问令牌。
  • 授权码(Authorization Code Token):仅用于授权码授权类型,用于交换获取访问令牌和刷新令牌。
  • Bearer Token:访问令牌的一种格式,不管谁拿到Token都可以访问资源,像现钞。
  • Proof of Possession(PoP)Token:可以校验client是否对Token有明确的拥有权。

OAuth 2.0误解

  • OAuth并没有支持HTTP以外的协议
  • OAuth并不是一个认证协议
  • OAuth并没有定义授权处理机制
  • OAuth并没有定义token格式
  • OAuth 2.0并没有定义加密方法
  • OAuth 2.0并不是单个协议
  • OAuth 2.0仅是授权框架,仅用于授权代理

小结

  • OAuth本质:如何获取token,如何使用token
  • OAuth是一种在系统之间的代理授权(delegation authorization)协议
  • OAuth提供一个宽泛的协议框架,具体安全场景需要定制
  • OAuth使用代理协议的方式解决密码共享反模式问题
赞(0) 打赏
未经允许不得转载:爱站程序员基地 » 微服务架构视频笔记 – OAuth2定义和原理